Menu

Watch the Video
COVID-19-Mitarbeiterschulung jetzt verfügbar. Hier erhalten Sie den kostenlosen Kurs.

Alchemy-Datenverarbeitungsvereinbarung

ZWISCHEN:

(1) DEM KUNDEN (der „Datenverantwortliche”); und

(2) Alchemy Systems (der „Datenverarbeiter”),

(jeweils eine „Partei“, und zusammen die „Parteien“).

ANGESICHTS DES NACHSTEHENDEN:
(A) Der Datenverarbeiter muss dem Datenverantwortlichen Dienste gemäß dieser Vereinbarung bereitstellen.

(B) Diese Vereinbarung wird abgeschlossen, um angemessene Schutzmaßnahmen in Bezug auf den Datenschutz und die Sicherheit der personenbezogenen Daten zu gewährleisten, die vom Datenverantwortlichen an den Datenverarbeiter zur Verarbeitung weitergegeben werden oder auf die der Datenverarbeiter im Auftrag des Datenverantwortlichen für die Verarbeitung zugreift oder die der Datenverarbeiter anderweitig zur Verarbeitung im Auftrag des Datenverantwortlichen erhält.

(C) Diese Vereinbarung definiert ferner bestimmte Servicelevel, die auf alle mit personenbezogenen Daten zusammenhängenden Dienste (wie unten definiert), die der Datenverarbeiter dem Datenverantwortlichen zur Verfügung stellt, anzuwenden sind.

WIRD FOLGENDES VEREINBART:

1. DEFINITIONEN

1.1 In dieser Vereinbarung haben die folgenden Ausdrücke die folgende Bedeutung, sofern der Kontext nichts anderes erfordert:

„Datenverantwortlicher“
bezeichnet die Einheit, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt;

„Datenverarbeiter“
bezeichnet die Einheit, die personenbezogene Daten im Auftrag des Datenverantwortlichen verarbeitet;

„Betroffene Person“
bezeichnet eine identifizierte oder identifizierbare natürliche Person, auf die sich die personenbezogenen Daten beziehen;

„Anweisung“
ist die schriftliche Anweisung, die der Datenverantwortliche an den Datenverarbeiter übermittelt und die diesen anweist, eine bestimmte Maßnahme in Bezug auf personenbezogene Daten durchzuführen (einschließlich der Entpersonalisierung, Sperrung, Löschung, Bereitstellung usw.);

„Personenbezogene Daten“
bezeichnet jede Information, die sich auf eine identifizierte oder identifizierbare natürliche Person bezieht; eine identifizierbare Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf eine Kennung wie einen Namen, eine Identifikationsnummer, Standortdaten, eine Online-Kennung oder auf einen oder mehrere Faktoren, die spezifisch für die physische, physiologische, genetische, mentale, wirtschaftliche, kulturelle oder soziale Identität der Person sind;

„Datenschutzverletzung in Bezug auf personenbezogene Daten“
bezeichnet eine Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Vernichtung, zum Verlust, zur Änderung, zur unberechtigten Weitergabe oder zum unberechtigten Zugriff auf die übermittelten, gespeicherten oder anderweitig verarbeiteten personenbezogenen Daten führt;

„Verarbeitung“
bezeichnet jede Aktion oder Reihe von Aktionen, die mit den personenbezogenen Daten durchgeführt wird, unabhängig davon, ob sie automatisch oder nicht automatisch erfolgt, wie z.B. das Erfassen, Aufzeichnen, Organisieren, Speichern, Anpassen oder Ändern, Abrufen, Abfragen, Konsultieren, Verwenden, Offenlegen durch Übertragung, Verbreiten oder anderweitiges Verfügbarmachen, Ausrichten oder Kombinieren, Sperren, Löschen oder Vernichten;

„Anhang“
bezeichnet den Anhang, der dieser Vereinbarung beigefügt ist und einen Teil davon bildet;

„Dienste“
bezeichnet die Verarbeitung der personenbezogenen Daten durch den Datenverarbeiter in Verbindung mit und zum Zweck der Bereitstellung der Dienste, die der Datenverarbeiter dem Datenverantwortlichen in Bezug auf den Hauptdienstleistungsvertrag zwischen Alchemy Systems und dem KUNDEN vom 10. Januar 2018 zu erbringen hat, einschließlich der in Anhang 1 zu dieser Vereinbarung beschriebenen Dienste;

„Standard-Vertragsklauseln“
bezeichnet die von und zwischen dem Datenverantwortlichen und dem Datenverarbeiter ausgeführte Vereinbarung, die gemäß dem Beschluss der Europäischen Kommission (C(2010)593) vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Datenverarbeiter in Drittländern, die kein angemessenes Datenschutzniveau gewährleisten, als Anhang 3 beigefügt ist;

„Unterauftragsverarbeiter“
bezeichnet jeden vom Datenverarbeiter (oder von einem anderen Unterauftragsverarbeiter des Datenverarbeiters) beauftragten Datenverarbeiter, der sich damit einverstanden erklärt, vom Datenverarbeiter (oder von einem anderen Unterauftragsverarbeiter des Datenverarbeiters) personenbezogene Daten zu erhalten, die ausschließlich für die Verarbeitung dieser personenbezogenen Daten im Auftrag des Datenverarbeiters nach der Übertragung gemäß dessen Anweisungen und den Bedingungen des schriftlichen Untervertrags bestimmt sind;

„Laufzeit“
bezeichnet die Dauer der Leistungsbeschreibung (Statement of Work, SOW), wie sie in der Leistungsbeschreibung gemäß dem Hauptdienstleistungsvertrag zwischen Alchemy Systems und dem KUNDEN vom 20. April 2018 definiert ist.

2. UMFANG UND ANWENDUNG DIESER VEREINBARUNG

2.1 Der Umfang, die Art und Weise und der Zweck sowie die Kategorien der personenbezogenen Daten und die betroffenen Personen sind in Anhang 1 zu dieser Vereinbarung festgelegt.

2.2 Diese Vereinbarung gilt in Bezug auf die Dienste für:

2.2.1alle personenbezogenen Daten, die vom oder im Auftrag des Datenverantwortlichen an den Datenverarbeiter zur Verarbeitung gesendet werden;

2.2.2alle personenbezogenen Daten, auf die der Datenverarbeiter im Auftrag des Datenverantwortlichen für die Verarbeitung zugreift; und

2.2.3alle personenbezogenen Daten, die der Datenverarbeiter anderweitig zur Verarbeitung im Auftrag des Datenverantwortlichen erhält.

3. DATENVERARBEITUNG

Der Datenverarbeiter erklärt sich damit einverstanden, die personenbezogenen Daten, auf die diese Vereinbarung aufgrund von Klausel 2 Anwendung findet, gemäß den in dieser Vereinbarung festgelegten Bedingungen zu verarbeiten, und insbesondere stimmt der Datenverarbeiter zu:

3.1die personenbezogenen Daten nur im Namen des Datenverantwortlichen und jederzeit in Übereinstimmung mit den Anweisungen des Datenverantwortlichen auf der Grundlage dieser Vereinbarung und allen anwendbaren Datenschutzgesetzen und ausschließlich für die Zwecke (in Verbindung mit der Bereitstellung der Dienste durch den Datenverarbeiter) und in der Art und Weise zu verarbeiten, die von Zeit zu Zeit vom Datenverantwortlichen schriftlich festgelegt werden, und für keinen anderen Zweck oder auf irgendeine Weise, außer mit der ausdrücklichen vorherigen schriftlichen Genehmigung des Datenverantwortlichen. Mündlich erteilte Anweisungen sind unverzüglich schriftlich zu bestätigen. Wenn der Datenverarbeiter aus welchen Gründen auch immer nicht in der Lage ist, eine solche Einhaltung zu gewährleisten, erklärt er sich damit einverstanden, den Datenverantwortlichen unverzüglich über seine mangelnde Fähigkeit zur Einhaltung zu informieren, wobei der Datenverantwortliche in diesem Fall berechtigt ist, die Übertragung von Daten auszusetzen und/oder diese Vereinbarung zu beenden. Wenn der Datenverarbeiter der Ansicht ist, dass die Befolgung von Anweisungen des Datenverantwortlichen zu einem Verstoß gegen geltendes Datenschutzrecht führen würde, muss der Datenverarbeiter den Datenverantwortlichen innerhalb einer angemessenen Frist schriftlich darüber informieren;

3.2 dass er keinen Grund zu der Annahme hat, dass ein anwendbares Recht ihn daran hindert, die vom Datenverantwortlichen erhaltenen Anweisungen und seine Verpflichtungen im Rahmen dieser Vereinbarung zu erfüllen, und dass er im Falle einer Änderung des anwendbaren Rechts, die wahrscheinlich erhebliche nachteilige Auswirkungen auf die Verpflichtungen im Rahmen dieser Vereinbarung haben wird, den Datenverantwortlichen unverzüglich über die Änderung informiert, sobald er von dieser Änderung Kenntnis erhält; in diesem Fall ist der Datenverantwortliche berechtigt, die Übermittlung personenbezogener Daten auszusetzen und/oder diese Vereinbarung zu beenden;

3.3 dass der Datenverarbeiter im Verantwortungsbereich des Datenverarbeiters seine interne Unternehmensorganisation so strukturiert, dass die Einhaltung der spezifischen Anforderungen des Schutzes personenbezogener Daten gewährleistet ist. Der Datenverarbeiter muss die technischen und organisatorischen Maßnahmen ergreifen, um die personenbezogenen Daten des Datenverantwortlichen angemessen vor Missbrauch und Verlust zu schützen. Ein Überblick über die technischen und organisatorischen Maßnahmen ist als Anhang 2 (Beschreibung der technischen und organisatorischen Maßnahmen) dieser Vereinbarung beigefügt. Der Datenverarbeiter überwacht regelmäßig die Einhaltung dieser Maßnahmen;

3.4um sicherzustellen, dass jeder seiner Mitarbeiter, Vertreter und Unterauftragsverarbeiter über seine Verpflichtungen aus dieser Vereinbarung in Bezug auf die Sicherheit und den Schutz der personenbezogenen Daten informiert wird und verlangt, dass sie verbindliche Verpflichtungen mit dem Datenverarbeiter eingehen, um das in dieser Vereinbarung vorgesehene Sicherheits- und Schutzniveau aufrechtzuerhalten;

3.5um sicherzustellen, dass alle mit der Verarbeitung der personenbezogenen Daten des Datenverarbeiters betrauten Mitarbeiter sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen. Die Verpflichtung zur Wahrung der Vertraulichkeit der Daten besteht auch nach Beendigung des jeweiligen Arbeitsverhältnisses fort;

3.6die personenbezogenen Daten weder direkt noch indirekt ohne die ausdrückliche vorherige schriftliche Zustimmung des Datenverantwortlichen an eine Person, Firma oder ein Unternehmen oder anderweitig weiterzugeben, außer an die Mitarbeiter, Vertreter und Unterauftragsverarbeiter, die mit der Verarbeitung der personenbezogenen Daten befasst sind und den in Abschnitt 3.4 oder 3.5 genannten verbindlichen Verpflichtungen unterliegen, oder mit Ausnahme derer, die durch ein Gesetz oder eine Verordnung vorgeschrieben sind;

3.7den Datenverantwortlichen unverzüglich über Folgendes zu informieren:

3.7.1jede rechtsverbindliche Aufforderung zur Offenlegung der personenbezogenen Daten durch eine Strafverfolgungsbehörde, sofern nicht anderweitig verboten, wie z. B. ein strafrechtliches Verbot zur Wahrung der Vertraulichkeit einer Strafverfolgungsuntersuchung;

3.7.2jede wesentliche Unterbrechung der Dienste oder schwerwiegende Betriebsunterbrechungen, jegliche Verstöße des Datenverarbeiters oder seiner Mitarbeiter, gegen geltende Datenschutzgesetze oder gegen diese Vereinbarung oder jede wesentliche Unregelmäßigkeit in Bezug auf die Verarbeitung der personenbezogenen Daten des Datenverantwortlichen;

3.7.3jede Datenschutzverletzung in Bezug auf personenbezogene Daten, von der er Kenntnis erlangt. Eine solche Meldung muss unter Berücksichtigung der Art der Verarbeitung und der dem Datenverarbeiter zur Verfügung stehenden Informationen alle relevanten Informationen enthalten, die den Datenverantwortlichen bei seinen eigenen Meldepflichten nach geltendem Recht unterstützen:

3.7.4alle Anfragen, die direkt von den betroffenen Personen eingehen, ohne auf diese Anfrage zu antworten, es sei denn, es liegt eine anderweitige schriftliche Genehmigung des Datenverantwortlichen vor;

3.8im Falle der Ausübung von Rechten, die die betroffenen Personen nach geltendem Recht in Bezug auf die personenbezogenen Daten haben (einschließlich des Rechts auf Zugang, Berichtigung, Löschung, Sperrung, Widerspruch, Einschränkung, Übertragbarkeit der Daten und des Rechts, nicht einer Entscheidung zu unterliegen, die ausschließlich auf einer automatisierten Verarbeitung, einschließlich der Erstellung von Profilen, beruht), den Datenverantwortlichen so schnell wie möglich zu informieren, und der Datenverarbeiter erklärt sich ferner bereit, den Datenverantwortlichen bei allen Anfragen der betroffenen Personen in Bezug auf personenbezogene Daten zu unterstützen;

3.9unter Berücksichtigung der Art der Verarbeitung den Datenverantwortlichen durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist, bei der Erfüllung der Verpflichtung des Datenverantwortlichen zur Beantwortung von Anfragen zur Ausübung der Rechte der betroffenen Person, die durch das anwendbare Recht festgelegt sind, zu unterstützen;

3.10alle Anfragen des Datenverantwortlichen bezüglich der Verarbeitung der personenbezogenen Daten unverzüglich und ordnungsgemäß zu bearbeiten, einschließlich der Bereitstellung aller Informationen, die erforderlich sind, um die Einhaltung der in dieser Vereinbarung festgelegten Verpflichtungen nachzuweisen, oder Informationen, die der Datenverantwortliche benötigt, um die geltenden Gesetze anzuwenden;

3.11dass alle von einem Unterauftragsverarbeiter ausgeführten Verarbeitungsdienste in Übereinstimmung mit Abschnitt 6 durchgeführt werden;

3.12dass der Datenverarbeiter einen Datenschutzbeauftragten ernannt hat, soweit dies nach geltendem Recht erforderlich ist. Der Datenverarbeiter stellt die Kontaktdaten der ernannten Person zur Verfügung; und

3.13Unterstützung des Datenverantwortlichen bei der Sicherstellung der Einhaltung des geltenden Rechts, einschließlich der Verpflichtung zur Durchführung von Datenschutzfolgenabschätzungen und vorherigen Konsultationen mit den Aufsichtsbehörden, unter Berücksichtigung der Art der Verarbeitung und der dem Datenverarbeiter zur Verfügung stehenden Informationen.

4. PFLICHTEN DES DATENVERANTWORTLICHEN

Im Rahmen dieser Vereinbarung und beschränkt auf den Anwendungsbereich dieser Vereinbarung erklärt sich der Datenverantwortliche damit einverstanden, dass er sicherstellt, dass jede Offenlegung personenbezogener Daten durch ihn an den Datenverarbeiter mit der Zustimmung der betroffenen Person erfolgt oder anderweitig rechtmäßig ist.

5. BEENDIGUNG

5.1 Diese Vereinbarung endet automatisch mit dem späteren der folgenden Ereignisse: (a) Beendigung oder Auslaufen der Verpflichtungen des Datenverarbeiters in Bezug auf die Dienste und (b) Beendigung der Vereinbarung.nach Wahl des Datenverantwortlichen. Bei Beendigung dieser Vereinbarung liefert der Datenverarbeiter dem Datenverantwortlichen unverzüglich alle personenbezogenen Daten des Datenverantwortlichen, die sich in seinem Besitz oder unter seiner Kontrolle befinden, oder vernichtet sie nach alleinigem Ermessen des Datenverantwortlichen. Auf Verlangen des Datenverantwortlichen hat der Datenverarbeiter die Einhaltung dieser Verpflichtungen schriftlich zu bestätigen und alle vorhandenen Kopien zu löschen, es sei denn, das geltende Recht schreibt die Speicherung der personenbezogenen Daten vor.

5.2 Der Datenverantwortliche ist berechtigt, diese Vereinbarung unverzüglich durch schriftliche Mitteilung an den Datenverarbeiter zu kündigen, wenn der Datenverantwortliche vom Datenverarbeiter eine Mitteilung gemäß Abschnitt 3.1 oder 3.2 dieser Vereinbarung erhält.

6. ERNENNUNG VON UNTERAUFTRAGSVERARBEITERN

6.1 Der Datenverarbeiter kann einen Unterauftragsverarbeiter nur mit vorheriger schriftlicher Zustimmung des Datenverantwortlichen zur Verarbeitung personenbezogener Daten ermächtigen. Im Falle einer allgemeinen schriftlichen Genehmigung hat der Datenverarbeiter den Datenverantwortlichen über beabsichtigte Änderungen bezüglich der Ergänzung oder des Austauschs anderer Unterauftragsverarbeiter zu informieren, wodurch der Datenverantwortliche die Möglichkeit erhält, gegen diese Änderungen Widerspruch einzulegen.

6.2 Eine solche Verarbeitung durch einen Unterauftragsverarbeiter muss gemäß einer unterzeichneten Vereinbarung erfolgen, die nicht weniger restriktiv ist als diese Vereinbarung.

6.3 Keine Verarbeitung durch einen Unterauftragsverarbeiter entbindet den Datenverarbeiter von seiner Verantwortung für seine Verpflichtungen gemäß dieser Vereinbarung, und der Datenverarbeiter haftet in vollem Umfang für die Arbeit und die Aktivitäten jedes seiner Unterauftragsverarbeiter.

7. STANDARDVERTRAGSKLAUSELN

7.1 Im Zuge der Bereitstellung von Diensten durch den Datenverarbeiter an den Datenverantwortlichen kann es notwendig sein, personenbezogene Daten des Datenverantwortlichen an den in den Vereinigten Staaten ansässigen Datenverarbeiter zu übertragen.

7.2 In Bezug auf die in Abschnitt 7.1 genannten Datenübertragungen sind die Standardvertragsklauseln, die vom Datenverantwortlichen als Datenexporteur und vom Datenverarbeiter als Datenimporteur ausgeführt werden, wie in Anhang 3 dargelegt.

7.3 Unterauftragsverarbeiter werden gemäß Abschnitt 5(h) der Standardvertragsklauseln, wie in Abschnitt 6 dieser Vereinbarung näher ausgeführt, ernannt.

7.4 Im Falle eines Konflikts zwischen dem Hauptteil dieser Vereinbarung und seinen Anhängen (mit Ausnahme der Standardvertragsklauseln) und den Standardvertragsklauseln in Anhang 3 hat die Bestimmung Vorrang, die die Rechte und Freiheiten der betroffenen Personen in größerem Umfang schützt.

8. VERSCHIEDENE BESTIMMUNGEN

8.1 Änderungen oder Ergänzungen zu dieser Vereinbarung bedürfen zu ihrer Wirksamkeit der Schriftform. Dies gilt auch für Änderungen dieses Schriftformerfordernisses. Das Schriftformerfordernis in dieser Klausel umfasst weder Faxe noch eine nicht vorübergehende Form der sichtbaren Wiedergabe von Worten (wie z. B. E-Mails).

8.2 Sollte eine Bestimmung dieser Vereinbarung unwirksam sein oder werden, so berührt dies nicht die Gültigkeit der übrigen Bestimmungen. Die Parteien sind in einem solchen Fall verpflichtet, an der Erstellung von Bedingungen mitzuwirken, die ein rechtlich wirksames Ergebnis erzielen, das der unwirksamen Bestimmung wirtschaftlich am nächsten kommt. Das Vorstehende gilt entsprechend für die Schließung etwaiger Lücken in der Vereinbarung.

8.3 Alle Verpflichtungen des Datenverantwortlichen, die sich aus gesetzlichen Bestimmungen oder aufgrund einer gerichtlichen oder behördlichen Entscheidung ergeben, bleiben von dieser Vereinbarung unberührt.

8.4 Diese Vereinbarung unterliegt demselben Recht, das auch für die Leistungsbeschreibung gemäß dem Hauptdienstleistungsvertrag zwischen Alchemy Systems und dem Kunden vom 10. Januar 2018 gilt.

ANHANG 1

BESCHREIBUNG DER VERARBEITUNG

Gegenstand

Die Bereitstellung der Dienste durch Alchemy Systems, wie in Abschnitt 1.1 der Datenverarbeitungsvereinbarung definiert.

Dauer der Verarbeitung

Die Daten werden nicht länger aufbewahrt, als es für die Erreichung der Zwecke, für die sie erhoben, verarbeitet oder verwendet wurden, erforderlich ist oder wie es in den geltenden Gesetzen bezüglich der Aufbewahrungsfristen für Daten festgelegt ist.
Die Laufzeit zuzüglich des Zeitraums vom Ablauf der Laufzeit bis zur Löschung aller personenbezogenen Daten durch Alchemy Systems in Übereinstimmung mit den Bedingungen, in Übereinstimmung mit Abschnitt 5.1 der Datenverarbeitungsvereinbarung.

Umfang, Art und Zweck der Verarbeitung

Alchemy Systems wird personenbezogene Daten zum Zwecke der Bereitstellung der Dienste verarbeiten.

Betroffene Personen

Der Datenverarbeiter kann die personenbezogenen Daten der Kunden der Tochtergesellschaft des Datenverarbeiters, des KUNDEN, verarbeiten. Der Datenverarbeiter kann auch die von den Endnutzern der Dienste bereitgestellten personenbezogenen Daten verarbeiten, wozu auch die personenbezogenen Daten der derzeitigen Mitarbeiter, der ehemaligen Mitarbeiter und der Endnutzer gehören können.

Datenkategorien

Daten, die sich auf Personen beziehen, die von Alchemy Systems über die Dienste, vom (oder auf Anweisung des) Kunden oder von Endbenutzern des Kunden bereitgestellt werden.
• Kontaktdaten, wie Vorname, Nachname, Telefonnummer und E-Mail-Adresse.
• Beschäftigungsstatus, wie Abteilung, Stellenbezeichnung, Standort und Vorgesetzter.

Anhang 2

Beschreibung der technischen und organisatorischen Maßnahmen

Alchemy wird die Sicherheitsmaßnahmen umsetzen und aufrechterhalten, um ein diesem Risiko angemessenes Sicherheitsniveau zu gewährleisten, gegebenenfalls einschließlich der in Artikel 32(1) der DSGVO genannten Maßnahmen. Bei der Beurteilung des angemessenen Sicherheitsniveaus berücksichtigt Alchemy insbesondere die Risiken, die sich aus der Art dieser Verarbeitungsaktivitäten ergeben, und insbesondere die Risiken, die mit möglichen Datenschutzverletzung in Bezug auf personenbezogene Daten verbunden sind.

Alchemy kann solche Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren oder modifizieren, vorausgesetzt, dass solche Aktualisierungen und Modifikationen nicht zu einer Beeinträchtigung der allgemeinen Sicherheit der Dienste führen.

Anhang 3

Standard-Vertragsklauseln (Verarbeiter)

Für die Zwecke von Artikel 26(2) der Richtlinie 95/46/EG für die Übermittlung personenbezogener Daten an Datenverarbeiter in Drittländern, die kein angemessenes Datenschutzniveau gewährleisten
Weitere Informationen, die zur Identifizierung der Organisation erforderlich sind: k. A.

(der Datenexporteur)

und

Weitere Informationen, die zur Identifizierung der Organisation erforderlich sind: k. A.

(der Datenimporteur)

jeweils eine „Partei“; zusammen „die Parteien“,
SIND über die folgenden Vertragsklauseln (die Klauseln) ÜBEREINGEKOMMEN, um angemessene Garantien in Bezug auf den Datenschutz und die Grundrechte und -freiheiten natürlicher Personen für die Übermittlung der in Anhang 1 aufgeführten personenbezogenen Daten durch den Datenexporteur an den Datenimporteur zu gewährleisten.

Klausel 1

Definitionen

Für die Zwecke der Klauseln:

(a) „personenbezogene Daten“, „besondere Datenkategorien“, „Verarbeitung“, „Verantwortlicher“, „Verarbeiter“, „betroffene Person“ und „Aufsichtsbehörde“ haben die gleiche Bedeutung wie in der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr;

(b) „Datenexporteur“ bezeichnet den Verantwortlichen, der die personenbezogenen Daten übermittelt;

(c)„Datenimporteur“ bezeichnet den Verarbeiter, der sich bereit erklärt, vom Datenexporteur personenbezogene Daten zu erhalten, die nach der Übermittlung gemäß seinen Anweisungen und den Bestimmungen der Klauseln in seinem Namen verarbeitet werden sollen, und der nicht dem System eines Drittlandes unterliegt, das einen angemessenen Schutz im Sinne von Artikel 25(1) der Richtlinie 95/46/EG gewährleistet;

(d) „Unterauftragsverarbeiter“ ist jeder vom Datenimporteur oder von einem anderen Unterauftragsverarbeiter des Datenimporteurs beauftragte Verarbeiter, der sich bereit erklärt, vom Datenimporteur oder von einem anderen Unterauftragsverarbeiter des Datenimporteurs personenbezogene Daten zu erhalten, die ausschließlich für Verarbeitungstätigkeiten bestimmt sind, die nach der Übermittlung gemäß seinen Anweisungen, gemäß den Bestimmungen der Klauseln und gemäß den Bedingungen des schriftlichen Untervertrags im Namen des Datenexporteurs durchgeführt werden;

(e) „das anwendbare Datenschutzrecht“ bezeichnet die Rechtsvorschriften zum Schutz der Grundrechte und -freiheiten natürlicher Personen und insbesondere ihres Rechts auf Datenschutz bei der Verarbeitung personenbezogener Daten, die für einen Datenverantwortlichen in dem Mitgliedstaat gelten, in dem der Datenexporteur ansässig ist;

(f) „technische und organisatorische Sicherheitsmaßnahmen“ bezeichnet die Maßnahmen zum Schutz personenbezogener Daten gegen die zufällige oder unrechtmäßige Vernichtung oder den zufälligen Verlust, die Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung von Daten über ein Netzwerk umfasst, sowie gegen jede andere Form der unrechtmäßigen Verarbeitung.

Klausel 2

Einzelheiten der Übertragung

Die Einzelheiten der Übertragung und insbesondere die besonderen Kategorien personenbezogener Daten, soweit anwendbar, sind in Anhang 1 aufgeführt, der einen integralen Bestandteil der Klauseln bildet.

Klausel 3

Drittbegünstigungsklausel

1. Die betroffene Person kann gegen den Datenexporteur diese Klausel, Klausel 4(b) bis (i), Klausel 5(a) bis (e) und (g) bis (j), Klausel 6(1) und (2), Klausel 7, Klausel 8(2) und die Klauseln 9 bis 12 als Drittbegünstigter durchsetzen.

2. Die betroffene Person kann gegen den Datenimporteur diese Klausel, Klausel 5(a) bis (e) und (g), Klausel 6, Klausel 7, Klausel 8(2) und die Klauseln 9 bis 12 in Fällen durchsetzen, in denen der Datenexporteur faktisch nicht mehr existiert oder rechtlich nicht mehr existiert, es sei denn, dass eine Nachfolgeeinrichtung die gesamten rechtlichen Verpflichtungen des Datenexporteurs vertraglich oder kraft Gesetzes übernommen hat, wodurch sie die Rechte und Pflichten des Datenexporteurs übernimmt; in diesem Fall kann die betroffene Person diese gegenüber dieser Einrichtung durchsetzen.

3. Die betroffene Person kann diese Klausel, Klausel 5(a) bis (e) und (g), Klausel 6, Klausel 7, Klausel 8(2) und Klauseln 9 bis 12 gegenüber dem Unterauftragsverarbeiter geltend machen, wenn sowohl der Datenexporteur als auch der Datenimporteur faktisch nicht mehr existieren oder rechtlich nicht mehr existieren oder zahlungsunfähig sind, es sei denn, eine Nachfolgeeinrichtung hat die gesamten rechtlichen Verpflichtungen des Datenexporteurs vertraglich oder kraft Gesetzes übernommen, wodurch sie die Rechte und Pflichten des Datenexporteurs übernimmt; in diesem Fall kann die betroffene Person diese gegenüber dieser Einrichtung durchsetzen. Eine solche Dritthaftung des Unterauftragsverarbeiters ist auf seine eigenen Verarbeitungsvorgänge gemäß den Klauseln beschränkt.

4. Die Parteien erheben keine Einwände dagegen, dass eine betroffene Person durch eine Vereinigung oder ein anderes Gremium vertreten wird, wenn die betroffene Person dies ausdrücklich wünscht und wenn dies nach nationalem Recht zulässig ist.

Klausel 4

Pflichten des Datenexporteurs

Der Datenexporteur ist damit einverstanden und garantiert:

(a)dass die Verarbeitung der personenbezogenen Daten, einschließlich der Übermittlung selbst, im Einklang mit den einschlägigen Bestimmungen des geltenden Datenschutzrechts erfolgt ist und weiterhin erfolgen wird (und gegebenenfalls den zuständigen Behörden des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, mitgeteilt wurde) und nicht gegen die einschlägigen Bestimmungen dieses Staates verstößt;

(b)dass er den Datenimporteur angewiesen hat und während der gesamten Dauer der Verarbeitungsdienste für personenbezogene Daten anweisen wird, die übermittelten personenbezogenen Daten nur im Namen des Datenexporteurs und im Einklang mit dem anwendbaren Datenschutzrecht und den Klauseln zu verarbeiten;

(c)dass der Datenimporteur ausreichende Garantien in Bezug auf die in Anhang 2 dieses Vertrags aufgeführten technischen und organisatorischen Sicherheitsmaßnahmen bietet;

(d)dass nach Prüfung der Anforderungen des anwendbaren Datenschutzrechts die Sicherheitsmaßnahmen geeignet sind, personenbezogene Daten gegen die zufällige oder unrechtmäßige Vernichtung oder den zufälligen Verlust, die Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung von Daten über ein Netzwerk umfasst, sowie gegen alle anderen unrechtmäßigen Formen der Verarbeitung zu schützen, und dass diese Maßnahmen ein Sicherheitsniveau gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten unter Berücksichtigung des Standes der Technik und der Kosten ihrer Durchführung angemessen ist;

(e)dass er die Einhaltung der Sicherheitsmaßnahmen gewährleisten wird;

(f)dass die betroffene Person, wenn die Übermittlung besondere Datenkategorien betrifft, vor oder so bald wie möglich nach der Übermittlung darüber informiert wurde oder informiert wird, dass ihre Daten in ein Drittland übermittelt werden könnten, das keinen angemessenen Schutz im Sinne der Richtlinie 95/46/EG bietet;

(g)dass er jede vom Datenimporteur oder einem Unterauftragsverarbeiter gemäß Klausel 5(b) und Klausel 8(3) erhaltene Meldung an die Datenschutzaufsichtsbehörde weiterleitet, wenn der Datenexporteur beschließt, die Übermittlung fortzusetzen oder die Aussetzung aufzuheben;

(h)dass er den betroffenen Personen auf Anfrage eine Kopie der Klauseln, mit Ausnahme von Anhang 2, und eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen sowie eine Kopie jedes Vertrags über Unterauftragsverarbeitungsdienste, der gemäß den Klauseln zu erstellen ist, zur Verfügung stellt, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall kann er diese Geschäftsinformationen entfernen;

(i)dass im Falle einer Unterauftragsverarbeitung die Verarbeitung gemäß Klausel 11 von einem Unterauftragsverarbeiter durchgeführt wird, der mindestens das gleiche Schutzniveau für die personenbezogenen Daten und die Rechte der betroffenen Person bietet wie der Datenimporteur gemäß den Klauseln; und

(j)dass er die Einhaltung von Paragraph 4(a) bis (i) sicherstellen wird.

Klausel 5

Pflichten des Datenimporteurs

Der Datenimporteur ist damit einverstanden und garantiert:

(a)die personenbezogenen Daten nur im Auftrag des Datenexporteurs und unter Einhaltung seiner Anweisungen und der Klauseln zu verarbeiten; wenn er diese Einhaltung aus welchen Gründen auch immer nicht gewährleisten kann, erklärt er sich bereit, den Datenexporteur unverzüglich über seine mangelnde Fähigkeit zur Einhaltung zu informieren; in diesem Fall ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder den Vertrag zu beenden;

(b)dass er keinen Grund zu der Annahme hat, dass die für ihn geltenden Rechtsvorschriften ihn daran hindern, die vom Datenexporteur erhaltenen Anweisungen und seine vertraglichen Verpflichtungen zu erfüllen, und dass er im Falle einer Änderung dieser Rechtsvorschriften, die sich wahrscheinlich erheblich nachteilig auf die in den Klauseln vorgesehenen Garantien und Verpflichtungen auswirkt, den Datenexporteur unverzüglich über die Änderung informiert, sobald er davon Kenntnis erhält; in diesem Fall ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder den Vertrag zu beenden;

(c)dass er die in Anhang 2 aufgeführten technischen und organisatorischen Sicherheitsmaßnahmen vor der Verarbeitung der übermittelten personenbezogenen Daten umgesetzt hat;

(d)dass er den Datenexporteur unverzüglich über Folgendes informiert:

(i)jeden rechtsverbindlichen Antrag auf Offenlegung der personenbezogenen Daten durch eine Strafverfolgungsbehörde, sofern nicht anderweitig untersagt, wie z. B. ein strafrechtliches Verbot zur Wahrung der Vertraulichkeit einer Strafverfolgungsuntersuchung,

(ii)jeden unbeabsichtigten oder unbefugten Zugriff und

(iii)alle Anfragen, die direkt von den betroffenen Personen eingegangen sind, ohne auf diese Anfrage zu antworten, es sei denn, er wurde anderweitig dazu ermächtigt;

(e)alle Anfragen des Datenexporteurs bezüglich der Verarbeitung von personenbezogenen Daten der betroffenen Person, die Gegenstand der Übermittlung ist, unverzüglich und ordnungsgemäß zu bearbeiten und den Rat der Aufsichtsbehörde hinsichtlich der Verarbeitung der übermittelten Daten zu befolgen;

(f) auf Ersuchen des Datenexporteurs seine Datenverarbeitungseinrichtungen zur Prüfung der unter die Klauseln fallenden Verarbeitungstätigkeiten zu überlassen, die vom Datenexporteur oder einer Kontrollstelle durchgeführt wird, die sich aus unabhängigen Mitgliedern zusammensetzt und über die erforderlichen beruflichen Qualifikationen verfügt, die der Datenexporteur, gegebenenfalls im Einvernehmen mit der Kontrollstelle, ausgewählt hat und die an eine Geheimhaltungspflicht gebunden sind;

(g) dass er der betroffenen Person auf Antrag eine Kopie der Klauseln oder eines bestehenden Vertrags zur Weiterverarbeitung zur Verfügung stellt, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall kann er diese Geschäftsinformationen entfernen, mit Ausnahme von Anhang 2, der durch eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen in den Fällen ersetzt wird, in denen die betroffene Person keine Kopie vom Datenexporteur erhalten kann;

(h) dass er im Falle einer Weiterverarbeitung zuvor den Datenexporteur informiert und dessen vorherige schriftliche Einwilligung eingeholt hat;

(i) dass die Verarbeitungsdienste durch den Unterauftragsverarbeiter in Übereinstimmung mit Klausel 11 durchgeführt werden;

(j)dem Datenexporteur unverzüglich eine Kopie jeder Unterauftragsverarbeitungsvereinbarung zu übermitteln, die er gemäß den Klauseln abschließt.

Klausel 6

Haftung

1. Die Parteien vereinbaren, dass jede betroffene Person, die infolge einer Verletzung der in Klausel 3 oder in Klausel 11 genannten Verpflichtungen durch eine Partei oder einen Unterauftragsverarbeiter einen Schaden erlitten hat, das Recht hat, vom Datenexporteur eine Entschädigung für den erlittenen Schaden zu erhalten.

2. Wenn eine betroffene Person nicht in der Lage ist, einen Schadenersatzanspruch gemäß Absatz 1 gegen den Datenexporteur geltend zu machen, weil der Datenimporteur oder sein Unterauftragsverarbeiter gegen eine seiner Verpflichtungen nach Klausel 3 oder Klausel 11 verstoßen hat, weil der Datenexporteur faktisch oder rechtlich nicht mehr existiert oder zahlungsunfähig geworden ist, erklärt sich der Datenimporteur damit einverstanden, dass die betroffene Person einen Anspruch gegen den Datenimporteur geltend machen kann, als wäre er der Datenexporteur, es sei denn, eine Nachfolgeeinrichtung hat die gesamten rechtlichen Verpflichtungen des Datenexporteurs durch Vertrag oder kraft Gesetzes übernommen; in diesem Fall kann die betroffene Person ihre Rechte gegenüber dieser Einrichtung geltend machen.
Der Datenimporteur kann sich nicht auf eine Verletzung seiner Verpflichtungen durch einen Unterauftragsverarbeiter berufen, um sich seinen eigenen Verpflichtungen zu entziehen.

3. Wenn eine betroffene Person nicht in der Lage ist, einen Anspruch gegen den Datenexporteur oder den Datenimporteur gemäß den Absätzen 1 und 2 geltend zu machen, der sich aus der Verletzung einer ihrer Verpflichtungen nach Klausel 3 oder Klausel 11 durch den Unterauftragsverarbeiter ergibt, weil sowohl der Datenexporteur als auch der Datenimporteur faktisch oder rechtlich nicht mehr existieren oder zahlungsunfähig geworden sind, erklärt sich der Unterauftragsverarbeiter damit einverstanden, dass die betroffene Person einen Anspruch gegen den Datenunterauftragsverarbeiter in Bezug auf seine eigenen Verarbeitungsvorgänge gemäß den Klauseln geltend machen kann, als ob er der Datenexporteur oder der Datenimporteur wäre, es sei denn, eine Nachfolgeeinrichtung hat die gesamten rechtlichen Verpflichtungen des Datenexporteurs oder Datenimporteurs vertraglich oder kraft Gesetzes übernommen; in diesem Fall kann die betroffene Person ihre Rechte gegenüber dieser Einrichtung geltend machen. Die Haftung des Unterauftragsverarbeiters ist auf seine eigenen Verarbeitungsvorgänge gemäß den Klauseln beschränkt.

Klausel 7

Mediation und Gerichtsbarkeit

1. Der Datenimporteur erklärt sich damit einverstanden, dass wenn die betroffene Person Rechte Dritter gegen ihn geltend macht und/oder Schadenersatzansprüche gemäß den Klauseln geltend macht, der Datenimporteur die Entscheidung der betroffenen Person akzeptiert:

(a) die Streitigkeit einer Schlichtung durch eine unabhängige Person oder gegebenenfalls durch die Aufsichtsbehörde zuzuführen;

(b) die Streitigkeit an die Gerichte des Mitgliedstaats zu verweisen, in dem der Datenexporteur ansässig ist.

2. Die Parteien vereinbaren, dass die Wahl der betroffenen Person ihre materiellen oder verfahrensrechtlichen Rechte auf Einlegung von Rechtsmitteln gemäß anderen Bestimmungen des nationalen oder internationalen Rechts nicht beeinträchtigt.

Klausel 8

Zusammenarbeit mit Aufsichtsbehörden

1. Der Datenexporteur erklärt sich bereit, eine Kopie dieses Vertrags bei der Aufsichtsbehörde zu hinterlegen, wenn diese darum bittet oder wenn eine solche Hinterlegung nach dem geltenden Datenschutzgesetz erforderlich ist.

2. Die Parteien vereinbaren, dass die Aufsichtsbehörde das Recht hat, eine Prüfung des Datenimporteurs und jedes Unterauftragsverarbeiters durchzuführen, die denselben Umfang hat und denselben Bedingungen unterliegt, wie sie für eine Prüfung des Datenexporteurs nach dem anwendbaren Datenschutzrecht gelten würden.

3. Der Datenimporteur informiert den Datenexporteur unverzüglich über die bestehenden Rechtsvorschriften, die für ihn oder einen Unterauftragsverarbeiter gelten und die die Durchführung einer Prüfung des Datenimporteurs oder eines Unterauftragsverarbeiters gemäß Absatz 2 verhindern. In einem solchen Fall ist der Datenexporteur berechtigt, die in Klausel 5 (b) vorgesehenen Maßnahmen zu ergreifen.

Klausel 9

Anwendbares Recht

Die Klauseln unterliegen dem Recht des Mitgliedstaates, in dem der Datenexporteur ansässig ist.

Klausel 10

Abweichung des Vertrags
Die Parteien verpflichten sich, die Klauseln nicht abzuändern oder zu modifizieren. Dies schließt nicht aus, dass die Parteien bei Bedarf Klauseln zu geschäftsbezogenen Fragen hinzufügen, solange diese nicht im Widerspruch zur Klausel stehen.

Klausel 11

Unterauftragsverarbeitung

1. Der Datenimporteur darf ohne vorherige schriftliche Einwilligung des Datenexporteurs keine seiner Verarbeitungsvorgänge, die im Namen des Datenexporteurs gemäß den Klauseln durchgeführt werden, an Subunternehmer vergeben. Falls der Datenimporteur seine Verpflichtungen gemäß den Klauseln mit Zustimmung des Datenexporteurs an einen Unterauftragnehmer vergibt, so darf er dies nur im Wege einer schriftlichen Vereinbarung mit dem Unterauftragsverarbeiter tun, die dem Unterauftragsverarbeiter dieselben Verpflichtungen auferlegt, die dem Datenimporteur gemäß den Klauseln auferlegt werden. Kommt der Unterauftragsverarbeiter seinen Datenschutzverpflichtungen aus dieser schriftlichen Vereinbarung nicht nach, so bleibt der Datenimporteur gegenüber dem Datenexporteur in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters aus dieser Vereinbarung verantwortlich.

2. Der vorherige schriftliche Vertrag zwischen dem Datenimporteur und dem Unterauftragsverarbeiter muss auch eine Drittbegünstigungsklausel gemäß Klausel 3 für Fälle vorsehen, in denen die betroffene Person den in Klausel 6 Absatz 1 genannten Schadensersatzanspruch gegen den Datenexporteur oder den Datenimporteur nicht geltend machen kann, weil sie faktisch oder rechtlich nicht mehr existieren oder zahlungsunfähig geworden sind und keine Nachfolgeeinrichtung die gesamten rechtlichen Verpflichtungen des Datenexporteurs oder Datenimporteurs vertraglich oder kraft Gesetzes übernommen hat. Eine solche Dritthaftung des Unterauftragsverarbeiters ist auf seine eigenen Verarbeitungsvorgänge gemäß den Klauseln beschränkt.

3. Die Bestimmungen über die Datenschutzaspekte für die in Absatz 1 genannte Unterauftragsverarbeitung richten sich nach dem Recht des Mitgliedstaats, in dem der Datenexporteur ansässig ist.

4. Der Datenexporteur führt eine Liste der gemäß den Klauseln vereinbarten und vom Datenimporteur gemäß Klausel 5 (j) gemeldeten Unterauftragsverarbeitungsverträge, die mindestens einmal jährlich aktualisiert wird. Die Liste steht der Datenschutzaufsichtsbehörde des Datenexporteurs zur Verfügung.

Klausel 12

Verpflichtung nach der Beendigung von Diensten zur Verarbeitung personenbezogener Daten

1. Die Parteien vereinbaren, dass bei Beendigung der Bereitstellung von Datenverarbeitungsdiensten der Datenimporteur und der Unterauftragsverarbeiter nach Wahl des Datenexporteurs alle übermittelten personenbezogenen Daten und die Kopien davon an den Datenexporteur zurückgeben oder alle personenbezogenen Daten vernichten und dem Datenexporteur bescheinigen, dass dies geschehen ist, es sei denn, die dem Datenimporteur auferlegten Rechtsvorschriften hindern ihn daran, die übermittelten personenbezogenen Daten ganz oder teilweise zurückzugeben oder zu vernichten. In diesem Fall garantiert der Datenimporteur, dass er die Vertraulichkeit der übermittelten personenbezogenen Daten gewährleistet und die übermittelten personenbezogenen Daten nicht mehr aktiv bearbeitet.

2. Der Datenimporteur und der Unterauftragsverarbeiter garantieren, dass sie auf Verlangen des Datenexporteurs und/oder der Aufsichtsbehörde ihre Datenverarbeitungsanlagen für eine Prüfung der in Absatz 1 genannten Maßnahmen bereithalten werden.

ANHANG 1 ZU DEN STANDARDVERTRAGSKLAUSELN
Dieser Anhang ist Teil der Klauseln und muss von den Parteien vollständig ausgefüllt und unterzeichnet werden.
Die Mitgliedstaaten können gemäß ihren nationalen Verfahren alle zusätzlichen notwendigen Angaben, die in diesem Anhang enthalten sein müssen, ergänzen oder spezifizieren.

Für alle Teile von Anhang 1 siehe die Beschreibung in Anhang 1 der Datenverarbeitungsvereinbarung.

Datenexporteur
Der Datenexporteur ist (bitte geben Sie kurz Ihre für die Übertragung relevanten Tätigkeiten an):
………………………………………………………………………………………………………………………………………………………………………………………………

Datenimporteur
Der Datenimporteur ist (bitte geben Sie kurz Ihre für die Übertragung relevanten Tätigkeiten an):
………………………………………………………………………………………………………………………………………………………………………………………………

Betroffene Personen
Die übermittelten personenbezogenen Daten betreffen folgende Kategorien von betroffenen Personen (bitte angeben):
………………………………………………………………………………………………………………………………………………………………………………………………

Datenkategorien
Die übermittelten personenbezogenen Daten betreffen folgende Datenkategorien (bitte angeben):
………………………………………………………………………………………………………………………………………………………………………………………………

Besondere Datenkategorien (falls zutreffend)
Die übermittelten personenbezogenen Daten betreffen folgende besondere Datenkategorien (bitte angeben):
………………………………………………………………………………………………………………………………………………………………………………………………

Verarbeitungsvorgänge
Die übermittelten personenbezogenen Daten werden den folgenden grundlegenden Verarbeitungsvorgängen unterzogen (bitte angeben):
………………………………………………………………………………………………………………………………………………………………………………………………

ANHANG 2 ZU DEN STANDARDVERTRAGSKLAUSELN
Dieser Anhang ist Teil der Klauseln und muss von den Parteien vollständig ausgefüllt und unterzeichnet werden.
Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, die der Datenimporteur gemäß Klausel 4(d) und 5(c) (oder gemäß beigefügtem Dokument/Gesetzgebung) getroffen hat:

Siehe Beschreibung in Anhang 2 der Datenverarbeitungsvereinbarung.