Datenverarbeitungsvereinbarung

SchlĂŒsselbegriffe

Begriff Wert
Vereinbarung Diese DPA ergÀnzt die Terms of Service
Genehmigte Unterauftragsverarbeiter Cloudflare (USA; DNS-, Netzwerk- und Sicherheitsanbieter), DataPacket (USA/UK; Hosting-Anbieter), Digital Ocean (USA; Hosting-Anbieter), Vultr (USA; Hosting-Anbieter), Stripe (USA; Zahlungsabwickler), PayPal (USA; Zahlungsabwickler)
Sicherheitskontakt des Anbieters security@forwardemail.net
Sicherheitsrichtlinie our Security Policy on GitHub anzeigen
Regierender Staat Der Staat Delaware, USA

Änderungen an der Vereinbarung

Dieses Dokument ist eine Ableitung von Gemeinsame Standardbedingungen fĂŒr das DPA-Papier (Version 1.0) und es wurden die folgenden Änderungen vorgenommen:

  1. Geltendes Recht und Gerichtsstand wurde unten als Abschnitt mit dem oben genannten Governing State eingefĂŒgt.
  2. Dienstanbieterbeziehung wurde unten als Abschnitt eingefĂŒgt.

1. Prozessor- und Subprozessorbeziehungen

1. Anbieter als Verarbeiter

In Situationen, in denen der Kunde ein Verantwortlicher fĂŒr die personenbezogenen Daten des Kunden ist, wird der Anbieter als Verarbeiter betrachtet, der personenbezogene Daten im Auftrag des Kunden verarbeitet.

2. Anbieter als Unterauftragsverarbeiter

In Situationen, in denen der Kunde ein Verarbeiter der personenbezogenen Daten des Kunden ist, wird der Anbieter als Unterverarbeiter der personenbezogenen Daten des Kunden betrachtet.

2. Verarbeitung

1. Verarbeitungsdetails

Anhang I(B) auf dem Deckblatt beschreibt Gegenstand, Art, Zweck und Dauer dieser Verarbeitung sowie die Kategorien der erfassten personenbezogenen Daten und die Kategorien der betroffenen Personen.

2. Verarbeitungsanweisungen

Der Kunde weist den Anbieter an, personenbezogene Daten des Kunden zu verarbeiten: (a) um den Dienst bereitzustellen und aufrechtzuerhalten; (b) wie durch die Nutzung des Dienstes durch den Kunden nĂ€her spezifiziert; (c) wie in der Vereinbarung dokumentiert; und (d) wie in anderen schriftlichen Anweisungen des Kunden dokumentiert, die vom Anbieter zur Verarbeitung personenbezogener Daten des Kunden im Rahmen dieser DPA erteilt und bestĂ€tigt wurden. Der Anbieter wird diese Anweisungen befolgen, sofern ihm dies nicht durch geltende Gesetze untersagt ist. Der Anbieter wird den Kunden unverzĂŒglich informieren, falls er den Verarbeitungsanweisungen nicht folgen kann. Der Kunde hat nur Anweisungen erteilt und wird dies auch weiterhin tun, wenn diese den geltenden Gesetzen entsprechen.

3. Verarbeitung durch Anbieter

Der Anbieter verarbeitet personenbezogene Daten des Kunden nur in Übereinstimmung mit dieser Datenverarbeitungsvereinbarung, einschließlich der Details auf dem Deckblatt. Wenn der Anbieter den Dienst aktualisiert, um bestehende Produkte, Features oder Funktionen zu aktualisieren oder neue hinzuzufĂŒgen, kann der Anbieter die Kategorien betroffener Personen, die Kategorien personenbezogener Daten, die Daten besonderer Kategorien, die EinschrĂ€nkungen oder Schutzmaßnahmen fĂŒr Daten besonderer Kategorien, die HĂ€ufigkeit der Übertragung, die Art und den Zweck der Verarbeitung und die Dauer der Verarbeitung nach Bedarf Ă€ndern, um die Aktualisierungen widerzuspiegeln, indem er den Kunden ĂŒber die Aktualisierungen und Änderungen informiert.

4. Kundenabwicklung

Ist der Kunde Auftragsverarbeiter und der Anbieter Unterauftragsverarbeiter, verpflichtet sich der Kunde zur Einhaltung aller geltenden Gesetze, die fĂŒr die Verarbeitung personenbezogener Daten des Kunden gelten. Die Vereinbarung mit dem Verantwortlichen verpflichtet den Kunden ebenfalls zur Einhaltung aller geltenden Gesetze als Auftragsverarbeiter. DarĂŒber hinaus verpflichtet sich der Kunde zur Einhaltung der Anforderungen an Unterauftragsverarbeiter in der Vereinbarung mit dem Verantwortlichen.

Der Kunde hat alle geltenden Datenschutzgesetze hinsichtlich der Bereitstellung personenbezogener Kundendaten an den Anbieter und/oder den Dienst eingehalten und wird dies auch weiterhin tun. Dies umfasst die Vornahme aller Offenlegungen, die Einholung aller Einwilligungen, die Bereitstellung angemessener Auswahlmöglichkeiten und die Umsetzung der gemĂ€ĂŸ den geltenden Datenschutzgesetzen erforderlichen Sicherheitsvorkehrungen.

6. Unterprozessoren

a. Der Anbieter stellt keine personenbezogenen Daten des Kunden einem Unterauftragsverarbeiter zur VerfĂŒgung, ĂŒbertrĂ€gt sie oder hĂ€ndigt sie diesem aus, es sei denn, der Kunde hat den Unterauftragsverarbeiter genehmigt. Die aktuelle Liste der Genehmigten Unterauftragsverarbeiter enthĂ€lt die IdentitĂ€t der Unterauftragsverarbeiter, ihr Sitzland und ihre voraussichtlichen Verarbeitungsaufgaben. Der Anbieter informiert den Kunden mindestens 10 Werktage im Voraus schriftlich ĂŒber geplante Änderungen der Genehmigten Unterauftragsverarbeiter, sei es durch HinzufĂŒgung oder Austausch eines Unterauftragsverarbeiters, sodass dem Kunden genĂŒgend Zeit bleibt, Einspruch gegen die Änderungen zu erheben, bevor der Anbieter den/die neuen Unterauftragsverarbeiter einsetzt. Der Anbieter stellt dem Kunden die erforderlichen Informationen zur VerfĂŒgung, damit der Kunde sein Widerspruchsrecht gegen die Änderung der Genehmigten Unterauftragsverarbeiter ausĂŒben kann. Der Kunde hat nach Bekanntgabe einer Änderung der genehmigten Unterauftragsverarbeiter 30 Tage Zeit, Einspruch zu erheben. Andernfalls gelten die Änderungen als vom Kunden akzeptiert. Erhebt der Kunde innerhalb von 30 Tagen nach Bekanntgabe Einspruch, arbeiten Kunde und Anbieter nach Treu und Glauben zusammen, um den Einspruch oder die Bedenken des Kunden zu klĂ€ren.

b. Bei der Beauftragung eines Unterauftragsverarbeiters schließt der Anbieter mit dem Unterauftragsverarbeiter eine schriftliche Vereinbarung ab, die sicherstellt, dass der Unterauftragsverarbeiter auf personenbezogene Daten des Kunden nur zugreift und diese verwendet, (i) soweit dies zur ErfĂŒllung der ihm ĂŒbertragenen Verpflichtungen erforderlich ist, und (ii) im Einklang mit den Bedingungen der Vereinbarung.

c. Wenn die DSGVO auf die Verarbeitung personenbezogener Kundendaten Anwendung findet, (i) gelten die in dieser Datenverarbeitungsvereinbarung beschriebenen Datenschutzpflichten (wie in Artikel 28(3) der DSGVO, falls anwendbar) auch fĂŒr den Unterauftragsverarbeiter und (ii) wird die Vereinbarung zwischen dem Anbieter und dem Unterauftragsverarbeiter diese Pflichten beinhalten, einschließlich Einzelheiten darĂŒber, wie sich der Anbieter und sein Unterauftragsverarbeiter abstimmen, um auf Anfragen oder Anforderungen bezĂŒglich der Verarbeitung personenbezogener Kundendaten zu reagieren. DarĂŒber hinaus wird der Anbieter auf Anfrage des Kunden eine Kopie seiner Vereinbarungen (einschließlich aller Änderungen) mit seinen Unterauftragsverarbeitern teilen. Soweit dies zum Schutz von GeschĂ€ftsgeheimnissen oder sonstigen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Anbieter den Text seiner Vereinbarung mit seinem Unterauftragsverarbeiter redigieren, bevor er eine Kopie weitergibt.

d. Der Anbieter bleibt voll haftbar fĂŒr alle an seine Unterauftragsverarbeiter ĂŒbertragenen Verpflichtungen, einschließlich der Handlungen und Unterlassungen seiner Unterauftragsverarbeiter bei der Verarbeitung personenbezogener Kundendaten. Der Anbieter wird den Kunden ĂŒber jegliche NichterfĂŒllung wesentlicher Verpflichtungen seiner Unterauftragsverarbeiter in Bezug auf personenbezogene Kundendaten gemĂ€ĂŸ der Vereinbarung zwischen dem Anbieter und dem Unterauftragsverarbeiter informieren.

3. EingeschrĂ€nkte Übertragungen

1. Autorisierung

Der Kunde erklĂ€rt sich damit einverstanden, dass der Anbieter personenbezogene Daten des Kunden außerhalb des EWR, des Vereinigten Königreichs oder anderer relevanter geografischer Gebiete ĂŒbermitteln darf, soweit dies zur Bereitstellung des Dienstes erforderlich ist. ÜbertrĂ€gt der Anbieter personenbezogene Daten des Kunden in ein Gebiet, fĂŒr das die EuropĂ€ische Kommission oder eine andere relevante Aufsichtsbehörde keinen Angemessenheitsbeschluss erlassen hat, wird der Anbieter angemessene Sicherheitsvorkehrungen fĂŒr die Übermittlung personenbezogener Daten des Kunden in dieses Gebiet im Einklang mit den geltenden Datenschutzgesetzen treffen.

2. Überweisungen außerhalb des EWR

Kunde und Anbieter vereinbaren, dass, sofern die DSGVO die Übermittlung personenbezogener Kundendaten schĂŒtzt, die Übermittlung vom Kunden innerhalb des EWR an den Anbieter außerhalb des EWR erfolgt und die Übermittlung keinem Angemessenheitsbeschluss der EuropĂ€ischen Kommission unterliegt, mit dem Abschluss dieser Datenverarbeitungsvereinbarung (DPA) die EWR-Standardvertragsklauseln und deren AnhĂ€nge als unterzeichnet gelten, die durch Verweis einbezogen werden. Jede derartige Übermittlung erfolgt gemĂ€ĂŸ den EWR-Standardvertragsklauseln, die wie folgt ausgefĂŒllt werden:

a. Modul Zwei (Verantwortlicher gegenĂŒber Auftragsverarbeiter) der EWR-Standardvertragsklauseln gilt, wenn der Kunde Verantwortlicher ist und der Anbieter als Auftragsverarbeiter personenbezogene Daten des Kunden fĂŒr den Kunden verarbeitet.

b. Modul Drei (Auftragsverarbeiter an Unterauftragsverarbeiter) der EWR-Standardvertragsklauseln gilt, wenn der Kunde ein Auftragsverarbeiter ist und der Anbieter personenbezogene Daten des Kunden im Auftrag des Kunden als Unterauftragsverarbeiter verarbeitet.

c. FĂŒr jedes Modul gilt (sofern zutreffend):

  1. Die optionale Andockklausel in Klausel 7 findet keine Anwendung;

  2. In Klausel 9 gilt Option 2 (allgemeine schriftliche Genehmigung) und die Mindestfrist fĂŒr die VorankĂŒndigung von Änderungen beim Unterauftragsverarbeiter betrĂ€gt 10 Werktage;

  3. In Klausel 11 findet die optionale Formulierung keine Anwendung;

  4. Alle eckigen Klammern in Abschnitt 13 werden entfernt;

  5. In Klausel 17 (Option 1) unterliegen die Standardvertragsklauseln des EWR den Gesetzen des maßgebenden Mitgliedstaats.

  6. In Klausel 18(b) werden Streitigkeiten vor den Gerichten des Regierungsmitgliedstaats beigelegt; und

  7. Das Deckblatt dieser DPA enthÀlt die in Anhang I, Anhang II und Anhang III der EWR-Standardvertragsklauseln geforderten Informationen.

3. Überweisungen außerhalb des Vereinigten Königreichs

Kunde und Anbieter vereinbaren, dass, sofern die UK-DSGVO die Übertragung personenbezogener Kundendaten schĂŒtzt, die Übertragung vom Kunden innerhalb des Vereinigten Königreichs an den Anbieter außerhalb des Vereinigten Königreichs erfolgt und die Übertragung nicht durch einen Angemessenheitsbeschluss des britischen Außenministers geregelt ist, mit dem Abschluss dieser DPA der UK-Nachtrag und seine AnhĂ€nge als unterzeichnet gelten, die durch Bezugnahme Bestandteil dieser Vereinbarung werden. Jede derartige Übertragung erfolgt gemĂ€ĂŸ dem UK-Nachtrag, der wie folgt ausgefĂŒllt wird:

a. Abschnitt 3.2 dieser DPA enthÀlt die in Tabelle 2 des UK-Nachtrags erforderlichen Informationen.

b. Tabelle 4 des UK-Nachtrags wird wie folgt geĂ€ndert: Keine der Parteien darf den UK-Nachtrag gemĂ€ĂŸ Abschnitt 19 des UK-Nachtrags beenden. Sofern das ICO einen ĂŒberarbeiteten genehmigten Nachtrag gemĂ€ĂŸ Abschnitt 18 des UK-Nachtrags herausgibt, werden die Parteien nach Treu und Glauben daran arbeiten, diese DPA entsprechend zu ĂŒberarbeiten.

c. Das Deckblatt enthÀlt die in Anhang 1A, Anhang 1B, Anhang II und Anhang III des UK-Nachtrags geforderten Informationen.

4. Andere internationale Überweisungen

Bei der Übermittlung personenbezogener Daten, bei der aufgrund des internationalen Charakters der Übermittlung Schweizer Recht (und nicht das Recht eines EWR-Mitgliedstaats oder des Vereinigten Königreichs) gilt, werden die Verweise auf die DSGVO in Klausel 4 der Standardvertragsklauseln fĂŒr den EWR, soweit gesetzlich erforderlich, dahingehend geĂ€ndert, dass sie stattdessen auf das Schweizer Bundesgesetz ĂŒber den Datenschutz oder dessen Nachfolgegesetz verweisen. Der Begriff der Aufsichtsbehörde umfasst dann den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten.

4. Reaktion auf SicherheitsvorfÀlle

  1. Sobald der Anbieter von einem Sicherheitsvorfall Kenntnis erlangt, wird er: (a) den Kunden nach Möglichkeit unverzĂŒglich, spĂ€testens jedoch 72 Stunden nach Kenntniserlangung des Sicherheitsvorfalls, benachrichtigen; (b) zeitnah Informationen ĂŒber den Sicherheitsvorfall bereitstellen, sobald dieser bekannt wird oder auf begrĂŒndete Anfrage des Kunden; und (c) umgehend angemessene Schritte unternehmen, um den Sicherheitsvorfall einzudĂ€mmen und zu untersuchen. Die Benachrichtigung oder Reaktion des Anbieters ĂŒber einen Sicherheitsvorfall gemĂ€ĂŸ dieser DPA gilt nicht als EingestĂ€ndnis eines Verschuldens oder einer Haftung des Anbieters fĂŒr den Sicherheitsvorfall.

5. Audit und Berichte

1. PrĂŒfrechte

Der Anbieter stellt dem Kunden alle Informationen zur VerfĂŒgung, die zum Nachweis seiner Einhaltung dieser DPA erforderlich sind, und der Anbieter ermöglicht und unterstĂŒtzt Audits, darunter Inspektionen durch den Kunden, um die Einhaltung dieser DPA durch den Anbieter zu beurteilen. Der Anbieter darf jedoch den Zugriff auf Daten oder Informationen einschrĂ€nken, wenn der Zugriff des Kunden auf die Informationen die geistigen Eigentumsrechte, Vertraulichkeitsverpflichtungen oder andere Verpflichtungen des Anbieters gemĂ€ĂŸ geltendem Recht beeintrĂ€chtigen wĂŒrde. Der Kunde erkennt an und erklĂ€rt sich damit einverstanden, dass er seine Auditrechte gemĂ€ĂŸ dieser DPA und alle ihm durch geltendes Datenschutzrecht gewĂ€hrten Auditrechte nur dann ausĂŒbt, wenn er den Anbieter anweist, die unten aufgefĂŒhrten Berichts- und Sorgfaltspflichten zu erfĂŒllen. Der Anbieter fĂŒhrt Aufzeichnungen ĂŒber seine Einhaltung dieser DPA fĂŒr drei Jahre nach Ende der DPA.

2. Sicherheitsberichte

Der Kunde nimmt zur Kenntnis, dass der Anbieter regelmĂ€ĂŸig von unabhĂ€ngigen PrĂŒfern auf die Einhaltung der in der Sicherheitsrichtlinie festgelegten Standards geprĂŒft wird. Auf schriftliche Anfrage stellt der Anbieter dem Kunden vertraulich eine Zusammenfassung seines jeweils aktuellen Berichts zur VerfĂŒgung, damit dieser die Einhaltung der in der Sicherheitsrichtlinie festgelegten Standards durch den Anbieter ĂŒberprĂŒfen kann.

3. SicherheitsprĂŒfung

ZusĂ€tzlich zum Bericht beantwortet der Anbieter angemessene Informationsanfragen des Kunden, um die Einhaltung dieser DPA durch den Anbieter zu bestĂ€tigen. Dies umfasst Antworten auf Informationssicherheits-, Due-Diligence- und Audit-Fragebögen oder die Bereitstellung zusĂ€tzlicher Informationen zu seinem Informationssicherheitsprogramm. Alle derartigen Anfragen mĂŒssen schriftlich erfolgen und an den Sicherheitskontakt des Anbieters gerichtet werden und dĂŒrfen nur einmal jĂ€hrlich gestellt werden.

6. Koordination und Zusammenarbeit

1. Antwort auf Anfragen

ErhĂ€lt der Anbieter eine Anfrage oder Aufforderung zur Verarbeitung personenbezogener Kundendaten, benachrichtigt er den Anbieter hierĂŒber und beantwortet diese nicht ohne dessen vorherige Zustimmung. Beispiele hierfĂŒr sind gerichtliche, behördliche oder behördliche Anordnungen zu personenbezogenen Kundendaten, sofern die Benachrichtigung des Kunden nicht durch geltendes Recht untersagt ist, oder Anfragen von betroffenen Personen. Soweit gesetzlich zulĂ€ssig, befolgt der Anbieter die angemessenen Anweisungen des Kunden zu diesen Anfragen, einschließlich der Bereitstellung von Statusaktualisierungen und anderen vom Kunden in angemessener Weise angeforderten Informationen. Wenn eine betroffene Person gemĂ€ĂŸ den geltenden Datenschutzgesetzen eine gĂŒltige Anfrage zur Löschung oder zum Widerspruch gegen die Weitergabe personenbezogener Kundendaten an den Anbieter stellt, unterstĂŒtzt der Anbieter den Kunden bei der ErfĂŒllung der Anfrage gemĂ€ĂŸ den geltenden Datenschutzgesetzen. Der Anbieter kooperiert mit dem Kunden und bietet ihm auf Kosten des Kunden angemessene UnterstĂŒtzung bei allen rechtlichen Antworten oder anderen Verfahrensschritten, die der Kunde als Reaktion auf eine Anfrage eines Dritten bezĂŒglich der Verarbeitung personenbezogener Kundendaten durch den Anbieter gemĂ€ĂŸ dieser DPA unternimmt.

2. DPIAs und DTIAs

Falls gemĂ€ĂŸ den geltenden Datenschutzgesetzen erforderlich, wird der Anbieter den Kunden in angemessenem Umfang bei der DurchfĂŒhrung aller vorgeschriebenen Datenschutz-FolgenabschĂ€tzungen oder DatenĂŒbertragungs-FolgenabschĂ€tzungen sowie bei Konsultationen mit den zustĂ€ndigen Datenschutzbehörden unterstĂŒtzen und dabei die Art der Verarbeitung und der personenbezogenen Daten des Kunden berĂŒcksichtigen.

7. Löschung personenbezogener Kundendaten

1. Löschung durch den Kunden

Der Anbieter ermöglicht dem Kunden, personenbezogene Kundendaten in einer Weise zu löschen, die mit der FunktionalitÀt der Dienste vereinbar ist. Der Anbieter wird dieser Anweisung so schnell wie möglich nachkommen, es sei denn, eine weitere Speicherung personenbezogener Kundendaten ist gesetzlich vorgeschrieben.

2. Löschung bei Ablauf des DPA

a. Nach Ablauf der DPA wird der Anbieter die personenbezogenen Kundendaten auf Anweisung des Kunden zurĂŒckgeben oder löschen, es sei denn, eine weitere Speicherung der personenbezogenen Kundendaten ist gesetzlich vorgeschrieben oder zulĂ€ssig. Ist die RĂŒckgabe oder Vernichtung nicht durchfĂŒhrbar oder gesetzlich verboten, wird der Anbieter angemessene Anstrengungen unternehmen, um eine weitere Verarbeitung der personenbezogenen Kundendaten zu verhindern und die in seinem Besitz, seiner Obhut oder seiner Kontrolle verbleibenden personenbezogenen Kundendaten weiterhin zu schĂŒtzen. Beispielsweise kann der Anbieter gesetzlich verpflichtet sein, die personenbezogenen Kundendaten weiterhin zu hosten oder zu verarbeiten.

b. Wenn Kunde und Anbieter im Rahmen dieser DPA die EWR-Standardvertragsklauseln oder den UK-Nachtrag abgeschlossen haben, stellt Anbieter dem Kunden die in Klausel 8.1(d) und Klausel 8.5 der EWR-Standardvertragsklauseln beschriebene Bescheinigung ĂŒber die Löschung der personenbezogenen Daten nur dann aus, wenn Kunde danach fragt.

8. HaftungsbeschrÀnkung

1. Haftungsbegrenzungen und Schadensersatzverzicht

Soweit es die geltenden Datenschutzgesetze zulassen, unterliegt die gesamte kumulative Haftung jeder Partei gegenĂŒber der anderen Partei, die sich aus dieser DPA ergibt oder damit in Zusammenhang steht, den in der Vereinbarung genannten Haftungsverzichten, -ausschlĂŒssen und -beschrĂ€nkungen.

Alle AnsprĂŒche, die gegen den Anbieter oder seine verbundenen Unternehmen geltend gemacht werden und die sich aus dieser DPA ergeben oder damit in Zusammenhang stehen, können nur von der Kunden-Einheit geltend gemacht werden, die Vertragspartei der Vereinbarung ist.

3. Ausnahmen

  1. Diese DPA beschrĂ€nkt nicht die Haftung gegenĂŒber einer Person hinsichtlich ihrer Datenschutzrechte gemĂ€ĂŸ den geltenden Datenschutzgesetzen. DarĂŒber hinaus beschrĂ€nkt diese DPA nicht die Haftung zwischen den Parteien fĂŒr VerstĂ¶ĂŸe gegen die EWR-Standardvertragsklauseln oder den UK-Nachtrag.

9. Konflikte zwischen Dokumenten

  1. Diese DPA ist Bestandteil der Vereinbarung und ergĂ€nzt diese. Bei WidersprĂŒchen zwischen dieser DPA, der Vereinbarung oder deren Teilen hat der zuvor genannte Teil Vorrang vor dem spĂ€ter genannten Teil: (1) die EWR-Standardvertragsklauseln oder der UK-Nachtrag, (2) diese DPA und (3) die Vereinbarung.

10. Vertragsdauer

Diese DPA beginnt, sobald Anbieter und Kunde einem Deckblatt fĂŒr die DPA zustimmen und die Vereinbarung unterzeichnen oder elektronisch akzeptieren. Sie gilt bis zum Ablauf oder der KĂŒndigung der Vereinbarung. Anbieter und Kunde unterliegen jedoch weiterhin den Verpflichtungen dieser DPA und den geltenden Datenschutzgesetzen, bis Kunde die Übermittlung personenbezogener Kundendaten an Anbieter einstellt und Anbieter die Verarbeitung personenbezogener Kundendaten einstellt.

11. Geltendes Recht und Gerichtsstand

Ungeachtet des geltenden Rechts oder Ă€hnlicher Klauseln dieser Vereinbarung unterliegen sĂ€mtliche Auslegungen und Streitigkeiten im Zusammenhang mit dieser DPA den Gesetzen des Staates, unter Ausschluss der Kollisionsnormen. DarĂŒber hinaus vereinbaren die Parteien ungeachtet der Gerichtsstandsvereinbarung, der ZustĂ€ndigkeit oder Ă€hnlicher Klauseln dieser Vereinbarung, sĂ€mtliche Rechtsstreitigkeiten, Klagen oder Verfahren im Zusammenhang mit dieser DPA vor den Gerichten des Staates zu fĂŒhren, und jede Partei unterwirft sich unwiderruflich der ausschließlichen ZustĂ€ndigkeit dieser Gerichte.

12. Dienstanbieterbeziehung

Soweit der California Consumer Privacy Act, Cal. Civ. Code § 1798.100 ff. („CCPA“) Anwendung findet, erkennen die Parteien an und vereinbaren, dass der Anbieter ein Dienstanbieter ist und personenbezogene Daten vom Kunden erhĂ€lt, um den Dienst wie in der Vereinbarung vereinbart bereitzustellen, was einen GeschĂ€ftszweck darstellt. Der Anbieter wird keine vom Kunden im Rahmen der Vereinbarung bereitgestellten personenbezogenen Daten verkaufen. DarĂŒber hinaus wird der Anbieter keine vom Kunden im Rahmen der Vereinbarung bereitgestellten personenbezogenen Daten aufbewahren, verwenden oder offenlegen, außer wenn dies zur Bereitstellung des Dienstes fĂŒr den Kunden erforderlich ist, wie in der Vereinbarung angegeben, oder wie nach geltendem Datenschutzrecht zulĂ€ssig. Der Anbieter bestĂ€tigt, dass er die BeschrĂ€nkungen dieses Absatzes versteht.

13. Definitionen

  1. „Geltende Gesetze“ bezeichnet die Gesetze, Regeln, Vorschriften, GerichtsbeschlĂŒsse und sonstigen verbindlichen Anforderungen einer zustĂ€ndigen Regierungsbehörde, die fĂŒr eine Partei gelten oder fĂŒr sie gelten.

  2. „Geltende Datenschutzgesetze“ bezeichnet die geltenden Gesetze, die regeln, wie der Dienst personenbezogene Informationen, persönliche Daten, persönlich identifizierbare Informationen oder andere Ă€hnliche Begriffe einer Person verarbeiten oder verwenden darf.

  3. „Verantwortlicher“ hat die in den geltenden Datenschutzgesetzen angegebene(n) Bedeutung(en) fĂŒr das Unternehmen, das den Zweck und den Umfang der Verarbeitung personenbezogener Daten bestimmt.

  4. „Deckblatt“ bezeichnet ein von den Parteien unterzeichnetes oder elektronisch akzeptiertes Dokument, das diese DPA-Standardbedingungen enthĂ€lt und den Anbieter, den Kunden sowie den Gegenstand und die Einzelheiten der Datenverarbeitung identifiziert.

  5. „Personenbezogene Daten des Kunden“ sind personenbezogene Daten, die der Kunde im Rahmen des Dienstes hochlĂ€dt oder dem Anbieter bereitstellt und die dieser Datenverarbeitungsvereinbarung unterliegen.

  6. „DPA“ bezeichnet diese DPA-Standardbedingungen, das Deckblatt zwischen Anbieter und Kunden sowie die Richtlinien und Dokumente, auf die im Deckblatt verwiesen wird oder die diesem beigefĂŒgt sind.

  7. „EWR-Standardvertragsklauseln“ bezeichnet die Standardvertragsklauseln im Anhang des DurchfĂŒhrungsbeschlusses 2021/914 der EuropĂ€ischen Kommission vom 4. Juni 2021 ĂŒber Standardvertragsklauseln fĂŒr die Übermittlung personenbezogener Daten in DrittlĂ€nder gemĂ€ĂŸ der Verordnung (EU) 2016/679 des EuropĂ€ischen Parlaments und des EuropĂ€ischen Rates.

  8. „EuropĂ€ischer Wirtschaftsraum“ oder „EWR“ bezeichnet die Mitgliedstaaten der EuropĂ€ischen Union, Norwegen, Island und Liechtenstein.

  9. „DSGVO“ bezeichnet die Verordnung 2016/679 der EuropĂ€ischen Union, wie sie in den jeweiligen EWR-Mitgliedsstaaten durch lokales Recht umgesetzt wird.

  10. „Personenbezogene Daten“ haben die Bedeutung(en), die in den geltenden Datenschutzgesetzen fĂŒr persönliche Informationen, personenbezogene Daten oder andere Ă€hnliche Begriffe festgelegt werden.

  11. „Verarbeitung“ oder „Verarbeiten“ hat/haben die in den geltenden Datenschutzgesetzen angegebene(n) Bedeutung(en) fĂŒr jede Verwendung oder DurchfĂŒhrung von Computeroperationen mit personenbezogenen Daten, auch mit automatischen Methoden.

  12. „Auftragsverarbeiter“ hat die in den geltenden Datenschutzgesetzen angegebene(n) Bedeutung(en) fĂŒr das Unternehmen, das personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

  13. „Bericht“ bezeichnet PrĂŒfberichte, die von einem anderen Unternehmen gemĂ€ĂŸ den in der Sicherheitsrichtlinie festgelegten Standards im Auftrag des Anbieters erstellt werden.

  14. „EingeschrĂ€nkte Übermittlung“ bedeutet (a) sofern die DSGVO gilt, eine Übermittlung personenbezogener Daten aus dem EWR in ein Land außerhalb des EWR, das keiner Angemessenheitsfeststellung der EuropĂ€ischen Kommission unterliegt; und (b) sofern die UK-DSGVO gilt, eine Übermittlung personenbezogener Daten aus dem Vereinigten Königreich in ein anderes Land, das nicht den gemĂ€ĂŸ Abschnitt 17A des britischen Datenschutzgesetzes 2018 erlassenen Angemessenheitsbestimmungen unterliegt.

  15. „Sicherheitsvorfall“ bezeichnet eine Verletzung des Schutzes personenbezogener Daten gemĂ€ĂŸ der Definition in Artikel 4 der DSGVO.

  16. „Dienstleistung“ bezeichnet das in der Vereinbarung beschriebene Produkt und/oder die beschriebenen Dienstleistungen.

  17. „Daten besonderer Kategorien“ haben die in Artikel 9 der DSGVO angegebene Bedeutung.

  18. „Unterauftragsverarbeiter“ hat die in den geltenden Datenschutzgesetzen angegebene(n) Bedeutung(en) fĂŒr ein Unternehmen, das mit Genehmigung und Zustimmung des Verantwortlichen den Auftragsverarbeiter bei der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen unterstĂŒtzt.

  19. „UK GDPR“ bezeichnet die Verordnung 2016/679 der EuropĂ€ischen Union, wie sie im Vereinigten Königreich durch Abschnitt 3 des European Union (Withdrawal) Act des Vereinigten Königreichs von 2018 umgesetzt wird.

  20. „UK-Nachtrag“ bezeichnet den Nachtrag zum internationalen Datentransfer zu den Standardvertragsklauseln des EWR, der vom Information Commissioner fĂŒr Parteien herausgegeben wird, die eingeschrĂ€nkte Transfers gemĂ€ĂŸ S119A(1) Data Protection Act 2018 vornehmen.

Guthaben

Dieses Dokument ist eine Ableitung von Gemeinsame Standardbedingungen fĂŒr das DPA-Papier (Version 1.0) und ist unter CC BY 4.0 lizenziert.