Datenverarbeitungsnachtrag

PDF Herunterladen

Datenverarbeitungsnachtrag 08.2023

Dieser Datenverarbeitungsnachtrag (Data Processing Addendum, nachfolgend: „DPA“) ist Bestandteil des Rahmenvertrags, der zwischen den in dem Auftrag als “Lieferant“ und „Kunde“ bezeichneten Parteien geschlossen wurde. Sofern in diesem DPA nicht anders definiert, haben die hierin verwendeten großgeschriebenen Begriffe die Bedeutung, die ihnen in dem Rahmenvertrag zugeschrieben wird.  

1.      Definitionen

a.      „Auftrag“ bedeutet ein Bestellformular, in dem die vom Lieferanten an den Kunden zu liefernden Produkte oder Leistungen aufgeführt sind.

b.      „Auftragnehmer“ hat die im CPRA festgelegte Bedeutung.

c.      „C2C-Standardvertragsklauseln“ bedeutet Modul 1 der Standardvertragsklauseln

d.      „C2P-Standardvertragsklauseln“ bedeutet Modul 2 der Standardvertragsklauseln

e.      „CCPA“ bezeichnet den California Consumer Privacy Act of 2018 (kalifornisches Gesetz zum Schutz der Privatsphäre von Verbrauchern), Cal. Civ. Code §1798.100 ff., und die betreffenden Durchführungsbestimmungen. 

f.       „DSGVO“ bezeichnet die Datenschutz-Grundverordnung ((EU) 2016/679).

g.      „Eingeschränkte Übermittlung“ bezeichnet eine Übermittlung personenbezogener Daten aus dem EWR oder dem Vereinigten Königreich, die in Ermangelung von Standardvertragsklauseln nach geltendem Datenschutzrecht verboten wäre.   

h.      „EWR“ bezeichnet den Europäischen Wirtschaftsraum.

i.       „Geltendes Datenschutzrecht“ bezeichnet alle Gesetze, die die Erhebung, Verwendung, Offenlegung und/oder den freien Verkehr personenbezogener Daten regeln, die auf eine Partei anwendbar sind, einschließlich und ohne Einschränkung: (i) CCPA (wie nachstehend definiert) sowie das California Privacy Rights Act und die dazu erlassenen Verordnungen („CPRA“); (ii) Kanadas Personal Information Protection and Electronic Documents Act und ähnliche Umsetzungen auf Provinzebene ("PIPEDA") sowie alle anwendbaren und im Wesentlichen ähnlichen Gesetze auf Provinzebene ; (iii) die Allgemeine Datenschutzverordnung (EU) 2016/679 der Europäischen Union ("EU") und alle mitgliedstaatlichen Umsetzungsvorschriften ("GDPR"); (iv) die Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (in der durch die Richtlinie 2009/136/E geänderten Fassung) in dem jeweiligen EU-Mitgliedstaat; (v) die intraregionalen Rahmenwerke des asiatisch-pazifischen Raums ("APAC"), insbesondere die Asia-Pacific Economic Cooperation Cross Border Privacy Rules; (vi) die UK DSGVO (wie unten definiert); (vii) das SDSG (wie unten definiert); (viii) die brasilianische LGPD; (ix) das chinesische Personal Information Protection Law ("PIPL"); (x) das Virginia Consumer Data Protection Act; (xi) das Colorado Privacy Act; (xii) das Connecticut Act Concerning Personal Data Privacy and Online Monitoring; (xiii) das Utah Consumer Privacy Act und (xiv) im Wesentlichen ähnliche Gesetze zum Schutz der Privatsphäre oder zum Datenschutz, die auf eine Partei anwendbar sind, in der jeweils geänderten oder ersetzten Fassung.

j.       „Kundendaten“ bezeichnet Daten, die der Kunde dem Lieferanten zum Zwecke ihrer Verarbeitung durch den Lieferanten im Namen des Kunden bereitstellt.

k.      „Lieferantendaten“ bezeichnet alle Daten in den Datenbanken des Lieferanten, die dieser bei der Erbringung von Leistungen verwendet, mit Ausnahme von Kundendaten. Die Definition von Lieferantendaten soll ähnlich definierte Begriffe in dem Vertrag wie "Unternehmensdaten", "Cision-Daten" oder "Brandwatch-Daten" einschließen.

l.       „Personenbezogene Daten des Lieferanten“ bezeichnet alle personenbezogenen Daten, die in den Daten des Lieferanten enthalten sind.

m.    „Personenbezogene Daten des Kunden“ bezeichnet jegliche personenbezogenen Daten, die in Kundendaten enthalten sind.

n.      „SDSG“ bedeutet das Schweizerische Bundesgesetz über den Datenschutz.   

o.      „Sicherheitskontrollen“ bezeichnet die technischen und organisatorischen Maßnahmen, die im Vertrag geregelt oder anderenfalls auf der folgenden Website angegeben sind: https://gdpr.cision.de/TECHNISCHE-UND-ORGANISATORISCHE-MAssNAHMEN/.

p.      „Standardvertragsklauseln“ bezeichnet die Standardvertragsklauseln, die Bestandteil dieses DPA sind, gemäß dem Beschluss der Europäischen Kommission (EU) 2021/914 vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Verantwortliche und/oder Auftragsverarbeiter in Drittländern gemäß der DSGVO, abrufbar unter https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en, und gegebenenfalls in der durch das UK Addendum geänderte Fassung,  sowie die aktualisierten Klauseln oder Ersatzklauseln, die von der Europäischen Kommission gelegentlich genehmigt werden, oder die neueste Fassung jeglicher Vertragsklauseln bezüglich der internationalen Übermittlung personenbezogener Daten, die von einem Land für alle relevanten Datenübermittlungen gemäß dem Vertrag erlassen werden. 

q.      „UK Addendum“ bedeutet das Addendum zu den Standardvertragsklauseln für die Übermittlung personenbezogener Daten aus dem Vereinigten Königreich in Drittländer, das vom britischen Informationsbeauftragten genehmigt wurde und unter https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf abrufbar ist.

r.       „UK DSGVO“ bezeichnet die DSGVO, wie sie gemäß Abschnitt 3 des European Union (Withdrawal) Act 2018 Bestandteil des Rechts des Vereinigten Königreichs ist.

s.      „Unterauftragsverarbeiter“ bezeichnet einen Dritten, den der Lieferant den Auftrag erteilt, personenbezogene Daten, die der Lieferant auf Grundlage dieses DPA verarbeitet, als Auftragsverarbeiter im Namen von dem Lieferant zu verarbeiten.

t.       „Vertrag“ bezeichnet den zwischen den Parteien geschlossenen Rahmenvertrag für Abonnements oder Dienstleistungen.

u.      Die Begriffe/Ausdrücke „Verantwortlicher“, „Auftragsverarbeiter“, „personenbezogene Daten“, „Verarbeitung“, „besondere Kategorien von Daten“ und „betroffene Person“ haben die Bedeutungen, die ihnen in der DSGVO oder dem UK Data Protection Act 2018 zugewiesen wird.

v.      Zur Klarstellung wird darauf hingewiesen, dass sich dieser DPA auf jegliche Verarbeitung erstreckt, die auf Grundlage des CCPA erfolgt. Aus diesem Grund entsprechen die nachstehenden Begriffe/Ausdrücke aus dem CCPA den folgenden Bezeichnungen in diesem DPA [übersetzt ins Deutsche]:

1.  
   1.  
      1. „Unternehmen“ entspricht „Verantwortlicher“
      2. „Dienstleister“ entspricht „Auftragsverarbeiter”
      3. „Dritter“ entspricht „Unterauftragsverarbeiter“
      4. „Persönliche Daten“ entspricht „personenbezogene Daten“
      5. „Verbraucher“ entspricht „betroffene Person“

2.      Allgemeines

a.      Verantwortlicher-spezifische Daten: Der Lieferant und der Kunde sind in Bezug auf personenbezogene Daten des Lieferanten selbstständige Verantwortliche und verarbeiten diese Daten jeweils in ihrer Eigenschaft als Verantwortlicher. Wenn der Kunde personenbezogene Daten des Lieferanten von oder durch den Lieferanten erhält oder ihm Zugang zu diesen Daten gewährt wird, findet Artikel 3 Anwendung.

b.      Auftragsverarbeiter-spezifische Daten: In Bezug auf personenbezogene Daten des Kunden ist der Kunde Verantwortlicher und der Lieferant ist der Auftragsverarbeiter. Soweit der Lieferant personenbezogene Daten des Kunden im Namen des Kunden verarbeitet, findet Kapital 4 Anwendung.

c.      Jede Partei wird sich bei der Verarbeitung personenbezogener Daten auf Grundlage des Vertrags an das geltende Datenschutzrecht halten. 

d.      Bei Widersprüchen zwischen diesem DPA und dem Vertrag hat dieser DPA Vorrang.

e.      Beide Parteien werden geeignete technische und organisatorische Maßnahmen treffen und aufrechterhalten, um die Sicherheit personenbezogener Daten zu gewährleisten, einschließlich Schutz vor Verlust, Vernichtung, Veränderung, Offenlegung personenbezogener Daten oder Zugang zu personenbezogenen Daten, ob unbefugt oder unrechtmäßig. 

f.       Beide Parteien werden angemessene Maßnahmen treffen, um zu gewährleisten, dass das Personal, das sie ermächtigen, personenbezogene Daten zu verarbeiten, adäquate Geheimhaltungsverpflichtungen übernommen hat und dass der Zugang zu personenbezogenen Daten auf die natürlichen Personen beschränkt bleibt, die für die Zwecke des Vertrags diesen Zugang benötigen.

g.      Änderungen: Der Lieferant kann diesen Nachtrag jederzeit nach 30-tägiger Ankündigung dahingehend ändern, dass dieser alle obligatorischen Standardvertragsklauseln oder anderen Klauseln berücksichtigt, die durch zuständige Datenschutzbehörden in der EU, der Schweiz oder im Vereinigten Königreich vorgeschrieben werden. Die Parteien vereinbaren, jeden notwendigen Ersatz oder Ergänzung von Standardvertragsklauseln oder jede notwendige Aufnahme zusätzlicher Standardvertragsklauseln umzusetzen, sollte/n die EG und/oder das Information Commissioner Office (ICO), die im Vereinigten Königreich für Datenschutzbelange zuständige Aufsichtsbehörde, oder andere betroffene Länder eine solche Umsetzung von Zeit zu Zeit vornehmen.  Wenn der Kunde solche Klauseln trotz entsprechender Bitte vom Lieferant nicht ausführt, ist der Lieferant berechtigt, den Vertrag unter Einhaltung einer Frist von mindestens 30 Tagen schriftlich zu kündigen.

3.      Lieferantendaten: Controller to Controller[1]-Verhältnis

a.      Verarbeitung für Zwecke im Zusammenhang mit dem Vertrag: Jede Partei wird zum Zwecke der Ausübung ihrer Rechte und Erfüllung ihrer Pflichten aus dem Vertrag personenbezogene Daten des Lieferanten verarbeiten. Einzelheiten zu den Kategorien personenbezogener Daten, des Lieferanten zum Zweck der Verarbeitung durch den Lieferant und zur Dauer der Verarbeitung sind in Anhang 1 Teil 1 aufgeführt.

b.      Internationale Datenübermittlungen:

i.       Im Falle einer eingeschränkten Übermittlung aus dem EWR sind die Parteien an die C2C-Standardvertragsklauseln gebunden, die gemäß Artikel 5 in das vorliegende Addendum einbezogen werden.

ii.      Für den Fall einer eingeschränkten Übermittlung aus dem Vereinigten Königreich (UK), sind die Parteien zusätzlich zu den C2C-Standardvertragsklauseln an den UK Addendum gebunden. Die C2C-Standardvertragsklauseln (gemäß Artikel 5) und der UK Addendum (gemäß Artikel 6) werden beide in dieses DPA einbezogen

iii.     Im Falle einer eingeschränkten Übermittlung aus der Schweiz sind die Parteien gemäß Artikel 5 (und vorbehaltlich der Änderungen in Artikel 7) an die C2C- Standardvertragsklauseln gebunden. Die C2C-Standardvertragsklauseln werden auf dieser Grundlage und unter dieser Bedingung in die vorliegende DPA einbezogen.

iv.     Im Falle einer eingeschränkten Übermittlung aus einem anderen Land sind die Parteien an die C2C-Standardvertragsklauseln gebunden, die gemäß Artikel 5 in dieses DPA einbezogen werden.

c.      Verletzung des Schutzes personenbezogener Daten: Jede Partei wird die andere Partei unverzüglich informieren, sobald sie Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt, die sich (auch) auf personenbezogene Daten des Lieferanten erstreckt, oder nach Eingang einer Anfrage oder Beschwerde von einer betroffenen Person, die sich (auch) auf personenbezogene Daten des Lieferanten bezieht.

4.    Kundendaten: Controller to Processor[2]-Verhältnis

a.      Schriftliche Weisung: Der Lieferant wird personenbezogene Daten des Kunden nur auf schriftliche Weisung des Kunden, wie in diesem DPA aufgeführt, verarbeiten.  Der Lieferant wird personenbezogene Daten des Kunden weder verkaufen oder weitergeben noch mit personenbezogenen Daten aus anderen Quellen kombinieren, noch personenbezogene Daten des Kunden außerhalb der direkten Geschäftsbeziehung mit dem Kunden aufbewahren, verwenden oder offenlegen. Der Lieferant behält sich jedoch das Recht vor, aggregierte oder anonymisierte Versionen der Kundendaten ausschließlich zum Zweck der Verbesserung der Qualität seiner Leistungen zu verwenden. Soweit das geltende Datenschutzrecht etwas anderes regelt, teilt der Lieferant dem Kunden die rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Einzelheiten zu den Kategorien personenbezogener Daten des Kunden, zum Zweck der Verarbeitung durch den Lieferant und zur Dauer der Verarbeitung sind in Anhang 1 Teil II aufgeführt.

b.      Rechtmäßige Inanspruchnahme und Weisung: Der Kunde wird sicherstellen, dass seine Inanspruchnahme der Dienstleistungen und seine Weisung bezüglich der Verarbeitung personenbezogener Daten auf Grundlage dieses DPA mit dem gesamten geltenden Datenschutzrecht vereinbar sind und dass die Verarbeitung durch den Lieferant entsprechend der Weisung des Kunden nicht zur Folge hat, dass der Lieferant gegen geltendes Datenschutzrecht verstößt. Der Lieferant wird den Kunden informieren, wenn die Anweisungen des Kunden nach Ansicht des Lieferanten gegen geltende Gesetze verstoßen oder falls er seinen Verpflichtungen gemäß geltender Datenschutzgesetze nicht nachkommen kann.

c.      Besondere Kategorien von Daten: Sollten personenbezogene Daten des Kunden besondere Kategorien von Daten enthalten, wird der Kunde den Lieferanten darüber informieren.  Der Lieferant kann die Verarbeitung solcher Daten verweigern oder auf Kosten des Kunden alle Einschränkungen vornehmen, die notwendig sind, damit der Lieferant ihren gesetzlichen und vertraglichen Verpflichtungen nachkommen kann.

d.      Internationale Datenübermittlungen:

i.       Im Falle einer Übermittlung vom Kunden (als Verantwortlicher) im EWR an den Lieferanten (als Auftragsverarbeiter) in einem Drittland erklären sich die Parteien damit einverstanden, an die C2P-Standardvertragsklauseln gebunden zu sein, die gemäß Artikel 5 in diese DPA einbezogen werden.

ii.      Für den Fall einer eingeschränkten Übermittlung aus dem Vereinigten Königreich (UK) sind die Parteien zusätzlich zu den C2P-Standardvertragsklauseln an das UK Addendum gebunden, und sowohl die C2P-Standardvertragsklauseln (gemäß Artikel 5) als auch das UK Addendum (gemäß Artikel 6) sind somit in diese DPA einbezogen.

iii.     Für den Fall einer eingeschränkten Übermittlung aus der Schweiz sind die Parteien gemäß Artikel 5 und vorbehaltlich der Änderungen in Artikel 7 an die C2P-Standardvertragsklauseln gebunden. Die C2P-Standardvertragsklauseln werden auf dieser Grundlage und unter dieser Bedingung in diese DPA einbezogen.

iv.     Für den Fall einer eingeschränkten Übermittlung aus einem anderen Land sind die Parteien an die C2P-Standardvertragsklauseln gebunden, die gemäß Artikel 5 in diese DPA einbezogen werden.

v.      Wenn der Lieferant einen Unterauftragsverarbeiter im Einklang mit Artikel 4.g beauftragt und diese Beauftragung eine eingeschränkte Übermittlung beinhaltet, kann sich der Lieferant zur Legitimierung der Übermittlung personenbezogener Daten des Kunden auf Standardvertragsklauseln berufen. 

e.      Nachweis der Compliance: Um nachzuweisen, dass sie sich an diesen Nachtrag hält, wird der Lieferant vollständige und genaue Unterlagen und Informationen vorhalten.

f.       Überprüfung: Der Lieferant wird Compliance-Überprüfungen, die der Kunde (selbst oder über einen externen Prüfer) durchführt, auf Kosten des Kunden unterstützen. Jede auf Grundlage dieses DPA durchgeführte Überprüfung unterliegt den folgenden Bedingungen:

i.       Der Kunde wird jede Überprüfung mindestens 60 Tage im Voraus schriftlich ankündigen.

ii.      Überprüfungen dürfen nur während der normalen Geschäftszeiten vom Lieferanten durchgeführt werden.

iii.     Der Kunde wird bei der Überprüfung den normalen Geschäftsbetrieb bei dem Lieferanten möglichst gar nicht oder allenfalls nur minimal stören.

iv.     Jeder externe Prüfer wird mit dem Lieferanten Geheimhaltungsverpflichtungen übernehmen, die für den Lieferanten nach vertretbarer Betrachtung akzeptabel sind.

v.      Überprüfungen werden sich auf die Verarbeitungstätigkeiten vom Lieferanten als Auftragsverarbeiter und auf die Informationen beschränken, die der Kunde nach vertretbarer Betrachtung benötigt, um prüfen zu können, ob sich der Lieferant an die Bestimmungen dieses DPA hält.

vi.     Der Kunde (oder ein externer Prüfer) wird im Rahmen der Überprüfung keinen Zugang zu vertraulichen Informationen vom Lieferanten haben.

vii.   Der Kunde wird dem Lieferanten alle mit einer Überprüfung verbundenen angemessenen und belegbaren Kosten und Aufwendungen erstatten.

viii.  Der Kunde erklärt sich bereit, anstelle einer eigenen Überprüfung einen durch den Lieferanten bereitgestellten Prüfbericht zu akzeptieren:

1.      wenn der Umfang der gewünschten Überprüfung in einer Überprüfung festgelegt wurde, die durch einen anerkannten, unabhängigen, externen Prüfer innerhalb von zwölf (12) Monaten ab der Anfrage des Kunden durchgeführt worden ist, und das Unternehmen schriftlich bestätigt, dass in den zu prüfenden Kontrollen und Systemen keine wesentlichen Änderungen eingetreten sind, oder

2.      wenn beabsichtigt ist, dass eine solche Überprüfung innerhalb von sechs Monaten ab der Anfrage durchgeführt wird, und das Unternehmen dem Kunden den entsprechenden Bericht bei Fertigstellung zuleitet.

g.      Unterauftragsverarbeiter: Der Kunde gestattet den Lieferanten, im Zusammenhang mit der Erbringung der Dienstleistungen Unterauftragsverarbeiter einzusetzen.  Eine Liste der aktuellen Unterauftragsverarbeiter vom Lieferanten steht auf der folgenden Website zur Verfügung: https://gdpr.cision.de/Subunternehmer.

i.       Der Lieferant informiert den Kunden mindestens 30 Tage im Voraus über alle beabsichtigten Änderungen in Bezug auf die Hinzufügung oder Ersetzung eines zugelassenen Unterauftragsverarbeiters durch einen neuen Unterauftragsverarbeiter und ermöglicht es dem Kunden, gegen diese Änderungen Einspruch zu erheben. Jeder vom Lieferanten beauftragte Unterauftragsverarbeiter unterliegt gleichwertigen Bedingungen in Bezug auf den Datenschutz, die dem Lieferanten gemäß dieses DPA vorgeschrieben sind.

ii.      Soweit ein Unterauftragsverarbeiter seinen Datenschutzverpflichtungen nicht nachkommt, bleibt der Lieferant für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters vorbehaltlich der im Vertrag geregelten Beschränkungen und Ausschlüsse haftbar.

iii.     Falls ein Auftragnehmer Zugang zu personenbezogenen Daten des Kunden hat, erfolgt dies nur im Rahmen einer schriftlichen Vereinbarung und der Auftragnehmer bestätigt hiermit, dass er die geltenden Datenschutzgesetze versteht und beachtet.

h.      Verletzung des Schutzes von Daten: Im Falle einer Verletzung des Schutzes personenbezogener Daten des Kunden:

i.       wird der Lieferant in gutem Glauben mit dem Kunden zusammenarbeiten, um dem Kunden zu ermöglichen, seinen Verpflichtungen aus dem geltenden Datenschutzrecht nachzukommen.   

ii.      wird der Lieferant den Kunden innerhalb von 36 Stunden nach Kenntnisnahme über jede Verletzung des Schutzes personenbezogener Daten (im Sinne des geltenden Datenschutzrechts) informieren.

iii.     wird der Lieferant den Kunden dabei unterstützen, jeder Verpflichtung zur Unterrichtung einer Aufsichtsbehörde von einer Verletzung des Schutzes von Daten nachzukommen.

i.       Unterstützung: Je nach Art der Verarbeitung und der verfügbaren Informationen wird der Lieferant den Kunden (gegen Bezahlung angemessener belegbarer Kosten und Aufwendungen vom Lieferanten), soweit möglich, bei (i) der Erfüllung seiner Verpflichtungen im Zusammenhang mit der Beantwortung von Anfragen in Bezug auf die Ausübung von Rechten natürlicher Personen nach dem geltenden Datenschutzrecht  (soweit der Lieferant personenbezogene Daten solcher Personen auf Grundlage dieses DPA verarbeitet), und (ii) die Verpflichtungen des Kunden gemäß Artikel 32 bis 36 der DSGVO und/oder der UK DSGVO (je nach Anwendbarkeit), unterstützen.

j.       Kündigung:  

i.       Sollte der Lieferant irgendeine ihrer Verpflichtungen aus diesem DPA verletzen, kann der Kunde den Lieferanten anweisen, die Verarbeitung personenbezogener Daten des Kunden für die Dauer der Behebung dieser Verletzung vorübergehend zu unterbrechen, und den Lieferanten anweisen, die Verarbeitung personenbezogener Daten des Kunden endgültig einzustellen, wenn diese Verletzung nicht behoben wird.

ii.      Nach Beendigung dieses DPA wird der Lieferant die personenbezogenen Daten des Kunden löschen, soweit personenbezogenen Daten nicht aufgrund der geltenden Datenschutzgesetze in der EU, den EU-Mitgliedstaaten oder (falls auf die Verarbeitung anwendbar) im Vereinigten Königreich oder in der Schweiz aufbewahrt werden müssen.

5.      Standardvertragsklauseln

a.        Wenn entweder die C2C-Standardvertragsklauseln oder die C2P-Standardvertragsklausel gemäß Artikel 3.b. oder 4.d. in diese DPA einbezogen werden:

                         i.    treten sie zum Zeitpunkt der jeweiligen eingeschränkten Übertragung in Kraft;

                        ii.    Klauseln, die völlig freiwillig sind, werden nicht berücksichtigt;

                      iii.     für die Zwecke von Artikel 13 der Standardvertragsklauseln ist die erste Option in diesen DPA einbezogen;

                      iv.    für die Zwecke der Artikel 17 und 18 der Standardvertragsklauseln, der Mitgliedstaat im Sinne von geltenden Recht und Gerichtszuständigkeit, ist der Mitgliedstaat, in dem der Kunde niedergelassen ist. Ist der Kunde nicht in einem Mitgliedstaat niedergelassen, wird Irland als Mitgliedstaat angegeben;

                        v.    Für die Zwecke von Anhang 1.A der Standardvertragsklauseln sind der "Datenimporteur" und der "Datenexporteur" in Teil 1 bzw. Teil 2 von Anhang 2 dieser DPA aufgeführt;

                      vi.    für die Zwecke des Anhangs 1.B der Standardvertragsklauseln ist die Beschreibung der Übermittlung in Teil 1 oder Teil 2 (je nach Anwendbarkeit) des Anhangs 2 dieser DPA enthalten;

                     vii.     für die Zwecke von Anhang 1.C der Standardvertragsklauseln ist die zuständige Aufsichtsbehörde die Aufsichtsbehörde, die in dem Land zuständig ist, in dem der Kunde ansässig ist; und

                   viii.    für die Zwecke des Anhangs 2 der Standardvertragsklauseln sind die technischen und organisatorischen Maßnahmen die Sicherheitskontrollen.

b.       Wenn die C2P-Standardvertragsklauseln gemäß Artikel 4.d. in diese DPA einbezogen werden:

                         i.    Option 2 ("Allgemeine schriftliche Genehmigung") von Artikel 9 der Standardvertragsklauseln wird gewählt;

                        ii.    die Frist für die Beauftragung oder die Ersetzung von Unterauftragsverarbeitern ist in Artikel 4.g.1 dieser DPA festgelegt.

6.      UK Addendum

Wenn das UK Addendum gemäß Artikel 3.b. oder 4.d. in diese DPA aufgenommen wird:

a.    tritt er zum Zeitpunkt der betreffenden eingeschränkten Übermittlung in Kraft;

b.   für die Zwecke von Tabelle 1 ist das Anfangsdatum der Zeitpunkt der betreffenden eingeschränkten Übermittlung. Die Angaben der Parteien und des Hauptansprechpartners (Key contacts) sind in Anhang 2 dieser DPA und in der Parteienklausel des Vertrags aufgeführt;

c.    Für die Zwecke von Tabelle 1 ist keine Unterschrift erforderlich;

d.   die erste Option in Tabelle 2 wird gewählt. Die genehmigten EU-Standardklauseln sind in Artikel 1 dieser DPA definiert und die Standardvertragsklauseln sind zur Zeitpunkt der betreffenden eingeschränkten Übermittlung anwendbar;

e.   die Angaben in Tabelle 3 sind in den Anhängen 1 und 2 dieser DPA aufgeführt; und

f.     die ersten beiden Optionen ("Importer" und "Exporter") werden in Tabelle 4 ausgewählt.

7.      Eingeschränkte Übermittlung aus der Schweiz

Werden die C2C- oder C2P-Standardvertragsklauseln gemäß Klausel 3.b. oder 4.d. in diese DPA aufgenommen und findet eine eingeschränkte Übermittlung aus der Schweiz statt, werden die C2C- oder C2P-Standardvertragsklauseln (je nach Anwendbarkeit) so geändert, dass sie mit den Schweizer Datenschutzgesetzen übereinstimmen, insbesondere durch die folgenden Änderungen:

a.    alle Verweise auf die "Verordnung (EU) 2016/679" oder "diese Verordnung" werden durch das SDSG ersetzt und Verweise auf bestimmte Artikel der "Verordnung (EU) 2016/679" werden durch den entsprechenden Artikel oder Abschnitt des SDSG ersetzt;

b.   alle Definitionen in den Standardvertragsklauseln sind in Übereinstimmung mit dem SDSG auszulegen;

c.    Verweise auf die Verordnung (EU) 2018/1725 werden gestrichen;

d.   Verweise auf die "Union", "EU" und "EU-Mitgliedstaat" werden alle durch "Schweiz" ersetzt;

e.   Artikel 13(a) und Teil C von Anhang II der Standardvertragsklauseln werden nicht verwendet;

f.     Die "zuständige Aufsichtsbehörde" ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte;

g.    Artikel 17 der Standardvertragsklauseln wird durch den folgenden Wortlaut ersetzt: "Diese Klauseln unterliegen dem schweizerischen Recht"; und

h.   Artikel 18 der Standardvertragsklauseln wird durch folgenden Wortlaut ersetzt: "Für alle Streitigkeiten, die sich aus diesen Klauseln ergeben, sind die Gerichte der Schweiz zuständig. Eine betroffene Person verfügt über die Möglichkeit, den Datenexporteur und/oder den Datenimporteur vor den Gerichten der Schweiz zu verklagen. Die Vertragsparteien unterwerfen sich der Zuständigkeit dieser Gerichte.".

8.      Verschiedenes

a.      Haftung: Die Haftung jeder Partei auf Grundlage dieses DPA unterliegt den im Vertrag aufgeführten Beschränkungen und Ausschlüssen.  

b.      Geltendes Recht: Das auf den Vertrag anwendbare Recht gilt auch für diesen DPA, mit der Maßgabe jedoch, dass die Controller to Processor-Standardvertragsklauseln und Controller to Controller-Standardvertragsklauseln dem Recht des Landes unterliegen, in dem der betreffende Datenexporteur niedergelassen ist.

Anhang 1 - Verarbeitungsinformationen

Verarbeitung, personenbezogene Daten und betroffene Personen

Teil 1: Personenbezogene Daten des Lieferanten (Lieferant als Verantwortlicher)

Teil 2: Personenbezogene Daten des Kunden (Lieferant als Auftragsverarbeiter)

Anhang 2 - Übermittlungsinformationen

Teil 1 – Personenbezogene Daten des Lieferanten

Teil 2 – Personenbezogene Daten

[1]           Controller = Verantwortlicher.

[2]           Processor = Auftragsverarbeiter.