Witness the power of one: new worktech innovations coming April 16. Register in Americas/EMEA timezone andRegister in APAC timezone

ERGÄNZUNG ZUR DATENVERARBEITUNG

ERGÄNZUNG ZUR DATENVERARBEITUNG

Diese Ergänzung zur Datenverarbeitung (einschließlich ihrer Anlagen) („Ergänzung“) ist Teil und unterliegt den Bedingungen der Bestellung (einschließlich der für diese Bestellung geltenden Bedingungen) (die „Vereinbarung“) Eptura („Eptura“) und dem Kunden, der die Vereinbarung abgeschlossen hat („Kunde“), handelnd in seinem eigenen Namen und für jedes verbundene Unternehmen, und gilt hiermit durch Bezugnahme.

Diese Ergänzung ersetzt vollumfänglich alle bestehenden Vereinbarungen, Nachträge, Anhänge, Zusatzvereinbarungen oder andere Dokumente, die die Verarbeitung und den Schutz der Personenbezogenen Daten des Kunden in Bezug auf die Dienste regeln.

Definierte Begriffe, die in dieser Ergänzung verwendet, aber nicht anderweitig definiert sind, haben die in der Vereinbarung angegebenen Bedeutungen. Sofern im weiteren Verlauf dieser Ergänzung nicht geändert, bleiben die Bedingungen der Vereinbarung in vollem Umfang in Kraft und wirksam.

Diese Ergänzung spiegelt die Verpflichtung der Parteien zur Einhaltung der Datenschutzgesetze in Bezug auf die Verarbeitung personenbezogener Kundendaten im Zusammenhang mit den Dienstleistungen in der Vereinbarung wider. Wenn und soweit Regelungen in dieser Ergänzung im Widerspruch zur Vereinbarung stehen, hat diese Ergänzung Vorrang.

Diese Ergänzung wird mit dem Datum des Inkrafttretens der Vereinbarung oder an dem Tag, an dem die Parteien diese Ergänzung unterzeichnen, rechtsverbindlich, wenn die Ergänzung nach dem Datum des Inkrafttretens der Vereinbarung abgeschlossen wurde.

  1. Definitionen.
    1. Für die Zwecke dieser Ergänzung gelten die folgenden Begriffe und die im Hauptteil dieser Ergänzung definierten Begriffe.
      1. „Personenbezogene Daten des Kunden“ bezeichnet personenbezogene Daten, die sich im Besitz oder unter der Kontrolle des Kunden befinden und die vom oder im Namen des Kunden Eptura in Verbindung mit den Diensten zur Verfügung gestellt werden.
      2. „Vertraglicher Auftragsverarbeiter“ bezeichnet Eptura oder einen Unterauftragsverarbeiter.
      3. „Verantwortlicher“ bezeichnet die Stelle, die über die Zwecke und Mittel der Verarbeitung personenbezogener Kundendaten entscheidet.
      4. „Datenschutzgesetze“ bezeichnet alle Gesetze und Vorschriften, die für die Verarbeitung personenbezogener Kundendaten im Zusammenhang mit der Erbringung der Dienstleistungen im Rahmen der Vereinbarung gelten. „Datenschutzgesetze“ können unter anderem den California Consumer Privacy Act von 2018 („CCPA“) umfassen; die EU-Datenschutz-Grundverordnung 2016/679 („DSGVO“) und ihre jeweiligen nationalen Umsetzungsgesetze; das Schweizer Bundesgesetz über den Datenschutz; die UK Datenschutz-Grundverordnung („UK GDPR“); und das britische Datenschutzgesetz 2018 (jeweils in der jeweils geänderten, angenommenen oder ersetzten Fassung);
      5. „Betroffene Person“ hat die in den Datenschutzgesetzen angegebene Bedeutung;
      6. „Personenbezogene Daten“ bezeichnet alle Informationen, die vom oder im Namen des Kunden zur Verwendung in den Diensten zur Verfügung gestellt wurden und sich auf eine identifizierte oder identifizierbare Person beziehen.
      7. „Verarbeiten“ oder „Verarbeitung“ bezeichnet jeden Vorgang oder jede Reihe von Verarbeitungsvorgängen, die mit personenbezogenen Daten des Kunden oder Datensätzen personenbezogener Kundendaten durchgeführt werden, unabhängig davon, ob sie automatisiert sind oder nicht, wie das Erheben, das Aufzeichnen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Abrufen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder anderweitige Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
      8. „Auftragsverarbeiter“ bezeichnet das Unternehmen, das personenbezogene Kundendaten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.
      9. „Sicherheitsvorfall(-vorfälle)“ bezeichnet die versehentliche oder unrechtmäßige Zerstörung, den Verlust, die Veränderung, die unbefugte Offenlegung oder den unbefugten Zugriff auf personenbezogene Kundendaten. Ein Sicherheitsvorfall umfasst keine erfolglosen Versuche oder Aktivitäten, die die Sicherheit personenbezogener Kundendaten nicht gefährden, einschließlich erfolgloser Anmeldeversuche, Pings, Port-Scans, Denial-of-Service-Angriffe und andere Netzwerkangriffe auf Firewalls oder Netzwerksysteme.
      10. „Dienste“ bezeichnet die Dienstleistungen, die Eptura im Rahmen der Vereinbarung erbringt.
      11. „Standardvertragsklauseln“ (hierin durch Bezugnahme aufgenommen) bezieht sich auf:
    2. die „Standardvertragsklauseln für 2021“, definiert als die Klauseln, die gemäß dem Durchführungsbeschluss (EU) 2021/914 der EU-Kommission vom Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates erlassen wurden und unter http://data.europa.eu/eli/dec_impl/2021/914/oj (in der jeweils gültigen und jeweils aktualisierten Fassung) verfügbar sind.
      1. „Unterauftragsverarbeiter“ bezeichnet die autorisierten Dienstleister von Eptura und Drittanbieter, die personenbezogene Kundendaten verarbeiten.
      2. „Aufsichtsbehörde“ bezeichnet eine unabhängige öffentliche Behörde, die gemäß den Datenschutzgesetzen eingerichtet wurde, um die Einhaltung der Datenschutzgesetze zu überwachen.
  2. Datennutzung und -verarbeitung.
    1. Rollen der Parteien. Die Parteien erkennen an und stimmen zu, dass, (i) wenn der Kunde ein Verantwortlicher ist, Eptura der Verarbeiter ist, und (ii) wenn der Kunde ein Auftragsverarbeiter ist, Eptura ein Unterauftragsverarbeiter des Kunden ist. Wenn der CCPA für die Verarbeitung personenbezogener Kundendaten durch Eptura gilt, erkennen die Parteien außerdem an und stimmen zu, dass der Kunde ein Unternehmen ist, wie dieser Begriff im CCPA und seinen Durchführungsbestimmungen definiert ist, und dass Eptura der Dienstleister des Kunden ist, wie dieser Begriff im CCPA und seinen Durchführungsbestimmungen definiert ist.
    2. Dokumentierte Anweisungen. Der Kunde weist Eptura an, personenbezogene Daten des Kunden zu verarbeiten, damit er die Dienste erbringen und der Kunde die Dienste in Übereinstimmung mit der Vereinbarung, dieser Ergänzung, einer anwendbaren Leistungsbeschreibung und allen von den Parteien schriftlich vereinbarten Anweisungen erhalten kann. Gegenstand der Verarbeitung ist die Nutzung der Dienste durch den Kunden und seine Endnutzer. Die Kategorien der betroffenen Person sind Nutzer der Dienste und Personen in Räumlichkeiten, in denen die Dienste genutzt werden, und können daher Mitarbeiter und Besucher des Kunden umfassen. Eptura stellt sicher, dass jede Übermittlung personenbezogener Kundendaten aus dem EWR und/oder dem Vereinigten Königreich in Übereinstimmung mit den Datenschutzgesetzen unter Verwendung eines rechtmäßigen Übertragungsmechanismus erfolgt. Der Kunde stellt sicher, dass die Verarbeitung personenbezogener Kundendaten durch Eptura in Übereinstimmung mit den Anweisungen des Kunden nicht dazu führt, dass Eptura gegen geltende Gesetze oder Vorschriften, einschließlich der geltenden Datenschutzgesetze, verstößt. Der Kunde trägt die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der personenbezogenen Daten des Kunden, für alle erforderlichen Einwilligungen, Prozesse und Mitteilungen, die erforderlich sind, um die rechtmäßige Übermittlung personenbezogener Kundendaten an Eptura im Rahmen der Vereinbarung und dieser Ergänzung zu ermöglichen, sowie für die Mittel, mit denen der Kunde die personenbezogenen Daten erhalten hat. Die Dauer, für die Eptura personenbezogene Kundendaten verarbeitet, ist die Dauer der Vereinbarung zuzüglich etwaiger anwendbarer Aufbewahrungsfristen in dieser Ergänzung. Eptura wird, sofern dies nicht gesetzlich verboten ist, den Kunden schriftlich informieren, wenn Eptura Grund zu der Annahme hat, dass ein Konflikt zwischen den Anweisungen des Kunden und den geltenden Datenschutzgesetzen besteht. Wenn der Kunde verlangt, dass (i) sein Produkt-Tenant ein gemeinsamer Tenant zwischen dem Kunden und seinen verbundenen Unternehmen ist; und (ii) wenn Administratoren und Ansprechpartner als „global“ bestimmt werden sollen, erkennt der Kunde an und stimmt zu (und stellt Eptura alle Anweisungen bereit, die im Rahmen von Datenschutzrechten erforderlich sind), dass die personenbezogenen Daten des Kunden zwischen dem Kunden und jedem seiner verbundenen Unternehmen freigegeben werden, die Teil der gemeinsamen Tenancy sind.
    3. Berechtigung zur Verwendung von Unterauftragsverarbeitern. Soweit dies zur Erfüllung der vertraglichen Verpflichtungen von Eptura im Rahmen der Vereinbarung erforderlich ist, ermächtigt der Kunde Eptura hiermit, Unterauftragsverarbeiter zu beauftragen. Die aktuelle Liste der Unterauftragsverarbeiter von Eptura für die anwendbaren Dienste finden Sie unter www.eptura.com/subprocessors (die „Unterauftragsverarbeiterliste“). Der Kunde stimmt der Ernennung der in der Unterauftragsverarbeiterliste aufgeführten Unterauftragsverarbeiter zu. Eptura stimmt zu, dass Eptura keine personenbezogenen Daten an Unternehmen übermittelt, die nicht in der Liste der Unterauftragsverarbeiter aufgeführt sind.
    4. Compliance von Eptura und Unterauftragsverarbeitern. Eptura verpflichtet sich, (i) eine schriftliche Vereinbarung mit Unterauftragsverarbeitern über die Verarbeitung personenbezogener Kundendaten durch diese Unterauftragsverarbeiter zu treffen, die diesen Unterauftragsverarbeitern Datenschutzanforderungen für personenbezogene Kundendaten auferlegt, die mit dieser Ergänzung übereinstimmen; und (ii) bleibt für die Handlungen und Unterlassungen seiner Unterauftragsverarbeiter in demselben Umfang verantwortlich, in dem Eptura haften würde, wenn Eptura Dienstleistungen jedes Unterauftragsverarbeiters direkt unter den Bedingungen dieser Ergänzung erbringen würde.
    5. Widerspruchsrecht gegenüber Unterauftragsverarbeitern. Eptura wird den Kunden mindestens 15 Tage vor der Ernennung eines neuen Unterauftragsverarbeiters über seine Absicht informieren, neue Unterauftragsverarbeiter zu beauftragen, indem Eptura die Liste der Unterauftragsverarbeiter aktualisiert, und Eptura bietet dem Kunden die Möglichkeit, sich für Benachrichtigungen über solche Änderungen anzumelden. Der Kunde kann dem Einsatz des neuen Unterauftragsverarbeiters durch Eptura widersprechen, indem er Eptura umgehend schriftlich 15 Tage nach Erhalt der Mitteilung von Eptura benachrichtigt. Die Benachrichtigung des Kunden erfolgt an die E-Mail-Adresse(n), die in der Bestellung für die Dienste angegeben sind, oder anderweitig an Eptura beim Kauf von Dienstleistungen. Wenn der Kunde dem Einsatz des neuen Unterauftragsverarbeiters gemäß diesem Abschnitt nicht widerspricht, gilt der neue Unterauftragsverarbeiter für die Zwecke dieser Ergänzung als genehmigt. Wenn der Kunde dem Einsatz oder Ersetzung eines Unterauftragsverarbeiters durch Eptura aus berechtigten datenschutzrechtlichen Gründen widerspricht, wird er Eptura vor der Ernennung oder Ersetzung des Unterauftragsverarbeiters schriftlich darüber informieren. In diesem Fall wird Eptura angemessene Maßnahmen treffen, um die Dienste dem Kunden in Übereinstimmung mit der Vereinbarung zur Verfügung zu stellen, ohne den Unterauftragsverarbeiter zu verwenden. Wenn Eptura den Einsatz des Unterauftragsverarbeiters vernünftigerweise verlangt und nicht in der Lage ist, den Kunden innerhalb von dreißig (30) Tagen nach dem Widerspruch des Kunden von der Eignung des Unterauftragsverarbeiters zu überzeugen, kann der Kunde sich dafür entscheiden, den Teil der Dienstleistungen oder Bestellungen zu kündigen, der von Eptura nicht ohne den Einsatz des beanstandeten Unterauftragsverarbeiters bereitgestellt werden kann.
    6. Vertraulichkeit. Eptura stellt sicher, dass das Personal von Eptura und das seiner verbundenen Unternehmen, die an der Verarbeitung personenbezogener Kundendaten beteiligt sind, über die Vertraulichkeit der personenbezogenen Daten des Kunden informiert werden und schriftliche Vertraulichkeitsvereinbarungen getroffen haben.
    7. Datenschutz-Folgenabschätzung und vorherige Konsultation. Eptura leistet dem Kunden angemessene Unterstützung bei allen Datenschutz-Folgenabschätzungen (wenn eine solche angemessene Zusammenarbeit von Eptura erfordert, erhebliche Ressourcen für diese Bemühungen bereitzustellen, auf Kosten des Kunden) und vorherigen Konsultationen mit einer Aufsichtsbehörde oder anderen zuständigen Datenschutzbehörden, soweit dies nach den geltenden Datenschutzgesetzen erforderlich ist, jeweils ausschließlich in Bezug auf die Verarbeitung personenbezogener Kundendaten und unter Berücksichtigung der Art der Verarbeitung und der Eptura zur Verfügung stehenden Informationen.
    8. Weitergabe zwischen Kunden und Partnern. Wenn der Kunde verlangt, dass (i) sein Produktmieter ein gemeinsamer Mieter zwischen dem Kunden und seinen verbundenen Unternehmen ist; und (ii) Administratoren und Kontakte als „global“ bezeichnet werden, erkennt der Kunde an und stimmt zu (und es wird davon ausgegangen, dass er Eptura alle gemäß den Datenschutzgesetzen erforderlichen Anweisungen erteilt), dass Kundendaten zwischen dem Kunden und jedem seiner verbundenen Unternehmen weitergegeben werden sind Teil des gemeinsamen Mietverhältnisses.
  3. Betroffene Personen.
      Eptura benachrichtigt, soweit dies nach den Datenschutzgesetzen zulässig ist, den Kunden, wenn Eptura eine Anfrage von einer betroffenen Person erhält, die personenbezogene Daten des Kunden identifiziert oder den Kunden anderweitig identifiziert, einschließlich der Fälle, in denen die betroffene Person versucht, eines ihrer Rechte gemäß den geltenden Datenschutzgesetzen auszuüben (zusammen „Anfrage der betroffenen Person“). Wenn Eptura eine Anfrage einer betroffenen Person in Bezug auf personenbezogene Daten des Kunden erhält, wird Eptura der betroffenen Person empfehlen, ihre Anfrage an den Kunden zu senden, und der Kunde ist dafür verantwortlich, auf diese Anfrage zu antworten, einschließlich, falls erforderlich, durch Nutzung der Funktionalität der Dienste. In dem Umfang, in dem der Kunde nicht in der Lage ist, auf die relevanten personenbezogenen Daten des Kunden innerhalb der Dienste unter Verwendung solcher Steuerung oder auf andere Weise zuzugreifen, wird Eptura (auf schriftliche Anfrage des Kunden und unter Berücksichtigung der Art der Verarbeitung) auf wirtschaftlich angemessene Art kooperieren, um den Kunden bei der Beantwortung von Anfragen betroffener Personen zu unterstützen.
  4. Datenübertragungen.
    1. Wenn personenbezogene Daten des Kunden, die aus dem Europäischen Wirtschaftsraum (EEA), der Schweiz und/oder dem Vereinigten Königreich stammen, vom Kunden an Eptura in ein Land übermittelt werden, das nach den geltenden Datenschutzgesetzen kein angemessenes Schutzniveau bietet, vereinbaren die Parteien, dass die Übermittlung den Standardvertragsklauseln unterliegt, oder SCCs. Wenn die SCCs anwendbar sind und der Kunde Verantwortlicher für personenbezogene Kundendaten und Eptura Verarbeiter personenbezogener Kundendaten ist, muss jede Partei ihren Verpflichtungen gemäß Modul Zwei der SCCs nachkommen. Wenn die SCCs anwendbar sind und der Kunde Verarbeiter personenbezogener Kundendaten ist und Eptura ebenfalls Verarbeiter personenbezogener Kundendaten ist, muss jede Partei ihren Verpflichtungen gemäß Modul Drei der SCCs nachkommen. Die Parteien sind sich einig, dass: (i) die optionale Andockklausel in Klausel 7 keine Anwendung findet; (ii) die in Klausel 8.5 und Klausel 16(d) der SCCs erforderliche Löschungsbescheinigung wird auf schriftliche Anfrage des Kunden zur Verfügung gestellt; (iii) die Maßnahmen, die Eptura gemäß Klausel 8.6(c) der SCCs ergreifen muss, gelten nur für die betroffenen Systeme von Eptura; iv) das in Klausel 8.9 der SCCs beschriebene Audit wird gemäß Abschnitt 7 (Audits) dieser Ergänzung durchgeführt; (v) in Klausel 9 ist die Mindestfrist für die vorherige Benachrichtigung über Änderungen des Unterauftragsverarbeiters wie in Abschnitt 2 (e) dieser Ergänzung festgelegt (vi) sofern dies nach den Datenschutzgesetzen zulässig ist, kann Eptura bestehende Unterauftragsverarbeiter unter Verwendung des Beschlusses C(2010) 593 der Europäischen Kommission beauftragen, und ein solcher Einsatz von Unterauftragsverarbeitern gilt als mit Klausel 9 der SCCs übereinstimmend; vii) in Klausel 11 gilt die optionale Regelung nicht; (viii) das in Klausel 14(f) und Klausel 16(c) der SCCs vorgesehene Kündigungsrecht ist auf die Kündigung der SCCs beschränkt, in welchem Fall die entsprechende Verarbeitung der von einer solchen Kündigung betroffenen personenbezogenen Kundendaten eingestellt wird, sofern die Parteien nichts anderes vereinbart haben; (ix) die gemäß Klausel 15.1(c) erforderlichen Informationen werden auf schriftliche Anfrage des Kunden zur Verfügung gestellt; (x) in Klausel 17 unterliegen die Vertragsparteien den Gesetzen der Republik Irland; (xi) in Klausel 18 (b) werden Streitigkeiten vor den Gerichten der Republik Irland beigelegt; xii) Anlage A zu dieser Ergänzung enthält die in Anhang I der SCC geforderten Angaben; xiii) Anlage B zu dieser Ergänzung enthält die in Anhang II der SCC geforderten Angaben; (xiv) soweit personenbezogene Daten den britischen Datenschutzgesetzen unterliegen, werden die SCCs durch Anlage C ergänzt; und (xv) ungeachtet gegenteiliger Bestimmungen erstattet der Kunde Eptura alle Kosten und Aufwendungen, die Eptura im Zusammenhang mit der Erfüllung der Verpflichtungen von Eptura gemäß Klausel 15.1(b) und Klausel 15.2 der SCCs entstehen. Die Unterzeichnung dieser Ergänzung durch jede Vertragspartei gilt als Unterschrift unter die SCC, soweit die SCCs im Rahmen dieser Vereinbarung Anwendung finden.
  5. Informationssicherheitsprogramm.
    1. Eptura hat angemessene administrative, technische und organisatorische Maßnahmen implementiert und wird diese aufrechterhalten, um die personenbezogenen Daten des Kunden vor einem Sicherheitsvorfall zu schützen, unter Berücksichtigung des Stands der technologischen Entwicklung und der Kosten für die Umsetzung solcher Maßnahmen sowie der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung und der Wahrscheinlichkeit und Schwere einer Schädigung der Interessen der betroffenen Personen, von der erwartet werden kann, dass sie sich aus einem solchen Sicherheitsvorfall ergibt (einschließlich, gegebenenfalls die in Art. 32 Abs. 1 DSGVO genannten Maßnahmen). Alle Fragen zu den Sicherheitsmaßnahmen von Eptura können an das Sicherheits- und Datenschutzteam von Eptura unter [email protected] gesendet werden.
  6. Sicherheitsvorfälle.
    1. Eptura wird den Kunden unverzüglich schriftlich benachrichtigen, wenn Eptura von einem Sicherheitsvorfall Kenntnis erlangt. Eine solche Benachrichtigung stellt keine Anerkennung von Verschulden oder Verantwortung dar. Die Benachrichtigung soll den Kunden so weit wie möglich in die Lage versetzen, die betroffenen Personen über den Sicherheitsvorfall gemäß den Datenschutzgesetzen zu informieren und, soweit Eptura bekannt, (i) die Art des Sicherheitsvorfalls zu beschreiben, einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen sowie der Kategorien und der ungefähren Anzahl der betroffenen personenbezogenen Datensätze; und (ii) die Maßnahmen zu beschreiben, die Eptura ergriffen hat oder vorschlagen hat zu ergreifen, um auf den Sicherheitsvorfall zu reagieren, einschließlich, falls zutreffend, Maßnahmen zur Schadensbegrenzung.
    2. Im Falle eines Sicherheitsvorfalls und vor der Abgabe einer erforderlichen öffentlichen Erklärung oder erforderlichen Benachrichtigung verpflichtet sich Eptura, die Zustimmung des Kunden einzuholen, bevor eine Benachrichtigung der betroffenen Personen oder der zuständigen Aufsichtsbehörden über den Sicherheitsvorfall erfolgt. Ungeachtet des vorstehenden Satzes ist der Kunde nicht verpflichtet, seine Verpflichtungen aus den Datenschutzgesetzen zu beeinträchtigen.
    3. Die in Abschnitt 7(a) und 7(b) beschriebenen Verpflichtungen gelten nicht für den Fall, dass eine Verletzung des Schutzes personenbezogener Daten auf Handlungen oder Unterlassungen des Kunden zurückzuführen ist.
  7. Audits.
    1. Eptura verwendet unabhängige, externe Gutachter, um die Angemessenheit seiner Verarbeitung personenbezogener Kundendaten zu überprüfen. Diese Prüfung wird: i) mindestens einmal jährlich durchgeführt werden; (ii) von einem qualifizierten Fachmann nach Auswahl und auf Kosten von Eptura durchgeführt werden; und (iii) die Einhaltung der geltenden Datensicherheitsstandards für die Verarbeitung personenbezogener Daten durch Eptura nachweisen („Bericht“). Auf schriftliche Anfrage des Kunden stellt Eptura dem Kunden eine Zusammenfassung seines Berichts zur Verfügung, damit der Kunde die Einhaltung der Sicherheitsverpflichtungen in dieser Ergänzung durch Eptura angemessen überprüfen kann. Jede Bereitstellung eines solchen Berichts unterliegt angemessenen Vertraulichkeitsbestimmungen.
    2. Wenn Eptura nicht in der Lage ist, aktuelle Berichte rechtzeitig zur Verfügung zu stellen, kann der Kunde auf schriftliche Anfrage (auf eigene Kosten) ein Audit zur Gewährleistung der Informationssicherheit durchführen. Ein solches Audit unterliegt den folgenden Bedingungen: (i) Der Kunde muss seine Absicht zur Prüfung mindestens dreißig (30) Tage im Voraus ankündigen; ii) spätestens zwei (2) Wochen vor der Prüfungstätigkeit wird ein einvernehmlich vereinbarter Umfang und Zeitplan festgelegt; (iii) jeder unabhängige Gutachter ist verpflichtet, eine Geheimhaltungsvereinbarung zu unterzeichnen, wie es Eptura vor der Prüfung vernünftigerweise verlangt; (iv) das Audit muss während der normalen Geschäftszeiten von Eptura durchgeführt werden; (v) das Audit muss an einem (1) Werktag abgeschlossen sein; (vi) das Recht zur Prüfung umfasst das Recht, Aufzeichnungen zu überprüfen, aber nicht zu kopieren oder anderweitig zu entfernen, mit Ausnahme derjenigen, die sich speziell und ausschließlich auf den Kunden beziehen; und (vii) das Audit darf keine Penetrationstests, Schwachstellenuntersuchungen oder andere Sicherheitstests umfassen. Der Kunde kann ein solches Audit nur einmal pro zwölf (12) Monaten durchführen; vorausgesetzt jedoch, dass der Kunde im Falle (i) eines Sicherheitsvorfalls mit personenbezogenen Daten des Kunden zusätzliche Audits durchführen kann; oder (ii) eine Anfrage einer Aufsichtsbehörde oder einer ähnlichen Aufsichtsbehörde, die für die Durchsetzung der Datenschutzgesetze in einem Land oder Gebiet verantwortlich ist. Eptura und der Kunde werden sich treffen und alle Auditergebnisse mit allen von Eptura nach eigenem Ermessen festzulegenden Abhilfemaßnahmen und Zeitplänen besprechen.
  8. Löschung von Daten.
    1. Eptura stellt dem Kunden personenbezogene Daten auf schriftliche Anfrage innerhalb von dreißig (30) Tagen nach dem Datum der Kündigung / des Ablaufs des Vertrags für den Export zur Verfügung. Danach löscht Eptura innerhalb von sechzig (60) Tagen alle personenbezogenen Daten des Kunden (mit Ausnahme von Sicherungs- oder Archivkopien, die gemäß dem Datenaufbewahrungsplan von Eptura gelöscht werden), es sei denn, Eptura ist gemäß den Datenschutzgesetzen verpflichtet, Kopien aufzubewahren, in welchem Fall Eptura diese personenbezogenen Daten des Kunden vor einer weiteren Verarbeitung schützt. Wenn der Kunde eine Kopie der personenbezogenen Daten des Kunden anfordert, wird Eptura dieser Anfrage innerhalb von 45 Tagen nach dem Datum der Anfrage nachkommen.
  9. Haftung.
    1. Diese Ergänzung beschränkt nicht die Rechte und Pflichten der Parteien im Rahmen der Vereinbarung, die weiterhin Gültigkeit und Wirkung haben, einschließlich der darin enthaltenen Haftungsbeschränkungen und -ausschlüsse, die für diese Ergänzung gelten, als ob sie hierin geregelt wären. Im Falle eines Widerspruchs zwischen den Bedingungen dieser Ergänzung und den Bedingungen der Vereinbarung haben die Bedingungen dieser Ergänzung Vorrang, soweit deren Gegenstand die Verarbeitung personenbezogener Kundendaten betrifft.
  10. Sonstiges.
    1. Diese Ergänzung unterliegt dem Recht und der Gerichtsbarkeit des Landes oder Gebiets, dem die Vereinbarung unterliegt, und ist in Übereinstimmung mit diesem auszulegen, sofern in dieser Ergänzung nichts anderes angegeben oder durch Datenschutzgesetze vorgeschrieben ist.
    2. Eptura kann die Bedingungen dieser Ergänzung aktualisieren, wenn die Änderungen (a) erforderlich sind, um den Datenschutzgesetzen, den geltenden Vorschriften, einem Gerichtsbeschluss oder einer von einer Aufsichtsbehörde oder Behörde herausgegebenen Leitlinien zu entsprechen; oder (b) keine wesentlichen nachteiligen Auswirkungen auf die Rechte des Kunden aus der Ergänzung haben. Eptura wird dreißig (30) Tage im Voraus Bescheid geben, bevor Eptura wesentliche Änderungen an den Bestimmungen dieser Ergänzung vornimmt. Wenn sich die Aktualisierungen wesentlich auf die Nutzung der Dienste durch den Kunden auswirken, hat der Kunde das Recht, die betroffenen Dienste innerhalb von dreißig (30) Tagen nach Erhalt einer schriftlichen Mitteilung über die Änderungen zu kündigen.

Anlage A

ANHANG I

Ein. LISTE DER PARTEIEN

MODUL ZWEI: Übertragung Verantwortlicher an Auftragsverarbeiter

MODUL DREI: Übertragung Auftragsverarbeiter an Auftragsverarbeiter

Datenexporteur(e):

Name: Der Kunde, der in der Vereinbarung und/oder im Bestellformular(en) oder in der Leistungsbeschreibung angegeben ist und die verbundenen Unternehmen des Kunden
Adresse: Adresse des Kunden, wie in der Vereinbarung und/oder im Bestellformular(en) oder in der Leistungsbeschreibung angegeben
Kontaktperson: E-Mail-Adresse des Kunden, wie in der Vereinbarung und/oder im Bestellformular(en) oder in der Leistungsbeschreibung angegeben
Aktivitäten, die für übertragene Daten relevant sind: Kauf von Dienstleistungen von Eptura
Rolle:

Verantwortlicher (Modul Zwei); Auftragsverarbeiter (Modul Drei)

Datenimporteur(e):

Name: Der in der Vereinbarung und/oder Bestellung(en) oder in der Leistungsbeschreibung genannte Anbieter und alle verbundenen Unternehmen des Anbieters
Adresse: Adresse von Eptura, wie in der Vereinbarung und/oder Bestellung(en) oder in der Leistungsbeschreibung angegeben
Kontaktperson: [email protected]
Aktivitäten, die für übertragene Daten relevant sind: Eptura ist ein Anbieter von Enterprise-Cloud-Workspace- und Asset-Management-Lösungen, der personenbezogene Daten auf Anweisung des Datenexporteurs gemäß den Bedingungen der Vereinbarung und der Ergänzung verarbeitet.
Rolle:

Auftragsverarbeiter

B. BESCHREIBUNG DER ÜBERTRAGUNG

MODUL ZWEI: Übertragung Verantwortlicher an Auftragsverarbeiter

MODUL DREI: Übertragung Auftragsverarbeiter an Auftragsverarbeiter

Gegenstand der Verarbeitung: Gegenstand der Verarbeitung personenbezogener Daten durch Eptura ist die Erbringung von Dienstleistungen für den Datenexporteur gemäß dem Vertrag.
Art und Zweck der Verarbeitung: Die Verarbeitung steht im Zusammenhang mit der Bereitstellung von SaaS-Lösungen für den Kunden, wie in der Vereinbarung näher beschrieben, und Eptura und seine Unterauftragsverarbeiter führen die Verarbeitung personenbezogener Daten durch, die erforderlich sind, um diese Dienste gemäß den Anweisungen des Datenexporteurs bereitzustellen, einschließlich, aber nicht beschränkt auf die Übertragung, Speicherung und andere Verarbeitung personenbezogener Daten, die an die Dienste übermittelt werden.
Dauer der Verarbeitung:

Eptura verarbeitet personenbezogene Daten im Auftrag des Datenexporteurs, bis der Datenexporteur die Nutzung der Dienste einstellt.

Kategorien von betroffenen Personen: Betroffene Personen, deren personenbezogene Kundendaten gemäß der Vereinbarung verarbeitet werden.
Kategorien personenbezogener Daten: Personenbezogene Kundendaten, die gemäß der Vereinbarung verarbeitet werden.
Besondere Kategorien personenbezogener Daten: Besondere Kategorien personenbezogener Daten sind in den Diensten nicht zulässig.
Gegenstand, Art und Dauer der Verarbeitung durch den Unterauftragsverarbeiter: Alle Übertragungen an Unterauftragsverarbeiter erfolgen zur Erbringung der Dienstleistungen gemäß der Vereinbarung.

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

MODUL ZWEI: Übertragung Verantwortlicher an Auftragsverarbeiter

MODUL DREI: Übertragung Auftragsverarbeiter an Auftragsverarbeiter

Die gemäß Klausel 13 zuständige Aufsichtsbehörde der SCCs. Wenn keine Aufsichtsbehörde gem. Klausel 13 zuständig ist, dann soll die irische Datenschutzbehörde (Irish Data Protection Commission (DPC)) zuständig sein, und wenn dies nicht möglich ist, dann, wie von den Parteien vereinbart, im Einklang mit den in Klausel 13 festgelegten Bedingungen.

Anlage B

ANHANG II

TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MASSNAHMEN ZUR GEWÄHRLEISTUNG DER DATENSICHERHEIT

MODUL ZWEI: Übertragung Verantwortlicher an Auftragsverarbeiter

MODUL DREI: Übertragung Auftragsverarbeiter an Auftragsverarbeiter

Beschreibung der technischen und organisatorischen Maßnahmen, die von dem/den Datenimporteur(en) (einschließlich aller einschlägigen Zertifizierungen) ergriffen wurden, um ein angemessenes Sicherheitsniveau zu gewährleisten, wobei Art, Umfang, Kontext und Zweck der Verarbeitung sowie die Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen sind.

Bei der Festlegung der im Rahmen des Vertrags erforderlichen technischen und organisatorischen Sicherheitsmaßnahmen („Sicherheitsstandards“) berücksichtigt Eptura den Stand der Technik, die Implementierungskosten und die Art, den Umfang, den Kontext und die Zwecke der Verarbeitung sowie das unterschiedlich wahrscheinliche und schwere Risiko für die Rechte und Freiheiten natürlicher Personen. Eptura betreibt Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der Sicherheitsstandards zur Gewährleistung der Sicherheit der Verarbeitung personenbezogener Kundendaten.

Eptura stimmt in Bezug auf personenbezogene Daten des Kunden Folgendem zu:

  1. Schutzmaßnahmen – Programm. Eptura wird angemessene Sicherheitsvorkehrungen treffen, die mit den Industriestandards zum Schutz personenbezogener Kundendaten übereinstimmen und deren Vertraulichkeit, Integrität und Verfügbarkeit wahren. Eptura stellt sicher, dass alle diese Sicherheitsvorkehrungen den geltenden Gesetzen und der Vereinbarung entsprechen, einschließlich der Ergänzung zur Datenverarbeitung (DPA), falls zutreffend.
  2. Schutzmaßnahmen – Spezifisch. Zu den Sicherheitsstandards von Eptura gehören mindestens: (a) sichere Standorte, Rechenzentren, Papierakten, Server, Backup-Systeme und Computerausrüstung, einschließlich, aber nicht beschränkt auf alle mobilen Geräte und andere Geräte, die Informationen speichern können; b) Netzwerk-, Geräteanwendungs-, Datenbank- und Plattformsicherheit; c) sichere Übermittlung, Lagerung und Entsorgung; d) Authentifizierung und Zugangskontrollen innerhalb von Anwendungen, Betriebssystemen und Geräten; e) Protokollierung des Zugriffs auf Material und Aufbewahrung solcher Zugangskontrollprotokolle für einen Zeitraum, der ausreicht, um eine Untersuchung zu ermöglichen; (f) Verschlüsselung personenbezogener Kundendaten im Ruhezustand (Data at Rest), auch wenn sie auf einem elektronischen Notebook, einer tragbaren Festplatte oder einem austauschbaren elektronischen Datenträger, der Informationen speichern kann, gespeichert sind; (g) Verschlüsselung personenbezogener Kundendaten bei der Übertragung über öffentliche oder drahtlose Netzwerke; (h) Trennung der personenbezogenen Daten des Kunden von den Informationen der anderen Kunden von Eptura; (i) Sicherheit und Integrität des Personals, einschließlich, aber nicht beschränkt auf Hintergrundüberprüfungen im Einklang mit geltendem Recht; (j) jährliche externe und interne Tests und Schwachstellenscans und die unverzügliche Umsetzung eines Korrekturmaßnahmenplans (einschließlich des Zeitplans) auf alleinige Kosten von Eptura, um wesentliche Probleme zu beheben, die durch Tests identifiziert wurden; und (k) den Zugriff auf personenbezogene Kundendaten einzuschränken und dem autorisierten Personal von Eptura Schulungen zu Datenschutz und Informationssicherheit anzubieten. „Autorisiertes Personal“ bezeichnet das Personal von Eptura, das Kundendaten kennen oder anderweitig darauf zugreifen muss, damit Eptura seine Verpflichtungen aus der Vereinbarung erfüllen kann, und das schriftlich an Vertraulichkeitsverpflichtungen gebunden ist, die ausreichen, um die personenbezogenen Daten des Kunden in Übereinstimmung mit den Bedingungen der Vereinbarung, einschließlich der Ergänzung zur Datenverarbeitung (DPA), falls zutreffend, zu schützen.
  3. Malware. Die gelieferte Software von Eptura enthält keine Viren, Malware, Ransomware, Keylogger, Logikbomben, Trojaner, Würmer oder andere Softwareroutinen, die darauf abzielen, Software, Hardware oder Daten, die sich im Besitz des Kunden befinden oder vom Kunden kontrolliert werden, zu deaktivieren, zu löschen oder anderweitig zu beschädigen.
  4. Verbotene Hardware oder Ausrüstung. Eptura darf keine Hardware oder Ausrüstung verwenden, die nicht Abschnitt 889 (a) (1) (B) des National Defense Authorization Act für das Geschäftsjahr 2019 entspricht. Eptura erklärt auf Anfrage die Einhaltung dieser Bestimmung. Wenn Eptura diese Bestimmung nicht mehr einhalten kann, wird Eptura den Kunden unverzüglich benachrichtigen, indem Eptura eine E-Mail an den hinterlegten Sicherheitskontakt sendet.
  5. Disaster Recovery und Business Continuity. Eptura unterhält und implementiert einen Business Continuity- und Disaster-Recovery-Plan („BCDR-Plan“), der mindestens Folgendes umfasst: (a) Dokumentation der anwendbaren Geschäftsprozesse, Verfahren und Verantwortlichkeiten; b) Backup-Methodik; (c) Ermittlung von Notfallwiederherstellungsszenarien und Vereinbarungen zum Servicelevel für die Servicewiederherstellung; d) Verantwortlichkeiten der Unterauftragsverarbeiter im Katastrophenfall; e) eine Kommunikationsstrategie; und f) Verfahren für die Wiederherstellung des normalen Dienstes. Der BCDR-Plan wird jährlich überprüft. Eptura stellt sicher, dass Eptura in der Lage ist, den BCDR-Plan jederzeit in Übereinstimmung mit seinen Bedingungen umzusetzen. Eptura testet den BCDR-Plan regelmäßig (und in jedem Fall nicht weniger als jährlich). Auf Anfrage übermittelt Eptura einen schriftlichen Bericht, in dem die Ergebnisse des letzten Tests zusammengefasst sind, und führt unverzüglich alle Maßnahmen oder Abhilfemaßnahmen durch, die die Parteien einvernehmlich als Ergebnis dieser Tests für erforderlich halten.
  6. Sicherheitsvorfälle. Bei Entdeckung eines tatsächlichen oder vernünftigerweise vermuteten Verdachts durch Eptura auf (i) unbefugten Zugriff auf oder Offenlegung von Kundendaten; (ii) unbefugten Zugriff auf Anwendungen oder Systeme, die Eigentum von Eptura sind, von Eptura verwaltet oder an Unterauftragnehmer vergeben werden („Systeme von Eptura“), auf denen personenbezogene Daten des Kunden verarbeitet werden (jeweils ein „Sicherheitsvorfall“), wird Eptura unverzüglich und ohne unangemessene Verzögerung:
    1. Maßnahmen zur Minderung und/oder Behebung des Sicherheitsvorfalls ergreifen, um personenbezogene Kundendaten vor weiteren Risiken oder Schäden zu schützen, und Einleitung einer Untersuchung;
    2. Geeignete Kontrollen einführen, um alle elektronischen Beweismittel im Zusammenhang mit dem Sicherheitsvorfall in Übereinstimmung mit den Industriestandards aufzubewahren und aufzubewahren;
    3. Dem Kunden die Art des Sicherheitsvorfalls melden (einschließlich, soweit möglich, der Kategorien der verletzten Daten und der Kategorien von Datenverlustmethoden sowie in dem Umfang, in dem es sich um personenbezogene Daten des Kunden handelt, der Kategorien und der ungefähren Anzahl der betroffenen Personen und der ungefähren Anzahl der betroffenen personenbezogenen Kundendatensätze);
    4. Den Namen und die Kontaktdaten der Kontaktstelle von Eptura angeben, an der unverzüglich weitere Informationen eingeholt werden können, der wahrscheinlichen Folgen des Sicherheitsvorfalls, falls bekannt, und der Maßnahmen, die ergriffen wurden oder vorgeschlagen werden, um den Sicherheitsvorfall zu beheben, einschließlich (gegebenenfalls) Maßnahmen zur Minderung seiner möglichen nachteiligen Auswirkungen;
    5. Maßnahmen ergreifen, um zu verhindern, dass in Zukunft ähnliche Sicherheitsvorfälle auftreten. Eptura ist im Zweifel nicht verpflichtet, Pings auf Firewalls, Port-Scans und Malware zu melden, die höchst unwahrscheinlich zu unbefugtem Zugriff, Verwendung, Offenlegung, Änderung oder Zerstörung von Informationen führen können. Interferenzen mit den Systemen von Eptura werden nicht als meldepflichtiger Sicherheitsvorfall angesehen, den Eptura dem Kunden melden soll; und
    6. Bei allen Untersuchungen, Streitigkeiten, Anfragen, Ansprüche, Rechtsstreitigkeiten oder behördlichen Maßnahmen, die sich aus Sicherheitsvorfällen ergeben, konsultieren und zusammenarbeiten.
  7. Zertifizierungen und Sicherheitsbewertungen. Eptura beauftragt unabhängige externe Sicherheitsbewertungsfirmen (Audits) mit der Durchführung von Zertifizierungsprüfungen und Sicherheitstests auf jährlicher Basis. Auf Verlangen des Kunden stellt Eptura dem Kunden Nachweise über aktuelle Zertifizierungen und Tests zur Verfügung, einschließlich Zertifikaten, Zusammenfassungen und anderen Aufzeichnungen, die nach dem alleinigem, aber angemessenem Ermessen von Eptura als relevant erachtet werden (die „Bewertungsunterlagen“), um die Einhaltung der Vereinbarung und der Gesetze nachzuweisen.
  8. Sicherheitsfragebögen. Nicht mehr als einmal pro Zeitraum von zwölf (12) Monaten und auf Anfrage beantwortet Eptura einen Cybersicherheitsfragebogen oder eine ähnliche Anfrage, der von angemessener Länge ist und nicht die Vorlage von zusätzlichen Belegen zu den aktuellen Bewertungsunterlagen erfordert.

Unterstützung bei Anfragen von betroffenen Personen. Der Kunde ist für die Kommunikation mit den betroffenen Personen gemäß Klausel 15.1(a) der SCCs verantwortlich.

Anlage C

Diese Ergänzung wurde durch den Datenschutzbeauftragten für Parteien ausgestellt, die eingeschränkte Übertragungen durchführen. Der Datenschutzbeauftragte ist der Auffassung, dass sie angemessene Schutzmaßnahmen für eingeschränkte Übertragungen bietet, wenn sie als rechtsverbindlicher Vertrag abgeschlossen wird.

TEIL 1: TABELLEN

TABELLE 1: PARTEIEN

  1. Anfangsdatum
  1. Das Datum, an dem der Kunde oder sein verbundenes Unternehmen, der bzw. das in der Vereinbarung und/oder im/in Bestellformular(en)/in (der) Leistungsbeschreibung(en) aufgeführt wird, die Vereinbarung abschließt.
  1. Die Parteien
  1. Exporteur (der die eingeschränkte Übertragung sendet)
  1. Importeur (der die eingeschränkte Übertragung empfängt)
  1. Angaben zu den Parteien
  1. Vollständiger Name: Der in der Vereinbarung und/oder im/in Bestellformular(en)/in (der) Leistungsbeschreibung(en) angegebene Kunde und alle verbundenen Unternehmen des Kunden
  2. Firmenname (falls anderslautend):
  3. Hauptadresse (falls eine eingetragene Firmenadresse): Adresse des Kunden gemäß Vereinbarung und/oder Bestellformular(en)/Leistungsbeschreibung(en)
  4. Offizielle Registrierungsnummer (falls vorhanden) (Firmennummer oder eine ähnliche Identifikationsnummer): Die eingetragene Nummer des Kunden oder des mit dem Kunden verbundenen Unternehmens gemäß Vereinbarung und/oder Bestellformular(en)/Leistungsbeschreibung(en)
  1. Vollständiger Name: Der in der Vereinbarung und/oder im/in Bestellformular(en)/in (der) Leistungsbeschreibung(en) angegebene Anbieter
  2. Firmenname (falls anderslautend):
  3. Hauptadresse (falls eine eingetragene Firmenadresse): Adresse des Anbieters gemäß Vereinbarung und/oder Bestellformular(en)/Leistungsbeschreibung(en)
  4. Offizielle Registrierungsnummer (falls vorhanden) (Firmennummer oder eine ähnliche Identifikationsnummer): Die eingetragene Nummer des Anbieters gemäß Vereinbarung und/oder Bestellformular(en)/Leistungsbeschreibung(en)
  1. Hauptansprechpartner
  1. Kontaktdaten, einschließlich E-Mail-Adresse: E-Mail-Adresse des Kunden gemäß Vereinbarung und/oder Bestellformular(en)/Leistungsbeschreibung(en)
  1. Vollständiger Name (optional): James Carder
  2. Titel: Chief Information Security Officer
  3. Kontaktdaten, einschließlich E-Mail-Adresse: [email protected]
  1. Unterschrift (falls erforderlich für die Zwecke von Abschnitt 2)
  1. Nicht erforderlich
  1. Nicht erforderlich

TABELLE 2: AUSGEWÄHLTE STANDARDVERTRAGSKLAUSELN, MODULE UND AUSGEWÄHLTE KLAUSELN

  1. Ergänzung zu den EU-Standardvertragsklauseln

Die Version der genehmigten EU-Standardvertragsklauseln, die dieser Ergänzung beigefügt wird (siehe unten), einschließlich der Anhangsangaben:

  1. Datum:
  2. Verweis (falls vorhanden):
  3. Sonstiges Kennzeichen (falls vorhanden):
  4. Oder

x die genehmigten EU-Standardvertragsklauseln, einschließlich der Anhangsangaben, wobei nur die folgenden Module, Klauseln oder optionalen Bestimmungen der genehmigten EU-Standardvertragsklauseln für die Zwecke dieser Ergänzung in Kraft gesetzt werden:

  1. Modul
  1. Modul im Einsatz
  1. Klausel 7 (Kopplungsklausel)
  1. Klausel 11
    (Option)
  1. Klausel 9a (vorherige Genehmigung oder allgemeine Genehmigung)
  1. Klausel 9a (Frist)
  1. Werden vom Importeur empfangene personenbezogene Daten mit personenbezogenen Daten kombiniert, die von dem Exporteur erfasst wurden?
  1. 1

  1. 2

  1. x

  1. Allgemeine Genehmigung
  1. 14 Tage
  1. 3

  1. x

  1. Allgemeine Genehmigung
  1. 14 Tage
  1. 4

TABELLE 3: ANHANGSANGABEN

Als „Anhangsangaben“ werden diejenigen Informationen bezeichnet, die für die ausgewählten Module gemäß Anhang der genehmigten EU-Standardvertragsklauseln (mit Ausnahme der Parteien) bereitzustellen sind und die für diese Ergänzung an folgenden Stellen aufgeführt sind:

  1. Anhang 1A: Liste der Parteien: Gemäß Anlage A
  1. Anhang 1B: Beschreibung der Übertragung: Gemäß Anlage A
  1. Anhang II: Technische und organisatorische Maßnahmen, einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Daten: Gemäß Anlage B
  1. Anhang III: Liste der Unterauftragsverarbeiter (nur Module 2 und 3): Siehe www.eptura.com/subprocessors

TABELLE 4: BEENDIGUNG DIESER ERGÄNZUNG BEI ÄNDERUNG DER GENEHMIGTEN ERGÄNZUNG

  1. Beendigung dieser Ergänzung bei Änderung der genehmigten Ergänzung
  1. Die folgenden Parteien können diese Ergänzung gemäß Abschnitt 19. beenden:
  2. Importeur
  3. x Exporteur
  4. keine der Parteien

TEIL 2: VERBINDLICHE KLAUSELN

UNTERZEICHNUNG DIESER ERGÄNZUNG

  1. Jeder Partei erklärt sich mit den in dieser Ergänzung festgelegten Bedingungen einverstanden, wenn sich die andere Partei ebenfalls mit dieser Ergänzung einverstanden erklärt.
  2. Obwohl Anhang 1A und Klausel 7 der genehmigten EU-Standardvertragsklauseln von den Parteien unterzeichnet werden müssen, können die Parteien diese Ergänzung zum Zwecke der Durchführung eingeschränkter Übertragungen auf jede Weise vereinbaren, die sie für die Parteien rechtsverbindlich macht und es den betroffenen Personen ermöglicht, ihre in dieser Ergänzung definierten Rechte durchzusetzen. Die Unterzeichnung dieser Ergänzung hat dieselbe Wirkung wie die Unterzeichnung der genehmigten EU-Standardvertragsklauseln und aller Teile der genehmigten EU-Standardvertragsklauseln.

AUSLEGUNG DIESER ERGÄNZUNG

  1. Wenn in dieser Ergänzung Begriffe verwendet werden, die in den genehmigten EU-Standardvertragsklauseln definiert sind, haben diese Begriffe dieselbe Bedeutung wie in den genehmigten EU-Standardvertragsklauseln. Darüber hinaus haben die folgenden Begriffe die folgende Bedeutung:
  1. Ergänzung
  1. Diese Ergänzung für internationale Datenübertragungen umfasst diese Ergänzung, in die die Ergänzung zu den EU-Standardvertragsklauseln aufgenommen wurde.
  1. Ergänzung zu den EU-Standardvertragsklauseln
  1. Die Version(en) der genehmigten EU-Standardvertragsklauseln, denen diese Ergänzung beigefügt wird/werden (gemäß Tabelle 2), einschließlich der Anhangsangaben.
  1. Anhangsangaben
  1. Gemäß Tabelle 3.
  1. Angemessene Schutzmaßnahmen
  1. Das Schutzniveau für personenbezogene Daten und Rechte von betroffenen Personen, das durch britische Datenschutzgesetze vorgeschrieben ist, wenn Sie eine eingeschränkte Übertragung durchführen und sich dabei auf Standard-Datenschutzklauseln gemäß Artikel 46(2)(d) der britischen Datenschutz-Grundverordnung stützen.
  1. Genehmigte Ergänzung
  1. Die von dem Datenschutzbeauftragten ausgestellte und dem Parlament gemäß s119A des Data Protection Act 2018 am 2. Februar 2022 vorgelegte Muster-Ergänzung in der gemäß Abschnitt 18. überarbeiteten Fassung.
  1. Genehmigte EU-Standardvertragsklauseln
  1. Die Standardvertragsklauseln, die im Anhang des Durchführungsbeschlusses (EU) 2021/914 der Kommission vom 4. Juni 2021 aufgeführt sind.
  1. ICO
  1. Der Datenschutzbeauftragte (Information Commissioner).
  1. Eingeschränkte Übertragung
  1. Eine Übertragung, die unter Kapitel V der britischen Datenschutz-Grundverordnung fällt.
  1. UK
  1. Das Vereinigte Königreich von Großbritannien und Nordirland.
  1. Britische Datenschutzgesetze
  1. Sämtliche Gesetze im Zusammenhang mit Datenschutz, der Verarbeitung personenbezogener Daten, Privatsphäre und/oder elektronischer Kommunikation, die von Zeit zu Zeit im Vereinigten Königreich gelten, einschließlich der britischen Datenschutz-Grundverordnung und des Data Protection Act 2018.
  1. Britische Datenschutz-Grundverordnung
  1. Gemäß Abschnitt 3 des Data Protection Act 2018.
  1. Diese Ergänzung ist stets so auszulegen, dass sie in Einklang mit den britischen Datenschutzgesetzen steht und die Verpflichtung der Parteien erfüllt, angemessene Schutzmaßnahmen vorzusehen.
  2. Wenn die in der Ergänzung der EU-Standardvertragsklauseln enthaltenen Bestimmungen die genehmigten Standardvertragsklauseln auf eine Weise ändern, die gemäß den genehmigten EU-Standardvertragsklauseln oder der genehmigten Ergänzung nicht zulässig ist, werden diese Änderungen nicht in diese Ergänzung aufgenommen und die entsprechende Bestimmung der genehmigten EU-Standardvertragsklauseln tritt an ihre Stelle.
  3. Bei Widersprüchen oder Unstimmigkeiten zwischen den britischen Datenschutzgesetzen und dieser Ergänzung haben die britischen Datenschutzgesetze Vorrang.
  4. Wenn die Bedeutung dieser Ergänzung nicht deutlich ist oder es mehr als eine Bedeutung gibt, gilt die Bedeutung, die den britischen Datenschutzgesetzen am ehesten entspricht.
  5. Jegliche Bezugnahme auf Gesetze (oder spezifische Bestimmungen in Gesetzen) erfolgt vor dem Hintergrund, dass sich Gesetze (oder eine spezifische Bestimmung) im Laufe der Zeit ändern können. Dies umfasst Fälle, in denen dieses Gesetz (oder diese spezifische Bestimmung) konsolidiert, wieder in Kraft gesetzt und/oder ersetzt wird, nachdem diese Ergänzung unterzeichnet wurde.

RANGFOLGE

  1. Obwohl in Klausel 5 der genehmigten EU-Standardvertragsklauseln festgelegt ist, dass die genehmigten EU-Standardvertragsklauseln Vorrang vor allen zugehörigen Vereinbarungen zwischen den Parteien haben, vereinbaren die Parteien, dass für eingeschränkte Übertragungen die Rangfolge in Abschnitt 10 gilt.
  2. Bei Widersprüchen oder Unstimmigkeiten zwischen der genehmigten Ergänzung und der Ergänzung zu den EU-Standardvertragsklauseln (soweit zutreffend) hat die genehmigte Ergänzung Vorrang vor der Ergänzung zu den EU-Standardvertragsklauseln, außer in dem Fall, dass die widersprüchlichen oder abweichenden Bestimmungen der Ergänzung zu den EU-Standardvertragsklauseln betroffenen Personen einen höheren Schutz bieten. In diesem Fall haben diese Bestimmungen Vorrang vor der genehmigten Ergänzung.
  3. Wenn diese Ergänzung die Ergänzung zu den EU-Standardvertragsklauseln umfasst, die zum Schutz von Übertragungen gemäß der Datenschutz-Grundverordnung (EU) 2016/679 unterzeichnet wurde, bestätigen die Parteien, dass sich keine Bestimmung in dieser Ergänzung auf die Ergänzung zu den EU-Standardvertragsklauseln auswirkt.

AUFNAHME VON UND ÄNDERUNGEN AN DEN EU-STANDARDVERTRAGSKLAUSELN

  1. Diese Ergänzung umfasst die Ergänzung zu den EU-Standardvertragsklauseln, die im erforderlichen Umfang geändert wird, sodass:
    1. sie gemeinsam für Datenübertragungen von dem Datenexporteur an den Datenimporteur gilt, und zwar in dem Umfang, in dem britische Datenschutzgesetze für die Verarbeitung durch den Datenexporteur bei Datenübertragungen gelten und angemessene Schutzmaßnahmen für diese Datenübertragungen vorsehen;
    2. die Abschnitte 9 bis 11 Vorrang vor Klausel 5 (Rangfolge) der Ergänzung zu den EU-Standardvertragsklauseln haben; und
    3. diese Ergänzung (einschließlich der hierin aufgenommenen Ergänzung zu den EU-Standardvertragsklauseln) (1) den Gesetzen von England und Wales unterliegt und (2) sich daraus ergebende Streitigkeiten von den Gerichten von England und Wales beigelegt werden, es sei denn, die Gesetze und/oder Gerichte von Schottland oder Nordirland wurden ausdrücklich von den Parteien ausgewählt.
  2. Sofern die Parteien keine alternativen Änderungen vereinbart haben, die die Anforderungen von Abschnitt 12 erfüllen, gelten die Bestimmungen von Abschnitt 15.
  3. Es dürfen keine Änderungen an den genehmigten EU-Standardvertragsklauseln vorgenommen werden, es sei denn, diese dienen zur Erfüllung der Anforderungen von Abschnitt 12.
  4. Die folgenden Änderungen werden an der Ergänzung zu den EU-Standardvertragsklauseln (für die Zwecke von Abschnitt 12) vorgenommen:
    1. Bezugnahmen auf die „Klauseln“ bezeichnen diese Ergänzung, die die Ergänzung zu den EU-Standardvertragsklauseln enthält;
    2. In Klausel 2 werden die folgenden Wörter gestrichen:
      1. „sowie – in Bezug auf Datenübermittlungen von Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter – Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679“;
    3. Klausel 6 (Beschreibung der Übermittlung(en)) wird ersetzt durch:
      1. „Die Einzelheiten der Datenübermittlung(en), insbesondere die Kategorien der übermittelten personenbezogenen Daten und der/die Zweck(e), zu dem/denen sie übermittelt werden, sind in Anhang I.B aufgeführt, wenn britische Datenschutzgesetze für die Verarbeitung durch den Datenexporteur bei der Übermittlung gelten.“;
    4. Klausel 8.7(i) von Modul 1 wird ersetzt durch:
      1. „Sie erfolgt an ein Land, für das ein Angemessenheitsbeschluss nach Abschnitt 17A der britischen Datenschutz-Grundverordnung gilt, der die Weiterübermittlung abdeckt“;
    5. Klausel 8.8(i) der Module 2 und 3 wird ersetzt durch:
      1. „Die Weiterübermittlung erfolgt an ein Land, für das ein Angemessenheitsbeschluss nach Abschnitt 17A der britischen Datenschutz-Grundverordnung gilt, der die Weiterübermittlung abdeckt“;
    6. Bezugnahmen auf „Verordnung (EU) 2016/679“, „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung)“ und „diese Verordnung“ werden durch „britische Datenschutzgesetze“ ersetzt. Bezugnahmen auf bestimmte Artikel von „Verordnung (EU) 2016/679“ werden durch den entsprechenden Artikel oder Abschnitt der britischen Datenschutzgesetze ersetzt;
    7. Bezugnahmen auf Verordnung (EU) 2018/1725 werden entfernt;
    8. Bezugnahmen auf die „Europäische Union“, „Union“, „EU“, „EU-Mitgliedstaat“, „Mitgliedstaat“ und „EU oder Mitgliedstaat“ werden durch „Vereinigtes Königreich“ ersetzt;
    9. Die Bezugnahme auf „Klausel 12(c)(i)“ in Klausel 10(b)(i) von Modul 1 wird durch „Klausel 11(c)(i)“ ersetzt;
    10. Klausel 13(a) und Teil C von Anhang I werden nicht verwendet;
    11. Die Begriffe „zuständige Aufsichtsbehörde“ und „Aufsichtsbehörde“ werden durch „Datenschutzbeauftragter“ ersetzt;
    12. In Klausel 16(e) wird Unterabschnitt (1) ersetzt durch:
      1. „der Außenminister Beschlüsse nach Abschnitt 17A des Data Protection Act 2018 erlässt, die sich auf die Übermittlung personenbezogener Daten beziehen, für die diese Klauseln gelten“;
    13. Klausel 17 wird ersetzt durch:
      1. „Diese Klauseln unterliegen den Gesetzen von England und Wales.“;
    14. Klausel 18 wird ersetzt durch:
      1. „Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten von England und Wales beigelegt. Eine betroffene Person kann Klage gegen den Datenexporteur und/oder den Datenimporteur auch vor den Gerichten eines beliebigen Landes im Vereinigten Königreich erheben. Die Parteien erklären sich damit einverstanden, sich der Zuständigkeit dieser Gerichte zu unterwerfen“; und
    15. Die Fußnoten zu den genehmigten EU-Standardvertragsklauseln sind nicht Teil der Ergänzung, mit Ausnahme der Fußnoten 8, 9, 10 und 11.

ÄNDERUNGEN AN DIESER ERGÄNZUNG

  1. Die Parteien können vereinbaren, die Klauseln 17 und/oder 18 der Ergänzung zu den EU-Standardvertragsklauseln zu ändern, sodass sie auf die Gesetze und/oder Gerichte von Schottland oder Nordirland verweisen.
  2. Wenn die Parteien das Format der Informationen ändern möchten, die in Teil 1: Tabellen der genehmigten Ergänzung enthalten sind, können sie der Änderung zu diesem Zweck schriftlich zustimmen, vorausgesetzt, dass die Änderung die angemessenen Schutzmaßnahmen nicht mindert.
  3. Möglicherweise stellt der Datenschutzbeauftragte von Zeit zu Zeit eine überarbeitete genehmigte Ergänzung aus, die: a. angemessene und verhältnismäßige Änderungen an der genehmigten Ergänzung vornimmt, u.a. zur Berichtigung von Fehlern in der genehmigten Ergänzung; und/oder b. Änderungen an britischen Datenschutzgesetzen widerspiegelt. In der überarbeiteten genehmigten Ergänzung wird das Anfangsdatum aufgeführt, ab dem die Änderungen an der genehmigten Ergänzung gelten, und es wird angegeben, ob die Parteien diese Ergänzung samt der Anhangsangaben prüfen müssen. Diese Ergänzung wird automatisch gemäß der überarbeiteten genehmigten Ergänzung ab dem angegebenen Anfangsdatum geändert.
  4. Wenn der Datenschutzbeauftrage eine überarbeitete genehmigte Ergänzung gemäß Abschnitt 18 ausstellt und eine der in Tabelle 4 („Beendigung dieser Ergänzung bei Änderung der genehmigten Ergänzung“) ausgewählten Parteien als direkte Folge der Änderungen an der genehmigten Ergänzung eine erhebliche, unverhältnismäßige und nachweisbare Erhöhung: a. ihrer direkten Kosten für die Erfüllung ihrer Verpflichtungen im Rahmen der Ergänzung feststellt; und/oder b. sie einem erhöhten Risiko aufgrund der Ergänzung ausgesetzt ist, und in beiden Fällen erste angemessene Schritte zur Reduzierung dieser Kosten und Risiken unternommen hat, damit diese als nicht mehr erheblich und unverhältnismäßig gelten, kann diese Partei diese Ergänzung nach Ablauf einer angemessenen Frist beenden. Dafür muss sie der anderen Partei vor dem Anfangsdatum der überarbeiteten genehmigten Ergänzung eine schriftliche Mitteilung in Bezug auf diese Frist übermitteln.
  5. Die Parteien müssen nicht die Zustimmung einer Drittpartei einholen, um Änderungen an dieser Ergänzung vorzunehmen. Jegliche Änderungen müssen jedoch gemäß den darin vorgesehenen Bedingungen erfolgen.

Ready to learn more?

Sign up to stay in the loop on new product updates, the latest innovations in worktech, and tips & tricks to help you work your world.