Datenverarbeitungsvereinbarung

BegriffWert
ZustimmungDiese DPA ergänzt die Nutzungsbedingungen
Genehmigte UnterauftragsverarbeiterWolkenflare (USA; DNS-, Netzwerk- und Sicherheitsanbieter), Vultr (USA; Hosting-Anbieter), Digitaler Ozean (USA; Hosting-Anbieter), Streifen (USA; Zahlungsabwickler), PayPal (USA; Zahlungsabwickler)
Anbieter Sicherheitskontaktsecurity@forwardemail.net
SicherheitsrichtlinieAussicht unsere Sicherheitsrichtlinie auf GitHub
Regierender StaatDer Staat Delaware, USA

Dieses Dokument ist eine Ableitung des Gemeinsame Standardbedingungen für DPA in Papierform (Version 1.0) und die folgenden Änderungen wurden vorgenommen:

  1. Geltendes Recht und Gerichtsstand wurde als Abschnitt unten aufgenommen mit Governing State wie oben angegeben.
  2. Dienstanbieterbeziehung wurde weiter unten als Abschnitt eingefügt.

1. Anbieter als Auftragsverarbeiter

In Situationen, in denen Kunde ist Verantwortlicher für die personenbezogenen Daten des Kunden, Anbieter gilt als Verarbeiter, der personenbezogene Daten im Auftrag von verarbeitet Kunde.

2. Anbieter als Unterauftragsverarbeiter

In Situationen, in denen Kunde ist ein Verarbeiter der personenbezogenen Daten des Kunden, Anbieter gilt als Unterverarbeiter der personenbezogenen Daten des Kunden.

1. Verarbeitungsdetails

Anhang I(B) auf der Titelseite beschreibt den Gegenstand, die Art, den Zweck und die Dauer dieser Verarbeitung sowie die Kategorien personenbezogener Daten gesammelt und Kategorien betroffener Personen.

2. Verarbeitungshinweise

Kunde weist an Anbieter zur Verarbeitung personenbezogener Daten des Kunden: (a) zur Bereitstellung und Aufrechterhaltung des Dienstes; (b) wie weiter spezifiziert durch Kunden Nutzung des Dienstes; (c) wie dokumentiert in der Zustimmung; und (d) wie in anderen schriftlichen Anweisungen dokumentiert, die Kunde und anerkannt von Anbieter über die Verarbeitung personenbezogener Kundendaten im Rahmen dieser DPA. Anbieter wird diese Anweisungen befolgen, sofern ihm die geltenden Gesetze dies nicht untersagen. Anbieter wird umgehend informieren Kunde wenn es nicht möglich ist, den Verarbeitungsanweisungen zu folgen. Kunde hat und wird nur Anweisungen geben, die den geltenden Gesetzen entsprechen.

3. Verarbeitung durch Anbieter

Anbieter verarbeitet personenbezogene Daten des Kunden nur in Übereinstimmung mit dieser DPA, einschließlich der Angaben auf dem Deckblatt. Wenn Anbieter aktualisiert den Dienst, um bestehende Produkte, Features oder Funktionen zu aktualisieren oder neue hinzuzufügen, Anbieter kann sich ändern Kategorien betroffener Personen, Kategorien personenbezogener Daten, Daten besonderer Kategorien, Einschränkungen oder Schutzmaßnahmen für besondere Datenkategorien, Übertragungshäufigkeit, Art und Zweck der Verarbeitung, und Dauer der Verarbeitung bei Bedarf, um die Aktualisierungen durch Benachrichtigung widerzuspiegeln Kunde der Aktualisierungen und Änderungen.

4. Kundenabwicklung

Wo Kunde ist ein Prozessor und Anbieter ist ein Unterauftragsverarbeiter, Kunde wird alle geltenden Gesetze einhalten, die gelten für Kunden Verarbeitung personenbezogener Kundendaten. Kunden Vereinbarung mit dem Verantwortlichen erfordert ebenfalls Kunde zur Einhaltung aller geltenden Gesetze, die gelten für Kunde als Auftragsverarbeiter. Darüber hinaus Kunde wird die Anforderungen an den Unterauftragsverarbeiter erfüllen in Kunden Vereinbarung mit seinem Controller.

Kunde hat alle geltenden Datenschutzgesetze in Bezug auf die Bereitstellung personenbezogener Kundendaten eingehalten und wird diese auch weiterhin einhalten. Anbieter und/oder den Dienst, einschließlich der Durchführung sämtlicher Offenlegungen, der Einholung sämtlicher Zustimmungen, der Bereitstellung angemessener Auswahlmöglichkeiten und der Umsetzung relevanter Sicherheitsvorkehrungen, die gemäß den geltenden Datenschutzgesetzen erforderlich sind.

6. Unterauftragsverarbeiter

A. Anbieter wird keine personenbezogenen Daten des Kunden an einen Unterauftragsverarbeiter weitergeben, übertragen oder übergeben, es sei denn, Kunde hat den Unterauftragsverarbeiter genehmigt. Die aktuelle Liste der Genehmigte Unterauftragsverarbeiter umfasst die Identitäten der Unterverarbeiter, ihr Standortland und ihre voraussichtlichen Verarbeitungsaufgaben. Anbieter Werde informieren Kunde mindestens 10 Werktage im Voraus und schriftlich über alle beabsichtigten Änderungen der Genehmigte Unterauftragsverarbeiter sei es durch Hinzufügen oder Ersetzen eines Unterauftragsverarbeiters, der es ermöglicht Kunde genügend Zeit zu haben, um den Änderungen zu widersprechen, bevor die Anbieter beginnt mit der Nutzung des/der neuen Unterauftragsverarbeiter. Anbieter wird geben Kunde die erforderlichen Informationen, um Kunde sein Widerspruchsrecht gegen die Änderung auszuüben, Genehmigte Unterauftragsverarbeiter. Kunde hat 30 Tage nach Bekanntgabe einer Änderung der Genehmigte Unterauftragsverarbeiter Einspruch erheben, andernfalls Kunde gelten die Änderungen als akzeptiert. Wenn Kunde der Änderung innerhalb von 30 Tagen nach Bekanntgabe widerspricht, Kunde und Anbieter wird in gutem Glauben zusammenarbeiten, um Kunden Einwand oder Bedenken.

b. Bei der Einschaltung eines Unterauftragsverarbeiters, Anbieter wird eine schriftliche Vereinbarung mit dem Unterauftragsverarbeiter haben, die sicherstellt, dass der Unterauftragsverarbeiter nur auf personenbezogene Daten des Kunden zugreift und diese verwendet (i) in dem Umfang, der zur Erfüllung der ihm übertragenen Verpflichtungen erforderlich ist, und (ii) im Einklang mit den Bedingungen von Zustimmung.

c. Wenn die DSGVO auf die Verarbeitung personenbezogener Daten des Kunden Anwendung findet, (i) gelten die in dieser DPA beschriebenen Datenschutzpflichten (wie in Artikel 28(3) der DSGVO, sofern zutreffend) auch für den Unterauftragsverarbeiter und (ii) Anbieter Die Vereinbarung mit dem Unterauftragsverarbeiter wird diese Verpflichtungen beinhalten, einschließlich Einzelheiten darüber, wie Anbieter und sein Unterauftragsverarbeiter werden sich abstimmen, um auf Anfragen oder Anträge bezüglich der Verarbeitung personenbezogener Daten des Kunden zu antworten. Darüber hinaus Anbieter teilen, bei Kunden eine Kopie der Vereinbarungen (einschließlich aller Änderungen) mit seinen Unterauftragsverarbeitern. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, Anbieter kann den Text seiner Vereinbarung mit seinem Unterauftragsverarbeiter redigieren, bevor eine Kopie weitergegeben wird.

D. Anbieter bleibt voll haftbar für alle an seine Unterauftragsverarbeiter vergebenen Verpflichtungen, einschließlich der Handlungen und Unterlassungen seiner Unterauftragsverarbeiter bei der Verarbeitung personenbezogener Daten des Kunden. Anbieter wird den Kunden über jede Nichterfüllung einer wesentlichen Verpflichtung seiner Unterauftragsverarbeiter in Bezug auf die personenbezogenen Daten des Kunden im Rahmen der Vereinbarung zwischen Anbieter und dem Unterauftragsverarbeiter.

1. Autorisierung

Kunde stimmt zu, dass Anbieter kann personenbezogene Daten des Kunden außerhalb des EWR, des Vereinigten Königreichs oder anderer relevanter geografischer Gebiete übertragen, soweit dies zur Bereitstellung des Dienstes erforderlich ist. Wenn Anbieter personenbezogene Daten des Kunden in ein Gebiet übermittelt, für das die Europäische Kommission oder eine andere zuständige Aufsichtsbehörde keinen Angemessenheitsbeschluss erlassen hat, Anbieter wird für die Übertragung personenbezogener Kundendaten in dieses Gebiet entsprechende Sicherheitsvorkehrungen im Einklang mit den geltenden Datenschutzgesetzen treffen.

2. Übertragungen außerhalb des EWR

Kunde und Anbieter stimmen zu, dass, wenn die DSGVO die Übertragung personenbezogener Kundendaten schützt, die Übertragung von Kunde aus dem EWR nach Anbieter außerhalb des EWR und die Übermittlung unterliegt keinem Angemessenheitsbeschluss der Europäischen Kommission, dann können Sie mit dem Abschluss dieser DPA Kunde und Anbieter gelten als Unterzeichner der EWR-Standardvertragsklauseln und ihrer Anhänge, die durch Verweis einbezogen werden. Jede derartige Übertragung erfolgt gemäß den EWR-Standardvertragsklauseln, die wie folgt ausgefüllt werden:

a. Modul Zwei (Controller to Processor) der EWR-Standardvertragsklauseln gilt, wenn Kunde ist Controller und Anbieter verarbeitet personenbezogene Daten des Kunden für Kunde als Prozessor.

b. Modul Drei (Verarbeiter an Unterverarbeiter) der EWR-Standardvertragsklauseln gilt, wenn Kunde ist ein Prozessor und Anbieter verarbeitet personenbezogene Daten des Kunden im Auftrag von Kunde als Unterauftragsverarbeiter.

c. Für jedes Modul gilt (sofern zutreffend):

  1. Die optionale Dockingklausel in Klausel 7 findet keine Anwendung;

  2. In Klausel 9 gilt Option 2 (allgemeine schriftliche Genehmigung), und die Mindestfrist für die Vorankündigung von Änderungen beim Unterauftragsverarbeiter beträgt 10 Arbeitstage.

  3. In Klausel 11 findet die optionale Formulierung keine Anwendung;

  4. Alle eckigen Klammern in Abschnitt 13 werden entfernt;

  5. In Klausel 17 (Option 1) unterliegen die EWR-Standardvertragsklauseln dem Recht von Regierender Mitgliedstaat;

  6. In Klausel 18(b) werden Streitigkeiten vor den Gerichten des Regierender Mitgliedstaat; Und

  7. Das Deckblatt dieser DPA enthält die in Anhang I, Anhang II und Anhang III der EWR-Standardvertragsklauseln erforderlichen Informationen.

3. Überweisungen außerhalb des Vereinigten Königreichs

Kunde und Anbieter stimmen zu, dass, wenn die britische DSGVO die Übertragung personenbezogener Kundendaten schützt, die Übertragung von Kunde aus dem Vereinigten Königreich nach Anbieter außerhalb des Vereinigten Königreichs und die Übermittlung unterliegt keiner Angemessenheitsentscheidung des britischen Außenministers, dann können Sie mit dem Abschluss dieser DPA Kunde und Anbieter gelten als Unterzeichner des UK-Nachtrags und seiner Anhänge, die durch Verweis einbezogen werden. Jede derartige Übertragung erfolgt gemäß dem UK-Nachtrag, der wie folgt ausgefüllt wird:

a. Abschnitt 3.2 dieser DPA enthält die in Tabelle 2 des UK-Nachtrags erforderlichen Informationen.

b. Tabelle 4 des UK-Nachtrags wird wie folgt geändert: Keine der Parteien darf den UK-Nachtrag gemäß Abschnitt 19 des UK-Nachtrags beenden. Sofern das ICO einen überarbeiteten genehmigten Nachtrag gemäß Abschnitt 18 des UK-Nachtrags herausgibt, werden die Parteien nach Treu und Glauben daran arbeiten, diese DPA entsprechend zu überarbeiten.

c. Das Deckblatt enthält die in Anhang 1A, Anhang 1B, Anhang II und Anhang III des UK-Nachtrags geforderten Informationen.

4. Sonstige internationale Übermittlungen

Bei Übermittlungen personenbezogener Daten, bei denen aufgrund der internationalen Natur der Übermittlung Schweizer Recht (und nicht das Recht eines EWR-Mitgliedstaates oder des Vereinigten Königreichs) gilt, werden Verweise auf die DSGVO in Abschnitt 4 der EWR-Standardvertragsklauseln, soweit gesetzlich erforderlich, dahingehend geändert, dass stattdessen auf das Schweizer Bundesgesetz über den Datenschutz oder dessen Nachfolgegesetz verwiesen wird. Außerdem umfasst der Begriff der Aufsichtsbehörde den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten.

  1. Sobald Sie von einem Sicherheitsvorfall erfahren, Anbieter wird: (a) benachrichtigen Kunde ohne unangemessene Verzögerung, wenn möglich, jedoch spätestens 72 Stunden nach Bekanntwerden des Sicherheitsvorfalls; (b) rechtzeitige Bereitstellung von Informationen über den Sicherheitsvorfall, sobald dieser bekannt wird oder auf begründete Anfrage von Kunde; und (c) unverzüglich angemessene Schritte zur Eindämmung und Untersuchung des Sicherheitsvorfalls unternehmen. Anbieter Die Benachrichtigung über oder die Reaktion auf einen Sicherheitsvorfall gemäß dieser DPA gilt nicht als Bestätigung durch Anbieter jeglicher Schuld oder Haftung für den Sicherheitsvorfall.

1. Prüfungsrechte

Anbieter wird geben Kunde alle Informationen, die zum Nachweis der Einhaltung dieser DPA erforderlich sind, und Anbieter ermöglicht und unterstützt Audits, einschließlich Inspektionen durch Kunde, zu beurteilen Anbieter Einhaltung dieser DPA. Anbieter kann den Zugriff auf Daten oder Informationen einschränken, wenn Kunden Der Zugang zu den Informationen hätte negative Auswirkungen Anbieter geistige Eigentumsrechte, Vertraulichkeitsverpflichtungen oder andere Verpflichtungen gemäß geltenden Gesetzen. Kunde erkennt an und stimmt zu, dass es seine Prüfungsrechte im Rahmen dieser DPA und alle durch geltende Datenschutzgesetze gewährten Prüfungsrechte nur ausüben wird, indem es Anbieter um die nachstehenden Melde- und Sorgfaltspflichten zu erfüllen. Anbieter wird Aufzeichnungen über die Einhaltung dieser DPA drei Jahre lang nach Beendigung der DPA aufbewahren.

2. Sicherheitsberichte

Kunde erkennt an, dass Anbieter wird regelmäßig nach den im Sicherheitsrichtlinie durch unabhängige externe Prüfer. Auf schriftliche Anfrage Anbieter wird geben Kundeauf vertraulicher Basis eine zusammenfassende Kopie des aktuellen Berichts, so dass Kunde kann überprüfen Anbieter Einhaltung der in der Sicherheitsrichtlinie.

3. Sicherheitsprüfung

Zusätzlich zum Bericht Anbieter wird auf angemessene Informationsanfragen reagieren, die von Kunde bestätigen Anbieter Einhaltung dieser DPA, einschließlich Antworten auf Informationssicherheits-, Due-Diligence- und Audit-Fragebögen oder durch Bereitstellung zusätzlicher Informationen über sein Informationssicherheitsprogramm. Alle derartigen Anfragen müssen schriftlich erfolgen und an die Anbieter Sicherheitskontakt und kann nur einmal jährlich erfolgen.

1. Beantwortung von Anfragen

Wenn Anbieter erhält von jemand anderem eine Anfrage oder Aufforderung zur Verarbeitung personenbezogener Kundendaten, Anbieter werde Bescheid geben Kunde über die Anfrage und Anbieter wird auf die Anfrage nicht antworten, ohne Kunden vorherige Zustimmung. Beispiele für diese Art von Anfragen und Anfragen sind eine gerichtliche oder behördliche Anordnung oder eine Anordnung einer Regulierungsbehörde bezüglich personenbezogener Daten des Kunden, bei der die Benachrichtigung Kunde ist nicht durch geltendes Recht verboten, oder eine Anfrage einer betroffenen Person. Wenn durch geltendes Recht erlaubt, Anbieter wird folgen Kunden angemessene Anweisungen zu diesen Anfragen, einschließlich der Bereitstellung von Statusaktualisierungen und anderen Informationen, die angemessenerweise angefordert werden KundeWenn eine betroffene Person gemäß den geltenden Datenschutzgesetzen eine gültige Anfrage zur Löschung oder Ablehnung von Kunden Weitergabe personenbezogener Daten des Kunden an Anbieter, Anbieter wird unterstützen Kunde bei der Erfüllung der Anfrage gemäß dem geltenden Datenschutzgesetz. Anbieter wird zusammenarbeiten und angemessene Unterstützung leisten Kunde, bei Kunden Kosten, in jeder rechtlichen Antwort oder anderen Verfahrensmaßnahmen durch Kunde als Antwort auf eine Anfrage eines Dritten über Anbieter Verarbeitung personenbezogener Kundendaten im Rahmen dieser Datenverarbeitungsvereinbarung.

2. DPIAs und DTIAs

Wenn dies gemäß den geltenden Datenschutzgesetzen erforderlich ist, Anbieter wird angemessen unterstützen Kunde bei der Durchführung aller vorgeschriebenen Datenschutz-Folgenabschätzungen oder Datenübertragungs-Folgenabschätzungen und Konsultationen mit relevanten Datenschutzbehörden, wobei die Art der Verarbeitung und die personenbezogenen Daten des Kunden berücksichtigt werden.

1. Löschung durch den Kunden

Anbieter wird ermöglichen Kunde personenbezogene Daten des Kunden in einer Weise zu löschen, die mit der Funktionalität der Dienste vereinbar ist. Anbieter wird dieser Anweisung so schnell wie praktisch möglich nachkommen, es sei denn, dass geltendes Recht eine weitere Speicherung der personenbezogenen Daten des Kunden vorschreibt.

2. Löschung bei Ablauf des DPA

a. Nach Ablauf der DPA Anbieter wird die personenbezogenen Daten des Kunden zurückgeben oder löschen bei Kunden Anweisung, es sei denn, eine weitere Speicherung der personenbezogenen Daten des Kunden ist gesetzlich vorgeschrieben oder zulässig. Wenn die Rückgabe oder Vernichtung nicht praktikabel ist oder durch geltende Gesetze verboten ist, Anbieter wird angemessene Anstrengungen unternehmen, um eine weitere Verarbeitung personenbezogener Kundendaten zu verhindern und wird die in seinem Besitz, seiner Obhut oder seiner Kontrolle verbliebenen personenbezogenen Kundendaten weiterhin schützen. Beispielsweise können geltende Gesetze vorschreiben, Anbieter um weiterhin personenbezogene Daten des Kunden zu hosten oder zu verarbeiten.

b. Wenn Kunde und Anbieter im Rahmen dieser DPA den EWR-Standardvertragsklauseln oder dem UK-Addendum beigetreten sind, Anbieter wird nur geben Kunde die Bescheinigung über die Löschung personenbezogener Daten, die in Klausel 8.1(d) und Klausel 8.5 der EWR-Standardvertragsklauseln beschrieben sind, wenn Kunde bittet um eins.

1. Haftungsbegrenzungen und Schadensersatzverzicht

Soweit gemäß den geltenden Datenschutzgesetzen zulässig, unterliegt die gesamte kumulative Haftung jeder Partei gegenüber der anderen Partei, die sich aus dieser DPA ergibt oder damit zusammenhängt, den in der Zustimmung.

Sämtliche Ansprüche gegen Anbieter oder ihre verbundenen Unternehmen, die sich aus oder im Zusammenhang mit dieser DPA ergeben, können nur von der Kunde Unternehmen, das Vertragspartei ist Zustimmung.

3. Ausnahmen

  1. Diese DPA beschränkt nicht die Haftung gegenüber einer Einzelperson in Bezug auf deren Datenschutzrechte gemäß den geltenden Datenschutzgesetzen. Darüber hinaus beschränkt diese DPA nicht die Haftung zwischen den Parteien für Verstöße gegen die EWR-Standardvertragsklauseln oder den UK-Nachtrag.

  1. Diese DPA ist Teil der Vereinbarung und ergänzt diese. Sollte es Unstimmigkeiten zwischen dieser DPA und der Zustimmungoder Teile davon, so hat der zuvor aufgeführte Teil Vorrang vor dem später aufgeführten Teil hinsichtlich dieser Inkonsistenz: (1) die EWR-Standardvertragsklauseln oder der UK-Nachtrag, (2) diese DPA und dann (3) die Zustimmung.

Diese DPA tritt in Kraft, wenn Anbieter und Kunde einem Deckblatt für die DPA zustimmen und die Zustimmung und wird fortgesetzt bis zum Zustimmung abläuft oder beendet wird. Anbieter und Kunde unterliegen weiterhin den Verpflichtungen dieser DPA und den geltenden Datenschutzgesetzen bis Kunde stellt die Übermittlung personenbezogener Kundendaten an Anbieter und Anbieter stoppt die Verarbeitung personenbezogener Daten des Kunden.

Ungeachtet des geltenden Rechts oder ähnlicher Bestimmungen der Zustimmung, unterliegen alle Auslegungen und Streitigkeiten im Zusammenhang mit dieser DPA den Gesetzen der Regierender Staat ohne Rücksicht auf Kollisionsnormen. Darüber hinaus und ungeachtet der Gerichtsstandswahl, der Gerichtsbarkeit oder ähnlicher Klauseln des Zustimmungvereinbaren die Parteien, alle Rechtsstreitigkeiten, Klagen oder Verfahren im Zusammenhang mit dieser DPA vor den Gerichten des Regierender Staat.

Soweit der California Consumer Privacy Act, Cal. Civ. Code § 1798.100 ff. („CCPA“) Anwendung findet, erkennen die Parteien an und vereinbaren, dass Anbieter ist ein Dienstleister und erhält personenbezogene Daten von Kunde zur Erbringung der Dienstleistung wie vereinbart in Zustimmung, was einen Geschäftszweck darstellt. Anbieter wird keine personenbezogenen Daten verkaufen, die von Kunde unter dem Zustimmung. Zusätzlich, Anbieter wird keine personenbezogenen Daten speichern, verwenden oder weitergeben von Kunde unter dem Zustimmung es sei denn, dies ist für die Erbringung der Dienstleistung erforderlich. Kunde, wie in der Zustimmung, oder wie es die geltenden Datenschutzgesetze zulassen. Anbieter bestätigt, dass es die Einschränkungen dieses Absatzes versteht.

  1. "Anwendbares Gesetz" bezeichnet die Gesetze, Regeln, Vorschriften, Gerichtsbeschlüsse und anderen verbindlichen Anforderungen einer zuständigen Regierungsbehörde, die für eine Partei gelten oder für sie maßgebend sind.

  2. „Anwendbare Datenschutzgesetze“ bezeichnet die geltenden Gesetze, die regeln, wie der Dienst persönliche Informationen, persönliche Daten, persönlich identifizierbare Informationen oder andere ähnliche Begriffe einer Person verarbeiten oder verwenden darf.

  3. "Regler" hat die Bedeutung(en), die ihm in den geltenden Datenschutzgesetzen für das Unternehmen zugewiesen wird, das den Zweck und den Umfang der Verarbeitung personenbezogener Daten bestimmt.

  4. "Titelseite" bezeichnet ein von den Parteien unterzeichnetes oder elektronisch akzeptiertes Dokument, das diese DPA-Standardbedingungen enthält und Anbieter, Kundesowie Gegenstand und Einzelheiten der Datenverarbeitung.

  5. „Personenbezogene Daten des Kunden“ bezeichnet personenbezogene Daten, die Kunde lädt hoch oder stellt zur Verfügung Anbieter als Teil des Dienstes und wird durch diese DPA geregelt.

  6. "DPA" bezeichnet diese DPA-Standardbedingungen, das Deckblatt zwischen Anbieter und Kunde, und die Richtlinien und Dokumente, auf die auf dem Deckblatt verwiesen wird oder die diesem beigefügt sind.

  7. „EWR-Standardvertragsklauseln“ bezeichnet die Standardvertragsklauseln im Anhang des Durchführungsbeschlusses 2021/914 der Europäischen Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Europäischen Rates.

  8. "Europäischer Wirtschaftsraum" oder "EEA" bezeichnet die Mitgliedsstaaten der Europäischen Union, Norwegen, Island und Liechtenstein.

  9. "GDPR" bezeichnet die Verordnung 2016/679 der Europäischen Union, wie sie in den lokalen Gesetzen des jeweiligen EWR-Mitgliedsstaates umgesetzt wird.

  10. "Persönliche Daten" hat die Bedeutung, die in den geltenden Datenschutzgesetzen für persönliche Informationen, personenbezogene Daten oder ähnliche Begriffe festgelegt wird.

  11. "Wird bearbeitet" oder "Verfahren" hat die in den geltenden Datenschutzgesetzen festgelegte(n) Bedeutung(en) für jede Verwendung oder Computeroperation im Zusammenhang mit personenbezogenen Daten, einschließlich durch automatische Methoden.

  12. "Prozessor" hat die Bedeutung(en), die ihm in den geltenden Datenschutzgesetzen für das Unternehmen zugewiesen wird, das personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

  13. "Bericht" bezeichnet Prüfberichte, die von einem anderen Unternehmen im Auftrag des Anbieters gemäß den in der Sicherheitsrichtlinie definierten Standards erstellt wurden.

  14. „Eingeschränkter Transfer“ bedeutet (a) sofern die DSGVO gilt, eine Übermittlung personenbezogener Daten aus dem EWR in ein Land außerhalb des EWR, das keiner Angemessenheitsfeststellung der Europäischen Kommission unterliegt; und (b) sofern die britische DSGVO gilt, eine Übermittlung personenbezogener Daten aus dem Vereinigten Königreich in ein anderes Land, das nicht den gemäß Abschnitt 17A des britischen Datenschutzgesetzes 2018 erlassenen Angemessenheitsvorschriften unterliegt.

  15. "Sicherheitsvorfall" bedeutet eine Verletzung des Schutzes personenbezogener Daten gemäß der Definition in Artikel 4 der DSGVO.

  16. "Service" bezeichnet das Produkt und/oder die Dienstleistungen, die in der Zustimmung.

  17. „Daten besonderer Kategorien“ hat die in Artikel 9 der DSGVO angegebene Bedeutung.

  18. „Unterauftragsverarbeiter“ hat die in den geltenden Datenschutzgesetzen festgelegte(n) Bedeutung(en) für ein Unternehmen, das mit Genehmigung und Zustimmung des Verantwortlichen den Auftragsverarbeiter bei der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen unterstützt.

  19. "UK GDPR" bezeichnet die Verordnung 2016/679 der Europäischen Union, umgesetzt durch Abschnitt 3 des britischen „European Union (Withdrawal) Act“ von 2018 im Vereinigten Königreich.

  20. „UK-Nachtrag“ bezeichnet den Nachtrag zu den Standardvertragsklauseln für den EWR (EWR Standard Contractual Agreements), der vom Information Commissioner für Parteien herausgegeben wird, die eingeschränkte Datenübermittlungen gemäß S119A(1) des Datenschutzgesetzes 2018 vornehmen.

Dieses Dokument ist eine Ableitung des Gemeinsame Standardbedingungen für DPA in Papierform (Version 1.0) und ist lizenziert unter CC BY 4.0.