Zusatz zur Datenverarbeitung
Dieser Datenverarbeitungsnachtrag (dieser „DPA“) legt die Pflichten von Ripple Treasury, Coprocess oder CashAnalytics gemäß dem Hauptvertrag in Bezug auf abgedeckte personenbezogene Daten fest. In jedem Fall bezeichnet „Ripple Treasury“ in diesem Datenverarbeitungsnachtrag die jeweilige Entität, mit der der Kunde Vertragspartei eines Hauptvertrags ist.Dieser Datenverarbeitungsnachtrag (dieser „DPA“) legt die Pflichten von Ripple Treasury, Coprocess oder CashAnalytics gemäß dem Hauptvertrag in Bezug auf abgedeckte personenbezogene Daten fest. In jedem Fall bezeichnet „Ripple Treasury“ in diesem Datenverarbeitungsnachtrag die jeweilige Entität, mit der der Kunde Vertragspartei eines Hauptvertrags ist.Dieses Datenverarbeitungs-Addendum (dieses „DPA“) regelt die Pflichten von Ripple Treasury, Coprocess oder CashAnalytics gemäß dem Hauptvertrag hinsichtlich der abgedeckten personenbezogenen Daten. In jedem Fall bezeichnet „Ripple Treasury“ in diesem Datenverarbeitungs-Addendum die jeweilige Entität, mit der der Kunde einen Hauptvertrag geschlossen hat.
1. Begriffsbestimmungen.1. Begriffsbestimmungen.1. Definierte Begriffe.
Jeder in dieser DPA großgeschriebene Begriff, der nicht in dieser DPA definiert ist, hat die Bedeutung, die ihm im Hauptvertrag zugewiesen wird. Andernfalls haben die folgenden Begriffe die nachstehenden Bedeutungen.Jeder in dieser DPA großgeschriebene Begriff, der nicht in dieser DPA definiert ist, hat die Bedeutung, die ihm im Hauptvertrag zugewiesen wird. Andernfalls haben die folgenden Begriffe die nachstehenden Bedeutungen.Jeder in dieser DPA großgeschriebene Begriff, der nicht in dieser DPA definiert ist, hat die Bedeutung, die ihm im Hauptvertrag zugewiesen wird. Andernfalls haben die folgenden Begriffe die folgenden Bedeutungen.
(a) „Abgedeckte personenbezogene Daten“ sind personenbezogene Daten, die:(a) „Abgedeckte personenbezogene Daten“ sind personenbezogene Daten, die:(a) „Umfasste personenbezogene Daten“ sind personenbezogene Daten, die:
(i) Ripple Treasury vom Kunden oder einem Dritten (einschließlich, aber nicht beschränkt auf, jede betroffene Person) im Rahmen der Vereinbarung erhält; undRipple Treasury erhält vom Kunden oder einem Dritten (einschließlich, jedoch nicht beschränkt auf, jede betroffene Person) im Rahmen der Vereinbarung; und(i) Ripple Treasury vom Kunden oder einem Dritten (einschließlich, aber nicht beschränkt auf, jede betroffene Person) im Rahmen der Vereinbarung erhält; und
(ii) durch Datenschutzrecht geschützt ist und für die das Datenschutzrecht aufgrund ihres persönlichen Charakters Schutzmaßnahmen vorschreibt.(ii) durch Datenschutzrecht geschützt ist und für die das Datenschutzrecht wegen ihres Personenbezugs Schutzbestimmungen vorsieht.(ii) durch Datenschutzrecht geschützt ist und für die das Datenschutzrecht aufgrund ihres persönlichen Charakters Schutzmaßnahmen vorschreibt.
(b) „Datenschutzrecht“ bezeichnet internationale, nationale, bundesstaatliche oder provinzielle Gesetze, die die betreffenden personenbezogenen Daten schützen oder Beschränkungen für deren Verarbeitung auferlegen. Der Begriff umfasst, ist aber nicht beschränkt auf, die folgenden, in ihrer jeweils gültigen Fassung, und die darunter fallenden, rechtsverbindlichen Vorschriften, soweit sie die vorstehende Definition erfüllen: die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) (die „DSGVO“), den Australian Privacy Act 1988, den New Zealand Privacy Act 2020, Kanadas Personal Information Protection and Electronic Documents Act („PIPEDA“), das Schweizer Bundesgesetz über den Datenschutz, den UK Data Protection Act 2018, den California Consumer Privacy Act von 2018 („CCPA“) und den California Privacy Rights Act von 2020 („CPRA“).(b) „Datenschutzrecht“ bezeichnet internationale, nationale, bundesstaatliche oder provinzielle Gesetze, die die betreffenden personenbezogenen Daten schützen oder Beschränkungen für deren Verarbeitung auferlegen. Der Begriff umfasst, ist aber nicht beschränkt auf, die folgenden, in ihrer jeweils gültigen Fassung, und die darunter fallenden, rechtsverbindlichen Vorschriften, soweit sie die vorstehende Definition erfüllen: die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) (die „DSGVO“), den Australian Privacy Act 1988, den New Zealand Privacy Act 2020, Kanadas Personal Information Protection and Electronic Documents Act („PIPEDA“), das Schweizer Bundesgesetz über den Datenschutz, den UK Data Protection Act 2018, den California Consumer Privacy Act von 2018 („CCPA“) und den California Privacy Rights Act von 2020 („CPRA“).
(c) Eine „betroffene Person“ im Hinblick auf personenbezogene Daten ist die identifizierte oder identifizierbare natürliche Person, auf die sich personenbezogene Daten beziehen.(c) Eine „betroffene Person“ im Hinblick auf personenbezogene Daten ist die identifizierte oder identifizierbare natürliche Person, auf die sich personenbezogene Daten beziehen.
(d) „EWR-personenbezogene Daten“ sind abgedeckte personenbezogene Daten, deren betroffene Personen sich im EWR befinden.(d) „EWR-personenbezogene Daten“ sind abgedeckte personenbezogene Daten, deren betroffene Personen sich im EWR befinden.
(e) Die „Europäische Union“ oder „EU“ bezeichnet die Mitgliedstaaten dieser Union, wie sie gemäß dem Vertrag über die Europäische Union, dem Vertrag über die Arbeitsweise der Europäischen Union und den damit verbundenen Verträgen festgelegt sind, soweit diese Mitgliedstaaten beitreten oder austreten.(e) Die „Europäische Union“ oder „EU“ bezeichnet die Mitgliedstaaten dieser Union, wie sie gemäß dem Vertrag über die Europäische Union, dem Vertrag über die Arbeitsweise der Europäischen Union und den damit verbundenen Verträgen festgelegt sind, soweit diese Mitgliedstaaten beitreten oder austreten.
(f) Der „Europäische Wirtschaftsraum“ oder „EWR“ bezeichnet die beitretenden Mitgliedstaaten gemäß dem Abkommen über den Europäischen Wirtschaftsraum, soweit diese Mitgliedstaaten beitreten oder austreten.(f) Der „Europäische Wirtschaftsraum“ oder „EWR“ bezeichnet die beitretenden Mitgliedstaaten gemäß dem Abkommen über den Europäischen Wirtschaftsraum, soweit diese Mitgliedstaaten beitreten oder austreten.
(g) „Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wobei eine „identifizierbare natürliche Person“ eine natürliche Person ist, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.(g) „Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wobei eine „identifizierbare natürliche Person“ eine natürliche Person ist, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
(h) „Verarbeitung“ von personenbezogenen Daten bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die mit oder ohne Hilfe automatisierter Verfahren im Zusammenhang mit personenbezogenen Daten oder Datensätzen durchgeführt wird, wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.(h) „Verarbeitung“ von personenbezogenen Daten bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die mit oder ohne Hilfe automatisierter Verfahren im Zusammenhang mit personenbezogenen Daten oder Datensätzen durchgeführt wird, wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
2. Allgemeines.2. Allgemeines.
(a) Der Kunde wird Ripple Treasury keine personenbezogenen Daten zur Verfügung stellen, die nicht für die Erfüllung der Pflichten von Ripple Treasury gemäß der Vereinbarung erforderlich sind.(a) Der Kunde wird Ripple Treasury keine personenbezogenen Daten zur Verfügung stellen, die nicht für die Erfüllung der Pflichten von Ripple Treasury gemäß der Vereinbarung erforderlich sind.
(b) Die Pflichten von Ripple Treasury gemäß dieser DPA gelten insoweit, als das für den Kunden geltende Datenschutzrecht vom Kunden verlangt, solche Pflichten Auftragsverarbeitern von abgedeckten personenbezogenen Daten aufzuerlegen.(b) Die Pflichten von Ripple Treasury gemäß dieser DPA gelten insoweit, als das für den Kunden geltende Datenschutzrecht vom Kunden verlangt, solche Pflichten Auftragsverarbeitern von abgedeckten personenbezogenen Daten aufzuerlegen.
(c) Ripple Treasury wird keinen anderen Auftragsverarbeiter ohne vorherige spezifische oder allgemeine schriftliche Genehmigung des Kunden beauftragen. Im Falle einer allgemeinen schriftlichen Genehmigung wird Ripple Treasury den Kunden über beabsichtigte Änderungen bezüglich der Hinzuziehung oder des Ersatzes anderer Auftragsverarbeiter informieren und dem Kunden die Möglichkeit geben, solchen Änderungen zu widersprechen.(c) Ripple Treasury wird keinen anderen Auftragsverarbeiter ohne vorherige spezifische oder allgemeine schriftliche Genehmigung des Kunden beauftragen. Im Falle einer allgemeinen schriftlichen Genehmigung wird Ripple Treasury den Kunden über beabsichtigte Änderungen bezüglich der Hinzuziehung oder des Ersatzes anderer Auftragsverarbeiter informieren und dem Kunden die Möglichkeit geben, solchen Änderungen zu widersprechen.
(d) Gegenstand, Art und Zweck der Verarbeitung durch Ripple Treasury ist die Lieferung der in der Vereinbarung genannten Waren, Dienstleistungen und/oder Software.(d) Gegenstand, Art und Zweck der Verarbeitung durch Ripple Treasury ist die Lieferung der in der Vereinbarung genannten Waren, Dienstleistungen und/oder Software.
(e) Die Art der personenbezogenen Daten und Kategorien der betroffenen Personen entsprechen den in der Vereinbarung vorgesehenen Arten und Kategorien.(e) Die Art der personenbezogenen Daten und Kategorien der betroffenen Personen entsprechen den in der Vereinbarung vorgesehenen Arten und Kategorien.
(f) Ripple Treasury verarbeitet abgedeckte personenbezogene Daten nur auf dokumentierte Anweisung des Kunden, auch im Hinblick auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, es sei denn, dies ist durch Datenschutzgesetze, denen Ripple Treasury unterliegt, vorgeschrieben. In einem solchen Fall informiert Ripple Treasury den Kunden vor der Verarbeitung über diese rechtliche Anforderung, es sei denn, das Gesetz verbietet eine solche Information aus wichtigen Gründen des öffentlichen Interesses, die in den Datenschutzgesetzen vorgesehen sind. Zur Klarstellung: Die Vereinbarung stellt die dokumentierte Anweisung des Kunden an Ripple Treasury dar, die Verarbeitung durchzuführen, die für die Erfüllung der Vereinbarung durch Ripple Treasury erforderlich ist.(f) Ripple Treasury verarbeitet abgedeckte personenbezogene Daten nur auf dokumentierte Anweisung des Kunden, auch im Hinblick auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, es sei denn, dies ist durch Datenschutzgesetze, denen Ripple Treasury unterliegt, vorgeschrieben. In einem solchen Fall informiert Ripple Treasury den Kunden vor der Verarbeitung über diese rechtliche Anforderung, es sei denn, das Gesetz verbietet eine solche Information aus wichtigen Gründen des öffentlichen Interesses, die in den Datenschutzgesetzen vorgesehen sind. Zur Klarstellung: Die Vereinbarung stellt die dokumentierte Anweisung des Kunden an Ripple Treasury dar, die Verarbeitung durchzuführen, die für die Erfüllung der Vereinbarung durch Ripple Treasury erforderlich ist.
(g) Ripple Treasury stellt sicher, dass seine zur Verarbeitung der abgedeckten personenbezogenen Daten befugten Mitarbeiter sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen oder beruflichen Geheimhaltungspflicht unterliegen.(g) Ripple Treasury stellt sicher, dass seine zur Verarbeitung der abgedeckten personenbezogenen Daten befugten Mitarbeiter sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen oder beruflichen Geheimhaltungspflicht unterliegen.
(h) Sicherheit.(h) Sicherheit.
(i) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Risiken unterschiedlicher Eintrittswahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen wird Ripple Treasury geeignete technische und organisatorische Maßnahmen implementieren, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, einschließlich, soweit erforderlich und angemessen:(i) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Risiken unterschiedlicher Eintrittswahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen wird Ripple Treasury geeignete technische und organisatorische Maßnahmen implementieren, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, einschließlich, soweit erforderlich und angemessen:
(A) Pseudonymisierung und Verschlüsselung abgedeckter personenbezogener Daten;(A) Pseudonymisierung und Verschlüsselung abgedeckter personenbezogener Daten;
(B) Die Fähigkeit, die fortlaufende Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste zu gewährleisten;(B) Die Fähigkeit, die fortlaufende Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste zu gewährleisten;
(C) Die Fähigkeit, die Verfügbarkeit und den Zugang zu abgedeckten personenbezogenen Daten im Falle eines physischen oder technischen Zwischenfalls rechtzeitig wiederherzustellen; und/oder(C) Die Fähigkeit, die Verfügbarkeit und den Zugang zu abgedeckten personenbezogenen Daten im Falle eines physischen oder technischen Zwischenfalls rechtzeitig wiederherzustellen; und/oder
(D) Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.(D) Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
(ii) Bei der Bewertung des angemessenen Sicherheitsniveaus berücksichtigt Ripple Treasury die Risiken, die mit der Verarbeitung verbunden sind, insbesondere durch unbeabsichtigte oder unrechtmäßige Zerstörung, Verlust, Veränderung, unbefugte Offenlegung von oder unbefugten Zugang zu übermittelten, gespeicherten oder anderweitig verarbeiteten personenbezogenen Daten.(ii) Bei der Bewertung des angemessenen Sicherheitsniveaus berücksichtigt Ripple Treasury die Risiken, die mit der Verarbeitung verbunden sind, insbesondere durch unbeabsichtigte oder unrechtmäßige Zerstörung, Verlust, Veränderung, unbefugte Offenlegung von oder unbefugten Zugang zu übermittelten, gespeicherten oder anderweitig verarbeiteten personenbezogenen Daten.
(iii) Ripple Treasury kann die Einhaltung eines genehmigten Verhaltenskodex gemäß Artikel 40 DSGVO oder eines genehmigten Zertifizierungsmechanismus gemäß Artikel 42 DSGVO als Element nutzen, um die Einhaltung der in Abschnitt 2(h)(i) genannten Anforderungen nachzuweisen.(iii) Ripple Treasury kann die Einhaltung eines genehmigten Verhaltenskodex gemäß Artikel 40 DSGVO oder eines genehmigten Zertifizierungsmechanismus gemäß Artikel 42 DSGVO als Element nutzen, um die Einhaltung der in Abschnitt 2(h)(i) genannten Anforderungen nachzuweisen.
(iv) Ripple Treasury wird Maßnahmen ergreifen, um sicherzustellen, dass jede natürliche Person, die unter der Autorität des Ripple Treasury-Verarbeiters handelt und Zugang zu abgedeckten personenbezogenen Daten hat, diese abgedeckten personenbezogenen Daten nicht verarbeitet, es sei denn, sie handelt auf Anweisung des Kunden oder ist dazu durch geltendes Datenschutzrecht verpflichtet.(iv) Ripple Treasury wird Maßnahmen ergreifen, um sicherzustellen, dass jede natürliche Person, die unter der Autorität des Ripple Treasury-Verarbeiters handelt und Zugang zu abgedeckten personenbezogenen Daten hat, diese abgedeckten personenbezogenen Daten nicht verarbeitet, es sei denn, sie handelt auf Anweisung des Kunden oder ist dazu durch geltendes Datenschutzrecht verpflichtet.
(i) Ripple Treasury wird keine Dritten mit der Durchführung von Verarbeitungen beauftragen oder einsetzen, die nicht in diesem DPA vorgesehen sind. Zur Klarstellung: Ripple Treasury darf Hosting-Dienste von Microsoft Corporation, Amazon Web Services, Inc., Rackspace, Inc. und/oder deren verbundenen Unternehmen nutzen, vorausgesetzt, Ripple Treasury erhält von diesen Anbietern vertragliche Verpflichtungen, die mit der Erfüllung der Pflichten von Ripple Treasury gemäß diesem DPA vereinbar sind.(i) Ripple Treasury wird keine Dritten mit der Durchführung von Verarbeitungen beauftragen oder einsetzen, die nicht in diesem DPA vorgesehen sind. Zur Klarstellung: Ripple Treasury darf Hosting-Dienste von Microsoft Corporation, Amazon Web Services, Inc., Rackspace, Inc. und/oder deren verbundenen Unternehmen nutzen, vorausgesetzt, Ripple Treasury erhält von diesen Anbietern vertragliche Verpflichtungen, die mit der Erfüllung der Pflichten von Ripple Treasury gemäß diesem DPA vereinbar sind.
(j) Unter Berücksichtigung der Art der Verarbeitung unterstützt Ripple Treasury den Kunden durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist, bei der Erfüllung der Pflichten des Kunden oder des Verantwortlichen des Kunden, auf Anträge zur Ausübung der Rechte der betroffenen Person zu reagieren, die festgelegt sind in:(j) Unter Berücksichtigung der Art der Verarbeitung unterstützt Ripple Treasury den Kunden durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist, bei der Erfüllung der Pflichten des Kunden oder des Verantwortlichen des Kunden, auf Anträge zur Ausübung der Rechte der betroffenen Person zu reagieren, die festgelegt sind in:
(i) Kapitel III der DSGVO, insbesondere die Artikel 12 (Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person), 13 (Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person), 14 (Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden), 15 (Auskunftsrecht der betroffenen Person), 16 (Recht auf Berichtigung), 17 (Recht auf Löschung („Recht auf Vergessenwerden“)), 18 (Recht auf Einschränkung der Verarbeitung), 19 (Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung), 20 (Recht auf Datenübertragbarkeit), 21 (Widerspruchsrecht und automatisierte Entscheidungen im Einzelfall), 22 (Automatisierte Entscheidungen im Einzelfall einschließlich Profiling) und 23 (Beschränkungen); und/oder(i) Kapitel III der DSGVO, insbesondere die Artikel 12 (Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person), 13 (Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person), 14 (Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden), 15 (Auskunftsrecht der betroffenen Person), 16 (Recht auf Berichtigung), 17 (Recht auf Löschung („Recht auf Vergessenwerden“)), 18 (Recht auf Einschränkung der Verarbeitung), 19 (Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung), 20 (Recht auf Datenübertragbarkeit), 21 (Widerspruchsrecht und automatisierte Entscheidungen im Einzelfall), 22 (Automatisierte Entscheidungen im Einzelfall einschließlich Profiling) und 23 (Beschränkungen); und/oder
(ii) Andere anwendbare Datenschutzgesetze.(ii) Andere anwendbare Datenschutzgesetze.
(k) Ripple Treasury unterstützt den Kunden bei der Sicherstellung der Einhaltung der Pflichten gemäß den Artikeln 32 (Sicherheit der Verarbeitung), 33 (Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde), 34 (Benachrichtigung der betroffenen Person von einer Verletzung des Schutzes personenbezogener Daten), 35 (Datenschutz-Folgenabschätzung) und 36 (Vorherige Konsultation) der DSGVO sowie anderer anwendbarer Datenschutzgesetze; dabei werden die Art der Verarbeitung und die Ripple Treasury zur Verfügung stehenden Informationen berücksichtigt.(k) Ripple Treasury unterstützt den Kunden bei der Sicherstellung der Einhaltung der Pflichten gemäß den Artikeln 32 (Sicherheit der Verarbeitung), 33 (Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde), 34 (Benachrichtigung der betroffenen Person von einer Verletzung des Schutzes personenbezogener Daten), 35 (Datenschutz-Folgenabschätzung) und 36 (Vorherige Konsultation) der DSGVO sowie anderer anwendbarer Datenschutzgesetze; dabei werden die Art der Verarbeitung und die Ripple Treasury zur Verfügung stehenden Informationen berücksichtigt.
(l) Nach Wahl des Kunden löscht oder gibt Ripple Treasury alle abgedeckten personenbezogenen Daten an den Kunden zurück, nachdem die Erbringung der Verarbeitungsleistungen beendet ist, und löscht bestehende Kopien, es sei denn, geltendes Recht erfordert eine weitere Speicherung der abgedeckten personenbezogenen Daten durch Ripple Treasury.(l) Nach Wahl des Kunden löscht oder gibt Ripple Treasury alle abgedeckten personenbezogenen Daten an den Kunden zurück, nachdem die Erbringung der Verarbeitungsleistungen beendet ist, und löscht bestehende Kopien, es sei denn, geltendes Recht erfordert eine weitere Speicherung der abgedeckten personenbezogenen Daten durch Ripple Treasury.
(m) Ripple Treasury stellt dem Kunden alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der Pflichten gemäß Artikel 28 DSGVO und ähnlicher Pflichten gemäß anderen Datenschutzgesetzen nachzuweisen, und ermöglicht und unterstützt Prüfungen, einschließlich Inspektionen, die vom Kunden oder einem anderen vom Kunden beauftragten Prüfer durchgeführt werden. Ripple Treasury informiert den Kunden unverzüglich, wenn eine Anweisung nach Ansicht von Ripple Treasury gegen Datenschutzgesetze verstößt.(m) Ripple Treasury stellt dem Kunden alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der Pflichten gemäß Artikel 28 DSGVO und ähnlicher Pflichten gemäß anderen Datenschutzgesetzen nachzuweisen, und ermöglicht und unterstützt Prüfungen, einschließlich Inspektionen, die vom Kunden oder einem anderen vom Kunden beauftragten Prüfer durchgeführt werden. Ripple Treasury informiert den Kunden unverzüglich, wenn eine Anweisung nach Ansicht von Ripple Treasury gegen Datenschutzgesetze verstößt.
(n) Beauftragt Ripple Treasury einen Dritten mit der Durchführung spezifischer Verarbeitungsaktivitäten im Namen oder zum Nutzen des Kunden, so werden diesem Dritten vertraglich Datenschutzpflichten auferlegt, die der Erfüllung der Verpflichtungen von Ripple Treasury gemäß dieser DPA und dem Master Agreement entsprechen, insbesondere durch die Bereitstellung ausreichender Garantien zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen in einer Weise, dass die Verarbeitung den Anforderungen des anwendbaren Datenschutzrechts entspricht. Falls dieser Dritte seine Datenschutzpflichten nicht erfüllt, bleibt Ripple Treasury dem Kunden gegenüber für die Erfüllung dieser Pflichten vollumfänglich haftbar.(n) Beauftragt Ripple Treasury einen Dritten mit der Durchführung spezifischer Verarbeitungsaktivitäten im Namen oder zum Nutzen des Kunden, so werden diesem Dritten vertraglich Datenschutzpflichten auferlegt, die der Erfüllung der Verpflichtungen von Ripple Treasury gemäß dieser DPA und dem Master Agreement entsprechen, insbesondere durch die Bereitstellung ausreichender Garantien zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen in einer Weise, dass die Verarbeitung den Anforderungen des anwendbaren Datenschutzrechts entspricht. Falls dieser Dritte seine Datenschutzpflichten nicht erfüllt, bleibt Ripple Treasury dem Kunden gegenüber für die Erfüllung dieser Pflichten vollumfänglich haftbar.
3. Spezifische Bestimmungen für die Vereinigten Staaten.3. Spezifische Bestimmungen für die Vereinigten Staaten.
(a) Kalifornien. Die folgenden Bestimmungen gelten für Übermittlungen von abgedeckten personenbezogenen Daten vom Kunden an Ripple Treasury, die dem California Consumer Privacy Act von 2018 (Cal. Civ. Code § Section 1798.100 et. seq.) („CCPA“) und dem California Privacy Rights Act von 2020 (Cal. Civ. Code § 1798.100 et. seq.) („CPRA“), jeweils in der geänderten Fassung („California Covered Personal Data“), unterliegen, soweit der Kunde ein „Unternehmen“ ist und Ripple Treasury in Bezug auf kalifornische abgedeckte personenbezogene Daten als „Dienstleister“ fungiert.(a) Kalifornien. Die folgenden Bestimmungen gelten für Übermittlungen von abgedeckten personenbezogenen Daten vom Kunden an Ripple Treasury, die dem California Consumer Privacy Act von 2018 (Cal. Civ. Code § Section 1798.100 et. seq.) („CCPA“) und dem California Privacy Rights Act von 2020 (Cal. Civ. Code § 1798.100 et. seq.) („CPRA“), jeweils in der geänderten Fassung („California Covered Personal Data“), unterliegen, soweit der Kunde ein „Unternehmen“ ist und Ripple Treasury in Bezug auf kalifornische abgedeckte personenbezogene Daten als „Dienstleister“ fungiert.
(i) Ripple Treasury verarbeitet kalifornische abgedeckte personenbezogene Daten als Dienstleister.(i) Ripple Treasury verarbeitet kalifornische abgedeckte personenbezogene Daten als Dienstleister.
(ii) Der Kunde legt kalifornische abgedeckte personenbezogene Daten an Ripple Treasury im Zusammenhang mit der Vereinbarung nur für die begrenzten und spezifischen Zwecke des Empfangs der Dienstleistungen gemäß der Vereinbarung offen.(ii) Der Kunde legt kalifornische abgedeckte personenbezogene Daten an Ripple Treasury im Zusammenhang mit der Vereinbarung nur für die begrenzten und spezifischen Zwecke des Empfangs der Dienstleistungen gemäß der Vereinbarung offen.
(iii) Ripple Treasury wird kalifornische abgedeckte personenbezogene Daten ausschließlich zum spezifischen Zweck der Erbringung der Dienstleistungen gemäß der Vereinbarung oder wie anderweitig gesetzlich vorgeschrieben aufbewahren, nutzen, offenlegen oder anderweitig verarbeiten.(iii) Ripple Treasury wird kalifornische abgedeckte personenbezogene Daten ausschließlich zum spezifischen Zweck der Erbringung der Dienstleistungen gemäß der Vereinbarung oder wie anderweitig gesetzlich vorgeschrieben aufbewahren, nutzen, offenlegen oder anderweitig verarbeiten.
(iv) Ripple Treasury wird nicht:(iv) Ripple Treasury wird nicht:
(A) Kalifornische abgedeckte personenbezogene Daten aufbewahren, nutzen, offenlegen oder anderweitig verarbeiten, außer soweit dies zur Erbringung von Dienstleistungen gemäß der Vereinbarung erforderlich ist oder anderweitig gesetzlich vorgeschrieben ist;(A) Kalifornische abgedeckte personenbezogene Daten aufbewahren, nutzen, offenlegen oder anderweitig verarbeiten, außer soweit dies zur Erbringung von Dienstleistungen gemäß der Vereinbarung erforderlich ist oder anderweitig gesetzlich vorgeschrieben ist;
(B) Kalifornische abgedeckte personenbezogene Daten verkaufen; oder(B) Kalifornische abgedeckte personenbezogene Daten verkaufen; oder
(C) Kalifornische abgedeckte personenbezogene Daten weitergeben, außer soweit dies zur Erfüllung der Vereinbarung erforderlich ist.(C) Kalifornische abgedeckte personenbezogene Daten weitergeben, außer soweit dies zur Erfüllung der Vereinbarung erforderlich ist.
(v) Ripple Treasury wird bei allen angemessenen und geeigneten Audits, Inspektionen oder anderen Schritten kooperieren, die der Kunde nach kalifornischem Recht durchführen muss, um zu bestätigen, dass Ripple Treasury kalifornische abgedeckte personenbezogene Daten in einer Weise verarbeitet, die mit den Verpflichtungen von Ripple Treasury gemäß dieser DPA übereinstimmt.(v) Ripple Treasury wird bei allen angemessenen und geeigneten Audits, Inspektionen oder anderen Schritten kooperieren, die der Kunde nach kalifornischem Recht durchführen muss, um zu bestätigen, dass Ripple Treasury kalifornische abgedeckte personenbezogene Daten in einer Weise verarbeitet, die mit den Verpflichtungen von Ripple Treasury gemäß dieser DPA übereinstimmt.
(vi) Ripple Treasury wird den Kunden unverzüglich benachrichtigen, wenn Ripple Treasury die Verpflichtungen von Ripple Treasury gemäß dieser DPA nicht mehr erfüllen kann.(vi) Ripple Treasury wird den Kunden unverzüglich benachrichtigen, wenn Ripple Treasury die Verpflichtungen von Ripple Treasury gemäß dieser DPA nicht mehr erfüllen kann.
(vii) Ripple Treasury wird mit dem Kunden bei der Beantwortung und Umsetzung nachprüfbarer Verbraucheranfragen zur Ausübung von Rechten, die Verbrauchern nach kalifornischem Recht zustehen, zusammenarbeiten, einschließlich der Unterstützung mit geeigneten technischen und organisatorischen Maßnahmen. Ripple Treasury wird dem Kunden innerhalb von fünf Werktagen alle Anfragen von Verbrauchern zur Ausübung eines Rechts nach kalifornischem Recht übermitteln, unabhängig davon, ob sie von einem Verbraucher oder einem bevollmächtigten Vertreter erhalten wurden, wenn die personenbezogenen Daten des Anfragenden in den kalifornischen abgedeckten personenbezogenen Daten enthalten sind.(vii) Ripple Treasury wird mit dem Kunden bei der Beantwortung und Umsetzung nachprüfbarer Verbraucheranfragen zur Ausübung von Rechten, die Verbrauchern nach kalifornischem Recht zustehen, zusammenarbeiten, einschließlich der Unterstützung mit geeigneten technischen und organisatorischen Maßnahmen. Ripple Treasury wird dem Kunden innerhalb von fünf Werktagen alle Anfragen von Verbrauchern zur Ausübung eines Rechts nach kalifornischem Recht übermitteln, unabhängig davon, ob sie von einem Verbraucher oder einem bevollmächtigten Vertreter erhalten wurden, wenn die personenbezogenen Daten des Anfragenden in den kalifornischen abgedeckten personenbezogenen Daten enthalten sind.
(viii) Auf schriftliche Anfrage des Kunden oder bei Beendigung der Vereinbarung wird Ripple Treasury alle kalifornischen abgedeckten personenbezogenen Daten unverzüglich löschen.(viii) Auf schriftliche Anfrage des Kunden oder bei Beendigung der Vereinbarung wird Ripple Treasury alle kalifornischen abgedeckten personenbezogenen Daten unverzüglich löschen.
(ix) Ripple Treasury wird kalifornische abgedeckte personenbezogene Daten nicht verarbeiten, um anonymisierte Daten zu erstellen, ohne zuvor eine Genehmigung vom Kunden einzuholen. Falls Ripple Treasury ordnungsgemäß autorisiert ist, wird Ripple Treasury:(ix) Ripple Treasury wird kalifornische abgedeckte personenbezogene Daten nicht verarbeiten, um anonymisierte Daten zu erstellen, ohne zuvor eine Genehmigung vom Kunden einzuholen. Falls Ripple Treasury ordnungsgemäß autorisiert ist, wird Ripple Treasury:
(A) Angemessene Maßnahmen ergreifen, um zu verhindern, dass anonymisierte Daten verwendet werden, um Informationen über eine bestimmte natürliche Person oder einen Haushalt abzuleiten oder anderweitig mit diesen verknüpft zu werden;(A) Angemessene Maßnahmen ergreifen, um zu verhindern, dass anonymisierte Daten verwendet werden, um Informationen über eine bestimmte natürliche Person oder einen Haushalt abzuleiten oder anderweitig mit diesen verknüpft zu werden;
(B) Anonymisierte Daten in anonymisierter Form pflegen und verwenden und nicht versuchen, die anonymisierten Daten erneut zu identifizieren, es sei denn, Ripple Treasury versucht, die Informationen ausschließlich zum Zweck der Feststellung erneut zu identifizieren, ob seine Anonymisierungsprozesse die Anforderungen des kalifornischen Rechts erfüllen; und(B) Anonymisierte Daten in anonymisierter Form pflegen und verwenden und nicht versuchen, die anonymisierten Daten erneut zu identifizieren, es sei denn, Ripple Treasury versucht, die Informationen ausschließlich zum Zweck der Feststellung erneut zu identifizieren, ob seine Anonymisierungsprozesse die Anforderungen des kalifornischen Rechts erfüllen; und
(C) Alle Empfänger der anonymisierten Daten, einschließlich Unterauftragsverarbeiter, Auftragnehmer und andere Dritte, vertraglich dazu verpflichten, Verpflichtungen einzuhalten, die den Verpflichtungen von Ripple Treasury gemäß dieser DPA entsprechen.(C) Alle Empfänger der anonymisierten Daten, einschließlich Unterauftragsverarbeiter, Auftragnehmer und andere Dritte, vertraglich dazu verpflichten, Verpflichtungen einzuhalten, die den Verpflichtungen von Ripple Treasury gemäß dieser DPA entsprechen.
(D) Vollumfänglich haftbar bleiben für jede Nichteinhaltung der Verpflichtungen von Ripple Treasury in Bezug auf anonymisierte Daten durch Ripple Treasury oder seine Mitarbeiter, Vertreter oder Auftragnehmer.(D) Vollumfänglich haftbar bleiben für jede Nichteinhaltung der Verpflichtungen von Ripple Treasury in Bezug auf anonymisierte Daten durch Ripple Treasury oder seine Mitarbeiter, Vertreter oder Auftragnehmer.
(b) Colorado. Ab dem 1. Juli 2023 gelten die folgenden Bestimmungen für Übermittlungen von abgedeckten personenbezogenen Daten vom Kunden an Ripple Treasury und die Verarbeitung abgedeckter personenbezogener Daten durch Ripple Treasury, die dem Colorado Privacy Act (Col. Rev. Stat. § 6-1-1301 et seq.) in der jeweils gültigen Fassung („Colorado Covered Personal Data“) unterliegen, soweit der Kunde als Verantwortlicher für Colorado Covered Personal Data und Ripple Treasury als Auftragsverarbeiter für Colorado Covered Personal Data handelt:(b) Colorado. Ab dem 1. Juli 2023 gelten die folgenden Bestimmungen für Übermittlungen von abgedeckten personenbezogenen Daten vom Kunden an Ripple Treasury und die Verarbeitung abgedeckter personenbezogener Daten durch Ripple Treasury, die dem Colorado Privacy Act (Col. Rev. Stat. § 6-1-1301 et seq.) in der jeweils gültigen Fassung („Colorado Covered Personal Data“) unterliegen, soweit der Kunde als Verantwortlicher für Colorado Covered Personal Data und Ripple Treasury als Auftragsverarbeiter für Colorado Covered Personal Data handelt:
(i) Ripple Treasury verarbeitet Colorado Covered Personal Data als Auftragsverarbeiter bei der Erbringung der Dienstleistungen gemäß der Vereinbarung.(i) Ripple Treasury verarbeitet Colorado Covered Personal Data als Auftragsverarbeiter bei der Erbringung der Dienstleistungen gemäß der Vereinbarung.
(ii) Ripple Treasury wird:(ii) Ripple Treasury wird:
(A) Colorado Covered Personal Data ausschließlich zum spezifischen Zweck der Erbringung der Dienstleistungen gemäß der Vereinbarung oder soweit gesetzlich anderweitig vorgeschrieben speichern, nutzen, offenlegen oder anderweitig verarbeiten;(A) Colorado Covered Personal Data ausschließlich zum spezifischen Zweck der Erbringung der Dienstleistungen gemäß der Vereinbarung oder soweit gesetzlich anderweitig vorgeschrieben speichern, nutzen, offenlegen oder anderweitig verarbeiten;
(iii) Sicherstellen, dass jeder Beauftragte von Ripple Treasury, der Colorado Covered Personal Data verarbeitet, einer Vertraulichkeitspflicht in Bezug auf die Covered Colorado Personal Data unterliegt; und(iii) Sicherstellen, dass jeder Beauftragte von Ripple Treasury, der Colorado Covered Personal Data verarbeitet, einer Vertraulichkeitspflicht in Bezug auf die Covered Colorado Personal Data unterliegt; und
(iv) Soweit der Kunde nach dem Recht von Colorado verpflichtet ist, von Ripple Treasury Folgendes zu verlangen:(iv) Soweit der Kunde nach dem Recht von Colorado verpflichtet ist, von Ripple Treasury Folgendes zu verlangen:
(A) Ripple Treasury wird angemessene Bewertungen durch den Kunden oder den vom Kunden benannten Gutachter zulassen und mit diesen kooperieren; oder(A) Ripple Treasury wird angemessene Bewertungen durch den Kunden oder den vom Kunden benannten Gutachter zulassen und mit diesen kooperieren; oder
(B) Ripple Treasury kann einen qualifizierten und unabhängigen Gutachter beauftragen, eine Bewertung der Richtlinien sowie der technischen und organisatorischen Maßnahmen von Ripple Treasury unter Verwendung eines geeigneten und anerkannten Kontrollstandards oder -rahmens und eines Bewertungsverfahrens für solche Bewertungen durchzuführen, und Ripple Treasury wird dem Kunden auf Anfrage einen Bericht über diese Bewertung zur Verfügung stellen.(B) Ripple Treasury kann einen qualifizierten und unabhängigen Gutachter beauftragen, eine Bewertung der Richtlinien sowie der technischen und organisatorischen Maßnahmen von Ripple Treasury unter Verwendung eines geeigneten und anerkannten Kontrollstandards oder -rahmens und eines Bewertungsverfahrens für solche Bewertungen durchzuführen, und Ripple Treasury wird dem Kunden auf Anfrage einen Bericht über diese Bewertung zur Verfügung stellen.
(v) Auf Anweisung des Kunden wird Ripple Treasury alle Colorado Covered Personal Data löschen oder an den Kunden zurückgeben, wie am Ende der Dienstleistungserbringung angefordert, es sei denn, die Speicherung der Colorado Covered Personal Data ist gesetzlich vorgeschrieben;(v) Auf Anweisung des Kunden wird Ripple Treasury alle Colorado Covered Personal Data löschen oder an den Kunden zurückgeben, wie am Ende der Dienstleistungserbringung angefordert, es sei denn, die Speicherung der Colorado Covered Personal Data ist gesetzlich vorgeschrieben;
(vi) Auf angemessene Anfrage des Kunden wird Ripple Treasury dem Kunden alle in seinem Besitz befindlichen Informationen zur Verfügung stellen, die vernünftigerweise erforderlich sind, um die Einhaltung dieser DPA durch Ripple Treasury nachzuweisen;(vi) Auf angemessene Anfrage des Kunden wird Ripple Treasury dem Kunden alle in seinem Besitz befindlichen Informationen zur Verfügung stellen, die vernünftigerweise erforderlich sind, um die Einhaltung dieser DPA durch Ripple Treasury nachzuweisen;
(vii) Ripple Treasury wird mit dem Kunden durch geeignete technische und organisatorische Maßnahmen zusammenarbeiten, soweit dies vernünftigerweise praktikabel ist, um die Verpflichtung des Kunden zur Beantwortung von Anfragen zu Verbraucherrechten zu erfüllen. Ripple Treasury wird dem Kunden innerhalb von fünf Werktagen jede Anfrage einer betroffenen Person zur Ausübung eines Rechts nach dem Recht von Colorado übermitteln, unabhängig davon, ob sie von einer betroffenen Person oder einem autorisierten Vertreter erhalten wurde, wenn die Covered Personal Data des Anfragenden in den Colorado Covered Personal Data enthalten sind.(vii) Ripple Treasury wird mit dem Kunden durch geeignete technische und organisatorische Maßnahmen zusammenarbeiten, soweit dies vernünftigerweise praktikabel ist, um die Verpflichtung des Kunden zur Beantwortung von Anfragen zu Verbraucherrechten zu erfüllen. Ripple Treasury wird dem Kunden innerhalb von fünf Werktagen jede Anfrage einer betroffenen Person zur Ausübung eines Rechts nach dem Recht von Colorado übermitteln, unabhängig davon, ob sie von einer betroffenen Person oder einem autorisierten Vertreter erhalten wurde, wenn die Covered Personal Data des Anfragenden in den Colorado Covered Personal Data enthalten sind.
(viii) Ripple Treasury wird den Kunden bei der Erfüllung seiner Pflichten in Bezug auf die Sicherheit der Verarbeitung von Colorado Covered Personal Data und in Bezug auf die Benachrichtigung über eine Sicherheitsverletzung des Systems von Ripple Treasury gemäß geltendem Recht unterstützen.(viii) Ripple Treasury wird den Kunden bei der Erfüllung seiner Pflichten in Bezug auf die Sicherheit der Verarbeitung von Colorado Covered Personal Data und in Bezug auf die Benachrichtigung über eine Sicherheitsverletzung des Systems von Ripple Treasury gemäß geltendem Recht unterstützen.
(ix) Ripple Treasury wird Colorado Covered Personal Data nicht verarbeiten, um de-identifizierte Daten zu erstellen, ohne zuvor eine Genehmigung vom Kunden einzuholen. Falls Ripple Treasury ordnungsgemäß autorisiert ist, wird Ripple Treasury:(ix) Ripple Treasury wird Colorado Covered Personal Data nicht verarbeiten, um de-identifizierte Daten zu erstellen, ohne zuvor eine Genehmigung vom Kunden einzuholen. Falls Ripple Treasury ordnungsgemäß autorisiert ist, wird Ripple Treasury:
(A) Angemessene Maßnahmen ergreifen, um zu verhindern, dass de-identifizierte Daten verwendet werden, um Informationen über eine bestimmte natürliche Person oder einen Haushalt abzuleiten oder anderweitig mit einer bestimmten natürlichen Person oder einem Haushalt verknüpft zu werden; und(A) Angemessene Maßnahmen ergreifen, um zu verhindern, dass de-identifizierte Daten verwendet werden, um Informationen über eine bestimmte natürliche Person oder einen Haushalt abzuleiten oder anderweitig mit einer bestimmten natürlichen Person oder einem Haushalt verknüpft zu werden; und
(B) Vertraglich von allen Empfängern der de-identifizierten Daten, einschließlich Unterauftragsverarbeitern, Auftragnehmern und anderen Dritten, verlangen, Verpflichtungen einzuhalten, die mit den Verpflichtungen von Ripple Treasury gemäß dieser DPA übereinstimmen.(B) Vertraglich von allen Empfängern der de-identifizierten Daten, einschließlich Unterauftragsverarbeitern, Auftragnehmern und anderen Dritten, verlangen, Verpflichtungen einzuhalten, die mit den Verpflichtungen von Ripple Treasury gemäß dieser DPA übereinstimmen.
(c) Virginia. Die folgenden Bestimmungen gelten für alle Übermittlungen von Covered Personal Data vom Kunden an Ripple Treasury und die Verarbeitung von Covered Personal Data durch Ripple Treasury, die dem Virginia Consumer Data Protection Act (Va. Code § 59.1-571 ff.) in der jeweils gültigen Fassung („VCDPA“) („Virginia Covered Personal Data“) unterliegen, soweit der Kunde als Verantwortlicher für Virginia Covered Personal Data und Ripple Treasury als Auftragsverarbeiter für Virginia Covered Personal Data handelt.(c) Virginia. Die folgenden Bestimmungen gelten für alle Übermittlungen von Covered Personal Data vom Kunden an Ripple Treasury und die Verarbeitung von Covered Personal Data durch Ripple Treasury, die dem Virginia Consumer Data Protection Act (Va. Code § 59.1-571 ff.) in der jeweils gültigen Fassung („VCDPA“) („Virginia Covered Personal Data“) unterliegen, soweit der Kunde als Verantwortlicher für Virginia Covered Personal Data und Ripple Treasury als Auftragsverarbeiter für Virginia Covered Personal Data handelt.
(i) Ripple Treasury verarbeitet Virginia Covered Personal Data als Auftragsverarbeiter bei der Erbringung der Dienstleistungen gemäß der Vereinbarung.(i) Ripple Treasury verarbeitet Virginia Covered Personal Data als Auftragsverarbeiter bei der Erbringung der Dienstleistungen gemäß der Vereinbarung.
(ii) Ripple Treasury wird Virginia Covered Personal Data ausschließlich zum spezifischen Zweck der Erbringung der Dienstleistungen gemäß der Vereinbarung oder soweit gesetzlich anderweitig vorgeschrieben speichern, nutzen, offenlegen oder anderweitig verarbeiten.(ii) Ripple Treasury wird Virginia Covered Personal Data ausschließlich zum spezifischen Zweck der Erbringung der Dienstleistungen gemäß der Vereinbarung oder soweit gesetzlich anderweitig vorgeschrieben speichern, nutzen, offenlegen oder anderweitig verarbeiten.
(iii) Ripple Treasury wird sicherstellen, dass jeder Beauftragte von Ripple Treasury, der Virginia Covered Personal Data verarbeitet, einer Vertraulichkeitspflicht in Bezug auf die Daten unterliegt.(iii) Ripple Treasury wird sicherstellen, dass jeder Beauftragte von Ripple Treasury, der Virginia Covered Personal Data verarbeitet, einer Vertraulichkeitspflicht in Bezug auf die Daten unterliegt.
(iv) Soweit der Kunde nach dem Recht von Virginia verpflichtet ist, von Ripple Treasury Folgendes zu verlangen:(iv) Soweit der Kunde nach dem Recht von Virginia verpflichtet ist, von Ripple Treasury Folgendes zu verlangen:
(A) Ripple Treasury wird angemessene Bewertungen durch den Kunden oder den vom Kunden benannten Gutachter zulassen und mit diesen kooperieren; oder(A) Ripple Treasury wird angemessene Bewertungen durch den Kunden oder den vom Kunden benannten Gutachter zulassen und mit diesen kooperieren; oder
(B) Ripple Treasury kann einen qualifizierten und unabhängigen Gutachter beauftragen, eine Bewertung der Richtlinien sowie der technischen und organisatorischen Maßnahmen von Ripple Treasury durchzuführen, unter Verwendung eines geeigneten und anerkannten Kontrollstandards oder -rahmens und eines Bewertigungsverfahrens für solche Bewertungen, und Ripple Treasury wird dem Kunden auf Anfrage einen Bericht über diese Bewertung zur Verfügung stellen.(B) Ripple Treasury kann einen qualifizierten und unabhängigen Gutachter beauftragen, eine Bewertung der Richtlinien sowie der technischen und organisatorischen Maßnahmen von Ripple Treasury durchzuführen, unter Verwendung eines geeigneten und anerkannten Kontrollstandards oder -rahmens und eines Bewertigungsverfahrens für solche Bewertungen, und Ripple Treasury wird dem Kunden auf Anfrage einen Bericht über diese Bewertung zur Verfügung stellen.
(v) Auf Anweisung des Kunden wird Ripple Treasury alle abgedeckten personenbezogenen Daten aus Virginia am Ende der Dienstleistungserbringung wie angefordert löschen oder an den Kunden zurückgeben, es sei denn, die Aufbewahrung der abgedeckten personenbezogenen Daten aus Virginia ist gesetzlich vorgeschrieben.(v) Auf Anweisung des Kunden wird Ripple Treasury alle abgedeckten personenbezogenen Daten aus Virginia am Ende der Dienstleistungserbringung wie angefordert löschen oder an den Kunden zurückgeben, es sei denn, die Aufbewahrung der abgedeckten personenbezogenen Daten aus Virginia ist gesetzlich vorgeschrieben.
(vi) Auf angemessene Anfrage des Kunden stellt Ripple Treasury dem Kunden alle in seinem Besitz befindlichen Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der Verpflichtungen von Ripple Treasury gemäß dieser DPA nachzuweisen.(vi) Auf angemessene Anfrage des Kunden stellt Ripple Treasury dem Kunden alle in seinem Besitz befindlichen Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der Verpflichtungen von Ripple Treasury gemäß dieser DPA nachzuweisen.
(vii) Ripple Treasury wird mit dem Kunden durch geeignete technische und organisatorische Maßnahmen zusammenarbeiten, soweit dies vernünftigerweise praktikabel ist, um die Verpflichtung des Kunden zur Beantwortung von Anfragen bezüglich der Rechte betroffener Personen zu erfüllen. Ripple Treasury wird dem Kunden innerhalb von fünf Werktagen alle Anfragen zur Ausübung eines Rechts gemäß dem Datenschutzgesetz von Virginia übermitteln, unabhängig davon, ob sie von einer betroffenen Person oder einem bevollmächtigten Vertreter stammen, sofern die personenbezogenen Daten des Anfragenden in den abgedeckten personenbezogenen Daten aus Virginia enthalten sind.(vii) Ripple Treasury wird mit dem Kunden durch geeignete technische und organisatorische Maßnahmen zusammenarbeiten, soweit dies vernünftigerweise praktikabel ist, um die Verpflichtung des Kunden zur Beantwortung von Anfragen bezüglich der Rechte betroffener Personen zu erfüllen. Ripple Treasury wird dem Kunden innerhalb von fünf Werktagen alle Anfragen zur Ausübung eines Rechts gemäß dem Datenschutzgesetz von Virginia übermitteln, unabhängig davon, ob sie von einer betroffenen Person oder einem bevollmächtigten Vertreter stammen, sofern die personenbezogenen Daten des Anfragenden in den abgedeckten personenbezogenen Daten aus Virginia enthalten sind.
(viii) Ripple Treasury wird den Kunden bei der Erfüllung seiner Pflichten in Bezug auf die Sicherheit der Verarbeitung der abgedeckten personenbezogenen Daten aus Virginia und in Bezug auf die Benachrichtigung über eine Sicherheitsverletzung des Systems von Ripple Treasury unterstützen, soweit dies nach dem Recht von Virginia erforderlich ist.(viii) Ripple Treasury wird den Kunden bei der Erfüllung seiner Pflichten in Bezug auf die Sicherheit der Verarbeitung der abgedeckten personenbezogenen Daten aus Virginia und in Bezug auf die Benachrichtigung über eine Sicherheitsverletzung des Systems von Ripple Treasury unterstützen, soweit dies nach dem Recht von Virginia erforderlich ist.
(ix) Ripple Treasury wird keine abgedeckten personenbezogenen Daten aus Virginia verarbeiten, um de-identifizierte Daten zu erstellen, ohne zuvor eine Genehmigung vom Kunden einzuholen. Sollte Ripple Treasury ordnungsgemäß autorisiert sein, wird Ripple Treasury:(ix) Ripple Treasury wird keine abgedeckten personenbezogenen Daten aus Virginia verarbeiten, um de-identifizierte Daten zu erstellen, ohne zuvor eine Genehmigung vom Kunden einzuholen. Sollte Ripple Treasury ordnungsgemäß autorisiert sein, wird Ripple Treasury:
(A) Angemessene Maßnahmen ergreifen, um zu verhindern, dass de-identifizierte Daten verwendet werden, um Informationen über eine bestimmte natürliche Person oder einen Haushalt abzuleiten oder anderweitig mit dieser/diesem verknüpft zu werden;(A) Angemessene Maßnahmen ergreifen, um zu verhindern, dass de-identifizierte Daten verwendet werden, um Informationen über eine bestimmte natürliche Person oder einen Haushalt abzuleiten oder anderweitig mit dieser/diesem verknüpft zu werden;
(B) De-identifizierte Daten in de-identifizierter Form zu pflegen und zu verwenden und nicht zu versuchen, die de-identifizierten Daten erneut zu identifizieren, es sei denn, Ripple Treasury versucht, die Informationen ausschließlich zum Zweck der Feststellung, ob seine De-Identifizierungsverfahren den Anforderungen des Rechts von Virginia entsprechen, erneut zu identifizieren; und(B) De-identifizierte Daten in de-identifizierter Form zu pflegen und zu verwenden und nicht zu versuchen, die de-identifizierten Daten erneut zu identifizieren, es sei denn, Ripple Treasury versucht, die Informationen ausschließlich zum Zweck der Feststellung, ob seine De-Identifizierungsverfahren den Anforderungen des Rechts von Virginia entsprechen, erneut zu identifizieren; und
(C) Empfänger der de-identifizierten Daten, einschließlich Unterauftragsverarbeiter, Auftragnehmer und andere Dritte, vertraglich dazu verpflichten, Verpflichtungen einzuhalten, die mit den Verpflichtungen von Ripple Treasury gemäß dieser DPA übereinstimmen.(C) Empfänger der de-identifizierten Daten, einschließlich Unterauftragsverarbeiter, Auftragnehmer und andere Dritte, vertraglich dazu verpflichten, Verpflichtungen einzuhalten, die mit den Verpflichtungen von Ripple Treasury gemäß dieser DPA übereinstimmen.
4. Kanada-spezifische Bestimmungen.4. Kanada-spezifische Bestimmungen.
Die folgenden Bestimmungen gelten für alle Übermittlungen von abgedeckten personenbezogenen Daten vom Kunden an Ripple Treasury, deren Verarbeitung dem Personal Information Protection and Electronic Documents Act in seiner jeweils gültigen Fassung („PIPEDA“) und jeder ähnlichen kanadischen Bundes- oder Provinzgesetzgebung zum Schutz personenbezogener Daten („abgedeckte kanadische personenbezogene Daten“) unterliegt.Die folgenden Bestimmungen gelten für alle Übermittlungen von abgedeckten personenbezogenen Daten vom Kunden an Ripple Treasury, deren Verarbeitung dem Personal Information Protection and Electronic Documents Act in seiner jeweils gültigen Fassung („PIPEDA“) und jeder ähnlichen kanadischen Bundes- oder Provinzgesetzgebung zum Schutz personenbezogener Daten („abgedeckte kanadische personenbezogene Daten“) unterliegt.
(a) Der Kunde fungiert als Verantwortlicher für die abgedeckten kanadischen personenbezogenen Daten, und Ripple Treasury fungiert als Auftragsverarbeiter für die abgedeckten kanadischen personenbezogenen Daten.(a) Der Kunde fungiert als Verantwortlicher für die abgedeckten kanadischen personenbezogenen Daten, und Ripple Treasury fungiert als Auftragsverarbeiter für die abgedeckten kanadischen personenbezogenen Daten.
(b) Der Kunde wird angemessene Hinweise geben und entsprechende Einwilligungen einholen, wie es gegebenenfalls PIPEDA und andere anwendbare kanadische Gesetze vorschreiben.(b) Der Kunde wird angemessene Hinweise geben und entsprechende Einwilligungen einholen, wie es gegebenenfalls PIPEDA und andere anwendbare kanadische Gesetze vorschreiben.
(c) Ripple Treasury wird Sicherheitsmaßnahmen zum Schutz der kanadischen personenbezogenen Daten gemäß den Anforderungen der Vereinbarung implementieren.(c) Ripple Treasury wird Sicherheitsmaßnahmen zum Schutz der kanadischen personenbezogenen Daten gemäß den Anforderungen der Vereinbarung implementieren.
(d) Sowohl der Kunde als auch Ripple Treasury müssen alle gültigen Anfragen von zuständigen Rechtsbehörden erfüllen.(d) Sowohl der Kunde als auch Ripple Treasury müssen alle gültigen Anfragen von zuständigen Rechtsbehörden erfüllen.
(e) Auf Anfrage des Kunden stellt Ripple Treasury dem Kunden die Möglichkeit zur Verfügung, die kanadischen personenbezogenen Daten abzurufen.(e) Auf Anfrage des Kunden stellt Ripple Treasury dem Kunden die Möglichkeit zur Verfügung, die kanadischen personenbezogenen Daten abzurufen.
5. Rechte an personenbezogenen Daten;5. Rechte an personenbezogenen Daten;
Recht auf Verarbeitung. Der Kunde sichert Ripple Treasury sowie den verbundenen Unternehmen und Unterauftragsverarbeitern von Ripple Treasury zu und gewährleistet, dass der Kunde alle Rechte (sei es aufgrund der Einwilligung der betroffenen Personen der personenbezogenen Daten, eines berechtigten Interesses im Sinne von Artikel 6 DSGVO, einer oder mehrerer Ausnahmen gemäß Artikel 49 DSGVO oder anderweitig gemäß anwendbarem Datenschutzrecht) in Bezug auf die abgedeckten personenbezogenen Daten besitzt, die erforderlich sind, um diese an Ripple Treasury zu übermitteln, Ripple Treasury zu veranlassen oder anzuweisen, solche personenbezogenen Daten gemäß dieser DPA und/oder der Vereinbarung zu besitzen und zu verarbeiten, und Ripple Treasury zu gestatten, solche personenbezogenen Daten gemäß dieser DPA und/oder der Vereinbarung zu besitzen, zu verarbeiten und durch Unterauftragsverarbeiter verarbeiten zu lassen. Der Kunde wird Ripple Treasury und seine verbundenen Unternehmen und Unterauftragsverarbeiter von jeglichen Ansprüchen von oder zugunsten einer betroffenen Person oder einer Regierungsbehörde freistellen, verteidigen und schadlos halten, die Tatsachen geltend machen, die, wenn sie zuträfen, einen Verstoß gegen die Zusicherungen und Gewährleistungen in diesem Abschnitt 5 darstellen würden.Recht auf Verarbeitung. Der Kunde sichert Ripple Treasury sowie den verbundenen Unternehmen und Unterauftragsverarbeitern von Ripple Treasury zu und gewährleistet, dass der Kunde alle Rechte (sei es aufgrund der Einwilligung der betroffenen Personen der personenbezogenen Daten, eines berechtigten Interesses im Sinne von Artikel 6 DSGVO, einer oder mehrerer Ausnahmen gemäß Artikel 49 DSGVO oder anderweitig gemäß anwendbarem Datenschutzrecht) in Bezug auf die abgedeckten personenbezogenen Daten besitzt, die erforderlich sind, um diese an Ripple Treasury zu übermitteln, Ripple Treasury zu veranlassen oder anzuweisen, solche personenbezogenen Daten gemäß dieser DPA und/oder der Vereinbarung zu besitzen und zu verarbeiten, und Ripple Treasury zu gestatten, solche personenbezogenen Daten gemäß dieser DPA und/oder der Vereinbarung zu besitzen, zu verarbeiten und durch Unterauftragsverarbeiter verarbeiten zu lassen. Der Kunde wird Ripple Treasury und seine verbundenen Unternehmen und Unterauftragsverarbeiter von jeglichen Ansprüchen von oder zugunsten einer betroffenen Person oder einer Regierungsbehörde freistellen, verteidigen und schadlos halten, die Tatsachen geltend machen, die, wenn sie zuträfen, einen Verstoß gegen die Zusicherungen und Gewährleistungen in diesem Abschnitt 5 darstellen würden.
6. EWR-spezifische Bestimmungen.6. EWR-spezifische Bestimmungen.
Der Kunde als Datenexporteur und Ripple Treasury als Datenimporteur stimmen den als Anhang 1 beigefügten Standardvertragsklauseln zu, als ob der Kunde und Ripple Treasury diese unterzeichnet und übermittelt hätten. Diese Standardvertragsklauseln gelten ausschließlich für abgedeckte personenbezogene Daten von betroffenen Personen, die sich im EWR befinden.Der Kunde als Datenexporteur und Ripple Treasury als Datenimporteur stimmen den als Anhang 1 beigefügten Standardvertragsklauseln zu, als ob der Kunde und Ripple Treasury diese unterzeichnet und übermittelt hätten. Diese Standardvertragsklauseln gelten ausschließlich für abgedeckte personenbezogene Daten von betroffenen Personen, die sich im EWR befinden.
(a) Im Falle von Übermittlungen abgedeckter personenbezogener Daten durch den Kunden an Ripple Treasury findet nur Modul Zwei (das Übermittlungen von Verantwortlichen an Auftragsverarbeiter abdeckt) Anwendung.(a) Im Falle von Übermittlungen abgedeckter personenbezogener Daten durch den Kunden an Ripple Treasury findet nur Modul Zwei (das Übermittlungen von Verantwortlichen an Auftragsverarbeiter abdeckt) Anwendung.
(b) Im Falle von Übermittlungen abgedeckter personenbezogener Daten durch Ripple Treasury an den Kunden findet nur Modul Vier (das Übermittlungen von Auftragsverarbeitern an Verantwortliche abdeckt) Anwendung.(b) Im Falle von Übermittlungen abgedeckter personenbezogener Daten durch Ripple Treasury an den Kunden findet nur Modul Vier (das Übermittlungen von Auftragsverarbeitern an Verantwortliche abdeckt) Anwendung.
(c) Module Eins und Drei finden keine Anwendung, und keine der Parteien wird eine Übermittlung an die andere vornehmen, die von einem dieser Module abgedeckt ist.(c) Module Eins und Drei finden keine Anwendung, und keine der Parteien wird eine Übermittlung an die andere vornehmen, die von einem dieser Module abgedeckt ist.
(d) Für die Zwecke von Klausel 17 unterliegen die Standardvertragsklauseln dem Recht der Niederlande.(d) Für die Zwecke von Klausel 17 unterliegen die Standardvertragsklauseln dem Recht der Niederlande.
(e) Für die Zwecke von Klausel 18 werden alle Streitigkeiten, die sich aus den Standardvertragsklauseln ergeben, von den Gerichten der Niederlande beigelegt.(e) Für die Zwecke von Klausel 18 werden alle Streitigkeiten, die sich aus den Standardvertragsklauseln ergeben, von den Gerichten der Niederlande beigelegt.
7. UK-spezifische Bestimmungen.7. UK-spezifische Bestimmungen.
Die folgenden Bestimmungen gelten für abgedeckte personenbezogene Daten, die unter den UK Data Protection Act 2018 in der jeweils gültigen Fassung (das „UK-Gesetz“) fallen (solche personenbezogenen Daten werden als „UK-abgedeckte personenbezogene Daten“ bezeichnet).Die folgenden Bestimmungen gelten für abgedeckte personenbezogene Daten, die unter den UK Data Protection Act 2018 in der jeweils gültigen Fassung (das „UK-Gesetz“) fallen (solche personenbezogenen Daten werden als „UK-abgedeckte personenbezogene Daten“ bezeichnet).
(a) Der Kunde fungiert als Verantwortlicher und Exporteur der UK-abgedeckten personenbezogenen Daten, und Ripple Treasury fungiert als Auftragsverarbeiter und Importeur der UK-personenbezogenen Daten.(a) Der Kunde fungiert als Verantwortlicher und Exporteur der UK-abgedeckten personenbezogenen Daten, und Ripple Treasury fungiert als Auftragsverarbeiter und Importeur der UK-personenbezogenen Daten.
(b) „UK-Zusatz“ bezeichnet das genehmigte Addendum B.1.0, das vom UK Information Commissioner’s Office („ICO“) herausgegeben und dem Parlament gemäß s119A des UK-Gesetzes vorgelegt wurde, in der Fassung, die gemäß Abschnitt 18 dieser zwingenden Klauseln überarbeitet wird. Zum Zeitpunkt der letzten Überarbeitung dieser DPA ist die aktuelle Version des UK-Zusatzes unter https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf verfügbar.(b) „UK-Zusatz“ bezeichnet das genehmigte Addendum B.1.0, das vom UK Information Commissioner’s Office („ICO“) herausgegeben und dem Parlament gemäß s119A des UK-Gesetzes vorgelegt wurde, in der Fassung, die gemäß Abschnitt 18 dieser zwingenden Klauseln überarbeitet wird. Zum Zeitpunkt der letzten Überarbeitung dieser DPA ist die aktuelle Version des UK-Zusatzes unter https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf verfügbar.
(c) Die Parteien werden die Bestimmungen von Teil 2: Zwingende Klauseln des UK-Zusatzes einhalten, wie sie gemäß Abschnitt 18 dieser Zwingenden Klauseln überarbeitet werden;(c) Die Parteien werden die Bestimmungen von Teil 2: Zwingende Klauseln des UK-Zusatzes einhalten, wie sie gemäß Abschnitt 18 dieser Zwingenden Klauseln überarbeitet werden;
(d) Durch die Unterzeichnung dieser DPA gelten die Parteien als hätten sie den UK-Zusatz unterzeichnet;(d) Durch die Unterzeichnung dieser DPA gelten die Parteien als hätten sie den UK-Zusatz unterzeichnet;
(e) Hinsichtlich Teil 1, Tabelle 2 des UK-Zusatzes:(e) Hinsichtlich Teil 1, Tabelle 2 des UK-Zusatzes:
(i) Klausel 7 (die Andockklausel) ist ausgeschlossen;(i) Klausel 7 (die Andockklausel) ist ausgeschlossen;
(ii) Die vorherige Genehmigung gemäß Klausel 9(a) (Vorherige Genehmigung oder Allgemeine Genehmigung) findet keine Anwendung;(ii) Die vorherige Genehmigung gemäß Klausel 9(a) (Vorherige Genehmigung oder Allgemeine Genehmigung) findet keine Anwendung;
(iii) Die Option gemäß Klausel 11 (Rechtsbehelf) findet keine Anwendung;(iii) Die Option gemäß Klausel 11 (Rechtsbehelf) findet keine Anwendung;
(iv) Die gemäß Teil 1, Tabellen 1 und 2 des UK-Zusatzes erforderlichen Informationen sind in Anhang I dieser DPA (soweit zutreffend) dargelegt;(iv) Die gemäß Teil 1, Tabellen 1 und 2 des UK-Zusatzes erforderlichen Informationen sind in Anhang I dieser DPA (soweit zutreffend) dargelegt;
(f) Hinsichtlich Tabelle 4 Teil 1 des UK-Zusatzes kann jede Partei den UK-Zusatz gemäß Abschnitt 19 des UK-Zusatzes beenden (wobei, zur Klarstellung, wenn der Kunde den UK-Zusatz gemäß diesem Abschnitt 7(f) beendet, eine solche Beendigung keine Auswirkungen auf die Verpflichtungen des Kunden aus der Vereinbarung außer dieser DPA hat); und(f) Hinsichtlich Tabelle 4 Teil 1 des UK-Zusatzes kann jede Partei den UK-Zusatz gemäß Abschnitt 19 des UK-Zusatzes beenden (wobei, zur Klarstellung, wenn der Kunde den UK-Zusatz gemäß diesem Abschnitt 7(f) beendet, eine solche Beendigung keine Auswirkungen auf die Verpflichtungen des Kunden aus der Vereinbarung außer dieser DPA hat); und
(g) Verweise auf die „Klauseln“ in den Standardvertragsklauseln umfassen die in diesem Abschnitt dargelegten Änderungen.(g) Verweise auf die „Klauseln“ in den Standardvertragsklauseln umfassen die in diesem Abschnitt dargelegten Änderungen.
8. Übermittlungen an Dritte, die vom Kunden unter Nutzung der Ripple Treasury Dienste initiiert werden.8. Übermittlungen an Dritte, die vom Kunden unter Nutzung der Ripple Treasury Dienste initiiert werden.
Zur Klarstellung: Soweit die gewöhnliche Funktionalität der Waren, Dienstleistungen und/oder Software von Ripple Treasury es dem Kunden ermöglicht, Transaktionen zu initiieren oder die Waren, Dienstleistungen und/oder Software anderweitig zu nutzen, um Informationen, die personenbezogene Daten enthalten, zu senden und/oder zu empfangen, ist jede Übermittlung, die sich aus einer solchen vom Kunden initiierten Aktivität ergibt, eine Übermittlung durch den Kunden und nicht durch Ripple Treasury.Zur Klarstellung: Soweit die gewöhnliche Funktionalität der Waren, Dienstleistungen und/oder Software von Ripple Treasury es dem Kunden ermöglicht, Transaktionen zu initiieren oder die Waren, Dienstleistungen und/oder Software anderweitig zu nutzen, um Informationen, die personenbezogene Daten enthalten, zu senden und/oder zu empfangen, ist jede Übermittlung, die sich aus einer solchen vom Kunden initiierten Aktivität ergibt, eine Übermittlung durch den Kunden und nicht durch Ripple Treasury.
9. Betroffene Personen als Begünstigte.9. Betroffene Personen als Begünstigte.
Soweit, aber nur in dem Umfang, in dem das Datenschutzrecht vorschreibt, dass der Kunde Ripple Treasury veranlasst, eine oder mehrere betroffene Personen von abgedeckten personenbezogenen Daten zu einem Drittbegünstigten einer oder mehrerer Verpflichtungen in dieser DPA zu machen, ist jede solche betroffene Person von abgedeckten personenbezogenen Daten ein ausdrücklicher Drittbegünstigter der Verpflichtungen von Ripple Treasury im Rahmen dieser DPA.Soweit, aber nur in dem Umfang, in dem das Datenschutzrecht vorschreibt, dass der Kunde Ripple Treasury veranlasst, eine oder mehrere betroffene Personen von abgedeckten personenbezogenen Daten zu einem Drittbegünstigten einer oder mehrerer Verpflichtungen in dieser DPA zu machen, ist jede solche betroffene Person von abgedeckten personenbezogenen Daten ein ausdrücklicher Drittbegünstigter der Verpflichtungen von Ripple Treasury im Rahmen dieser DPA.
10. Dienstleistungen, die nicht durch die Vereinbarung (abgesehen von dieser DPA) abgedeckt sind.10. Dienstleistungen, die nicht durch die Vereinbarung (abgesehen von dieser DPA) abgedeckt sind.
Soweit eine Verpflichtung von Ripple Treasury im Rahmen dieser DPA oder der Standardvertragsklauseln nicht durch die Vereinbarung (abgesehen von dieser DPA) abgedeckt ist, zahlt der Kunde Ripple Treasury für die mit dieser Verpflichtung verbundenen Dienstleistungen zu den dann aktuellen (aber in jedem Fall wirtschaftlich angemessenen) Tarifen von Ripple Treasury. Wenn der Kunde beispielsweise administrative oder ähnliche Dienstleistungen benötigt, um den Anforderungen einer betroffenen Person oder einer Datenschutz-Folgenabschätzung nachzukommen, und solche Dienstleistungen nicht durch die Vereinbarung (abgesehen von dieser DPA) abgedeckt sind, zahlt der Kunde Ripple Treasury für diese Dienstleistungen.Soweit eine Verpflichtung von Ripple Treasury im Rahmen dieser DPA oder der Standardvertragsklauseln nicht durch die Vereinbarung (abgesehen von dieser DPA) abgedeckt ist, zahlt der Kunde Ripple Treasury für die mit dieser Verpflichtung verbundenen Dienstleistungen zu den dann aktuellen (aber in jedem Fall wirtschaftlich angemessenen) Tarifen von Ripple Treasury. Wenn der Kunde beispielsweise administrative oder ähnliche Dienstleistungen benötigt, um den Anforderungen einer betroffenen Person oder einer Datenschutz-Folgenabschätzung nachzukommen, und solche Dienstleistungen nicht durch die Vereinbarung (abgesehen von dieser DPA) abgedeckt sind, zahlt der Kunde Ripple Treasury für diese Dienstleistungen.
Anlage 1Anlage 1
STANDARDVERTRAGSKLAUSELNSTANDARDVERTRAGSKLAUSELN
ABSCHNITT IABSCHNITT I
Klausel 1 – Zweck und AnwendungsbereichKlausel 1 – Zweck und Anwendungsbereich
(a) Zweck dieser Standardvertragsklauseln ist es, die Einhaltung der Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) für die Übermittlung personenbezogener Daten an ein Drittland zu gewährleisten.(a) Zweck dieser Standardvertragsklauseln ist es, die Einhaltung der Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) für die Übermittlung personenbezogener Daten an ein Drittland zu gewährleisten.
(b) Die Parteien:(b) Die Parteien:
(i) die natürliche(n) oder juristische(n) Person(en), öffentliche(n) Behörde(n), Einrichtung(en) oder sonstige(n) Stelle(n) (im Folgenden „Stelle(n)“), die die personenbezogenen Daten übermittelt/übermitteln, wie in Anhang I.A. aufgeführt (im Folgenden jeweils „Datenexporteur“), und(i) die natürliche(n) oder juristische(n) Person(en), öffentliche(n) Behörde(n), Einrichtung(en) oder sonstige(n) Stelle(n) (im Folgenden „Stelle(n)“), die die personenbezogenen Daten übermittelt/übermitteln, wie in Anhang I.A. aufgeführt (im Folgenden jeweils „Datenexporteur“), und
(ii) die Stelle(n) in einem Drittland, die die personenbezogenen Daten vom Datenexporteur direkt oder indirekt über eine andere Stelle, die ebenfalls Partei dieser Klauseln ist, erhält/erhalten, wie in Anhang I.A. aufgeführt (im Folgenden jeweils „Datenimporteur“)(ii) die Stelle(n) in einem Drittland, die die personenbezogenen Daten vom Datenexporteur direkt oder indirekt über eine andere Stelle, die ebenfalls Partei dieser Klauseln ist, erhält/erhalten, wie in Anhang I.A. aufgeführt (im Folgenden jeweils „Datenimporteur“)
haben sich auf diese Standardvertragsklauseln (im Folgenden: „Klauseln“) geeinigt.haben sich auf diese Standardvertragsklauseln (im Folgenden: „Klauseln“) geeinigt.
(c) Diese Klauseln gelten für die Übermittlung personenbezogener Daten, wie in Anhang I.B. festgelegt.(c) Diese Klauseln gelten für die Übermittlung personenbezogener Daten, wie in Anhang I.B. festgelegt.
(d) Der Anhang zu diesen Klauseln, der die darin genannten Anlagen enthält, ist Bestandteil dieser Klauseln.(d) Der Anhang zu diesen Klauseln, der die darin genannten Anlagen enthält, ist Bestandteil dieser Klauseln.
Klausel 2 – Wirkung und Unveränderlichkeit der KlauselnKlausel 2 – Wirkung und Unveränderlichkeit der Klauseln
(a) Diese Klauseln legen geeignete Garantien fest, einschließlich durchsetzbarer Rechte der betroffenen Personen und wirksamer Rechtsbehelfe, gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 und, in Bezug auf Datenübermittlungen von Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter, Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679, sofern sie nicht geändert werden, außer zur Auswahl des/der geeigneten Moduls/Module oder zur Ergänzung oder Aktualisierung von Informationen im Anhang. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfassenderen Vertrag aufzunehmen und/oder weitere Klauseln oder zusätzliche Garantien hinzuzufügen, vorausgesetzt, dass diese den vorliegenden Klauseln weder direkt noch indirekt widersprechen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beeinträchtigen.(a) Diese Klauseln legen geeignete Garantien fest, einschließlich durchsetzbarer Rechte der betroffenen Personen und wirksamer Rechtsbehelfe, gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 und, in Bezug auf Datenübermittlungen von Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter, Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679, sofern sie nicht geändert werden, außer zur Auswahl des/der geeigneten Moduls/Module oder zur Ergänzung oder Aktualisierung von Informationen im Anhang. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfassenderen Vertrag aufzunehmen und/oder weitere Klauseln oder zusätzliche Garantien hinzuzufügen, vorausgesetzt, dass diese den vorliegenden Klauseln weder direkt noch indirekt widersprechen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beeinträchtigen.
(b) Diese Klauseln lassen die Pflichten unberührt, denen der Datenexporteur aufgrund der Verordnung (EU) 2016/679 unterliegt.(b) Diese Klauseln lassen die Pflichten unberührt, denen der Datenexporteur aufgrund der Verordnung (EU) 2016/679 unterliegt.
Klausel 3 – DrittbegünstigteKlausel 3 – Drittbegünstigte
(a) Betroffene Personen können sich als Drittbegünstigte auf diese Klauseln gegenüber dem Datenexporteur und/oder Datenimporteur berufen und diese durchsetzen, mit den folgenden Ausnahmen:(a) Betroffene Personen können sich als Drittbegünstigte auf diese Klauseln gegenüber dem Datenexporteur und/oder Datenimporteur berufen und diese durchsetzen, mit den folgenden Ausnahmen:
(i) Klausel 1, Klausel 2, Klausel 3, Klausel 6, Klausel 7;(i) Klausel 1, Klausel 2, Klausel 3, Klausel 6, Klausel 7;
(ii) Klausel 8 – Modul Eins: Klausel 8.5 (e) und Klausel 8.9(b); Modul Zwei: Klausel 8.1(b), 8.9(a), (c), (d) und (e); Modul Drei: Klausel 8.1(a), (c) und (d) und Klausel 8.9(a), (c), (d), (e), (f) und (g); Modul Vier: Klausel 8.1 (b) und Klausel 8.3(b);(ii) Klausel 8 – Modul Eins: Klausel 8.5 (e) und Klausel 8.9(b); Modul Zwei: Klausel 8.1(b), 8.9(a), (c), (d) und (e); Modul Drei: Klausel 8.1(a), (c) und (d) und Klausel 8.9(a), (c), (d), (e), (f) und (g); Modul Vier: Klausel 8.1 (b) und Klausel 8.3(b);
(iii) Klausel 9 – Modul Zwei: Klausel 9(a), (c), (d) und (e); Modul Drei: Klausel 9(a), (c), (d) und (e);(iii) Klausel 9 – Modul Zwei: Klausel 9(a), (c), (d) und (e); Modul Drei: Klausel 9(a), (c), (d) und (e);
(iv) Klausel 12 – Modul Eins: Klausel 12(a) und (d); Module Zwei und Drei: Klausel 12(a), (d) und (f);(iv) Klausel 12 – Modul Eins: Klausel 12(a) und (d); Module Zwei und Drei: Klausel 12(a), (d) und (f);
(v) Klausel 13;(v) Klausel 13;
(vi) Klausel 15.1(c), (d) und (e);(vi) Klausel 15.1(c), (d) und (e);
(vii) Klausel 16(e);(vii) Klausel 16(e);
(viii) Klausel 18 – Module Eins, Zwei und Drei: Klausel 18(a) und (b); Modul Vier: Klausel 18.(viii) Klausel 18 – Module Eins, Zwei und Drei: Klausel 18(a) und (b); Modul Vier: Klausel 18.
(b) Absatz (a) lässt die Rechte der betroffenen Personen gemäß der Verordnung (EU) 2016/679 unberührt.(b) Absatz (a) lässt die Rechte der betroffenen Personen gemäß der Verordnung (EU) 2016/679 unberührt.
Klausel 4 – AuslegungKlausel 4 – Auslegung
(a) Soweit in diesen Klauseln Begriffe verwendet werden, die in der Verordnung (EU) 2016/679 definiert sind, haben diese Begriffe die gleiche Bedeutung wie in dieser Verordnung.(a) Soweit in diesen Klauseln Begriffe verwendet werden, die in der Verordnung (EU) 2016/679 definiert sind, haben diese Begriffe die gleiche Bedeutung wie in dieser Verordnung.
(b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 zu lesen und auszulegen.(b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 zu lesen und auszulegen.
(c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die im Widerspruch zu den Rechten und Pflichten steht, die in der Verordnung (EU) 2016/679 vorgesehen sind.(c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die im Widerspruch zu den Rechten und Pflichten steht, die in der Verordnung (EU) 2016/679 vorgesehen sind.
Klausel 5 – HierarchieKlausel 5 – Hierarchie
Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen verwandter Vereinbarungen zwischen den Parteien, die zum Zeitpunkt der Annahme dieser Klauseln bestehen oder danach geschlossen werden, haben diese Klauseln Vorrang.Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen verwandter Vereinbarungen zwischen den Parteien, die zum Zeitpunkt der Annahme dieser Klauseln bestehen oder danach geschlossen werden, haben diese Klauseln Vorrang.
Klausel 6 – Beschreibung der Übermittlung(en)Klausel 6 – Beschreibung der Übermittlung(en)
Die Einzelheiten der Übermittlung(en), und insbesondere die Kategorien personenbezogener Daten, die übermittelt werden, und die Zwecke, für die sie übermittelt werden, sind in Anhang I.B. aufgeführt.Die Einzelheiten der Übermittlung(en), und insbesondere die Kategorien personenbezogener Daten, die übermittelt werden, und die Zwecke, für die sie übermittelt werden, sind in Anhang I.B. aufgeführt.
Klausel 7 – OptionalKlausel 7 – Optional
[Absichtlich ausgelassen.][Absichtlich ausgelassen.]
ABSCHNITT II – PFLICHTEN DER PARTEIENABSCHNITT II – PFLICHTEN DER PARTEIEN
Klausel 8 – DatenschutzgarantienKlausel 8 – Datenschutzgarantien
Der Datenexporteur gewährleistet, dass er sich mit angemessenem Aufwand vergewissert hat, dass der Datenimporteur durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen in der Lage ist, seine Pflichten gemäß diesen Klauseln zu erfüllen.Der Datenexporteur gewährleistet, dass er sich mit angemessenem Aufwand vergewissert hat, dass der Datenimporteur durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen in der Lage ist, seine Pflichten gemäß diesen Klauseln zu erfüllen.
MODUL EINS: Übermittlung Verantwortlicher an VerantwortlichenMODUL EINS: Übermittlung Verantwortlicher an Verantwortlichen
8.1 Zweckbindung8.1 Zweckbindung
Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den/die spezifischen Zweck(e) der Übermittlung, wie in Anhang I.B dargelegt. Er darf die personenbezogenen Daten nur für einen anderen Zweck verarbeiten:Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den/die spezifischen Zweck(e) der Übermittlung, wie in Anhang I.B dargelegt. Er darf die personenbezogenen Daten nur für einen anderen Zweck verarbeiten:
(i) wenn er die vorherige Einwilligung der betroffenen Person eingeholt hat;(i) wenn er die vorherige Einwilligung der betroffenen Person eingeholt hat;
(ii) wenn dies zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen spezifischer administrativer, behördlicher oder gerichtlicher Verfahren erforderlich ist; oder(ii) wenn dies zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen spezifischer administrativer, behördlicher oder gerichtlicher Verfahren erforderlich ist; oder
(iii) wenn dies zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ist.(iii) wenn dies zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ist.
8.2 Transparenz8.2 Transparenz
(a) Um den betroffenen Personen die wirksame Ausübung ihrer Rechte gemäß Klausel 10 zu ermöglichen, unterrichtet der Datenimporteur sie entweder direkt oder über den Datenexporteur:(a) Um den betroffenen Personen die wirksame Ausübung ihrer Rechte gemäß Klausel 10 zu ermöglichen, unterrichtet der Datenimporteur sie entweder direkt oder über den Datenexporteur:
(i) über seine Identität und Kontaktdaten;(i) über seine Identität und Kontaktdaten;
(ii) über die Kategorien der verarbeiteten personenbezogenen Daten;(ii) über die Kategorien der verarbeiteten personenbezogenen Daten;
(iii) über das Recht, eine Kopie dieser Klauseln zu erhalten;(iii) über das Recht, eine Kopie dieser Klauseln zu erhalten;
(iv) wenn er beabsichtigt, die personenbezogenen Daten an Dritte weiterzugeben, über den/die Empfänger oder die Kategorien von Empfängern (soweit dies zur Bereitstellung aussagekräftiger Informationen angemessen ist), den Zweck dieser Weitergabe und den Grund dafür gemäß Klausel 8.7.(iv) wenn er beabsichtigt, die personenbezogenen Daten an Dritte weiterzugeben, über den/die Empfänger oder die Kategorien von Empfängern (soweit dies zur Bereitstellung aussagekräftiger Informationen angemessen ist), den Zweck dieser Weitergabe und den Grund dafür gemäß Klausel 8.7.
(b) Absatz (a) gilt nicht, wenn die betroffene Person bereits über die Informationen verfügt, auch wenn diese Informationen bereits vom Datenexporteur bereitgestellt wurden, oder wenn sich die Bereitstellung der Informationen als unmöglich erweist oder für den Datenimporteur einen unverhältnismäßigen Aufwand bedeuten würde. Im letzteren Fall macht der Datenimporteur die Informationen, soweit möglich, öffentlich zugänglich.(b) Absatz (a) gilt nicht, wenn die betroffene Person bereits über die Informationen verfügt, auch wenn diese Informationen bereits vom Datenexporteur bereitgestellt wurden, oder wenn sich die Bereitstellung der Informationen als unmöglich erweist oder für den Datenimporteur einen unverhältnismäßigen Aufwand bedeuten würde. Im letzteren Fall macht der Datenimporteur die Informationen, soweit möglich, öffentlich zugänglich.
(c) Auf Anfrage stellen die Parteien der betroffenen Person unentgeltlich eine Kopie dieser Klauseln, einschließlich des von ihnen ausgefüllten Anhangs, zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, können die Parteien einen Teil des Textes des Anhangs vor der Weitergabe einer Kopie schwärzen; sie müssen jedoch eine aussagekräftige Zusammenfassung bereitstellen, wenn die betroffene Person andernfalls den Inhalt nicht verstehen oder ihre Rechte nicht ausüben könnte. Auf Anfrage teilen die Parteien der betroffenen Person die Gründe für die Schwärzungen mit, soweit dies möglich ist, ohne die geschwärzten Informationen preiszugeben.(c) Auf Anfrage stellen die Parteien der betroffenen Person unentgeltlich eine Kopie dieser Klauseln, einschließlich des von ihnen ausgefüllten Anhangs, zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, können die Parteien einen Teil des Textes des Anhangs vor der Weitergabe einer Kopie schwärzen; sie müssen jedoch eine aussagekräftige Zusammenfassung bereitstellen, wenn die betroffene Person andernfalls den Inhalt nicht verstehen oder ihre Rechte nicht ausüben könnte. Auf Anfrage teilen die Parteien der betroffenen Person die Gründe für die Schwärzungen mit, soweit dies möglich ist, ohne die geschwärzten Informationen preiszugeben.
(d) Die Absätze (a) bis (c) lassen die Pflichten des Datenexporteurs gemäß den Artikeln 13 und 14 der Verordnung (EU) 2016/679 unberührt.(d) Die Absätze (a) bis (c) lassen die Pflichten des Datenexporteurs gemäß den Artikeln 13 und 14 der Verordnung (EU) 2016/679 unberührt.
8.3 Richtigkeit und Datenminimierung8.3 Richtigkeit und Datenminimierung
(a) Jede Partei stellt sicher, dass die personenbezogenen Daten richtig und, soweit erforderlich, auf dem neuesten Stand sind. Der Datenimporteur unternimmt alle zumutbaren Schritte, um sicherzustellen, dass personenbezogene Daten, die im Hinblick auf den/die Verarbeitungszweck(e) unrichtig sind, unverzüglich gelöscht oder berichtigt werden.(a) Jede Partei stellt sicher, dass die personenbezogenen Daten richtig und, soweit erforderlich, auf dem neuesten Stand sind. Der Datenimporteur unternimmt alle zumutbaren Schritte, um sicherzustellen, dass personenbezogene Daten, die im Hinblick auf den/die Verarbeitungszweck(e) unrichtig sind, unverzüglich gelöscht oder berichtigt werden.
(b) Wird eine der Parteien darauf aufmerksam, dass die von ihr übermittelten oder empfangenen personenbezogenen Daten unrichtig oder veraltet sind, so unterrichtet sie die andere Partei unverzüglich.(b) Wird eine der Parteien darauf aufmerksam, dass die von ihr übermittelten oder empfangenen personenbezogenen Daten unrichtig oder veraltet sind, so unterrichtet sie die andere Partei unverzüglich.
(c) Der Datenimporteur stellt sicher, dass die personenbezogenen Daten angemessen, relevant und auf das für den/die Zweck(e) der Verarbeitung notwendige Maß beschränkt sind.(c) Der Datenimporteur stellt sicher, dass die personenbezogenen Daten angemessen, relevant und auf das für den/die Zweck(e) der Verarbeitung notwendige Maß beschränkt sind.
8.4 Speicherbegrenzung8.4 Speicherbegrenzung
Der Datenimporteur speichert die personenbezogenen Daten nicht länger als für den/die Zweck(e), für den/die sie verarbeitet werden, erforderlich. Er ergreift geeignete technische oder organisatorische Maßnahmen, um die Einhaltung dieser Verpflichtung zu gewährleisten, einschließlich der Löschung oder Anonymisierung der Daten und aller Sicherungskopien am Ende der Aufbewahrungsfrist.Der Datenimporteur speichert die personenbezogenen Daten nicht länger als für den/die Zweck(e), für den/die sie verarbeitet werden, erforderlich. Er ergreift geeignete technische oder organisatorische Maßnahmen, um die Einhaltung dieser Verpflichtung zu gewährleisten, einschließlich der Löschung oder Anonymisierung der Daten und aller Sicherungskopien am Ende der Aufbewahrungsfrist.
8.5 Sicherheit der Verarbeitung8.5 Sicherheit der Verarbeitung
(a) Der Datenimporteur und, während der Übermittlung, auch der Datenexporteur ergreifen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten, einschließlich des Schutzes vor einer Sicherheitsverletzung, die zu einer unbeabsichtigten oder unrechtmäßigen Zerstörung, Verlust, Veränderung, unbefugten Offenlegung oder unbefugtem Zugriff führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Bewertung des angemessenen Sicherheitsniveaus berücksichtigen sie den Stand der Technik, die Implementierungskosten, die Art, den Umfang, den Kontext und den/die Zweck(e) der Verarbeitung sowie die mit der Verarbeitung verbundenen Risiken für die betroffene Person. Die Parteien ziehen insbesondere die Anwendung von Verschlüsselung oder Pseudonymisierung, auch während der Übermittlung, in Betracht, wenn der Zweck der Verarbeitung auf diese Weise erfüllt werden kann.(a) Der Datenimporteur und, während der Übermittlung, auch der Datenexporteur ergreifen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten, einschließlich des Schutzes vor einer Sicherheitsverletzung, die zu einer unbeabsichtigten oder unrechtmäßigen Zerstörung, Verlust, Veränderung, unbefugten Offenlegung oder unbefugtem Zugriff führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Bewertung des angemessenen Sicherheitsniveaus berücksichtigen sie den Stand der Technik, die Implementierungskosten, die Art, den Umfang, den Kontext und den/die Zweck(e) der Verarbeitung sowie die mit der Verarbeitung verbundenen Risiken für die betroffene Person. Die Parteien ziehen insbesondere die Anwendung von Verschlüsselung oder Pseudonymisierung, auch während der Übermittlung, in Betracht, wenn der Zweck der Verarbeitung auf diese Weise erfüllt werden kann.
(b) Die Parteien haben sich auf die in Anhang II dargelegten technischen und organisatorischen Maßnahmen geeinigt. Der Datenimporteur führt regelmäßige Überprüfungen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Sicherheitsniveau gewährleisten.(b) Die Parteien haben sich auf die in Anhang II dargelegten technischen und organisatorischen Maßnahmen geeinigt. Der Datenimporteur führt regelmäßige Überprüfungen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Sicherheitsniveau gewährleisten.
(c) Der Datenimporteur stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Geheimhaltungspflicht unterliegen.(c) Der Datenimporteur stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Geheimhaltungspflicht unterliegen.
(d) Im Falle einer Verletzung des Schutzes personenbezogener Daten, die vom Datenimporteur gemäß diesen Klauseln verarbeitet werden, ergreift der Datenimporteur geeignete Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich Maßnahmen zur Minderung ihrer möglichen nachteiligen Auswirkungen.(d) Im Falle einer Verletzung des Schutzes personenbezogener Daten, die vom Datenimporteur gemäß diesen Klauseln verarbeitet werden, ergreift der Datenimporteur geeignete Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich Maßnahmen zur Minderung ihrer möglichen nachteiligen Auswirkungen.
(e) Im Falle einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, benachrichtigt der Datenimporteur unverzüglich sowohl den Datenexporteur als auch die zuständige Aufsichtsbehörde gemäß Klausel 13. Eine solche Benachrichtigung muss i) eine Beschreibung der Art der Verletzung (einschließlich, soweit möglich, Kategorien und ungefähre Anzahl der betroffenen Personen und der betroffenen personenbezogenen Datensätze), ii) deren voraussichtliche Folgen, iii) die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und iv) die Kontaktdaten einer Anlaufstelle, bei der weitere Informationen eingeholt werden können, enthalten. Soweit es dem Datenimporteur nicht möglich ist, alle Informationen gleichzeitig bereitzustellen, kann er dies phasenweise ohne unangemessene weitere Verzögerung tun.(e) Im Falle einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, benachrichtigt der Datenimporteur unverzüglich sowohl den Datenexporteur als auch die zuständige Aufsichtsbehörde gemäß Klausel 13. Eine solche Benachrichtigung muss i) eine Beschreibung der Art der Verletzung (einschließlich, soweit möglich, Kategorien und ungefähre Anzahl der betroffenen Personen und der betroffenen personenbezogenen Datensätze), ii) deren voraussichtliche Folgen, iii) die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und iv) die Kontaktdaten einer Anlaufstelle, bei der weitere Informationen eingeholt werden können, enthalten. Soweit es dem Datenimporteur nicht möglich ist, alle Informationen gleichzeitig bereitzustellen, kann er dies phasenweise ohne unangemessene weitere Verzögerung tun.
(f) Im Falle einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, benachrichtigt der Datenimporteur die betroffenen Personen unverzüglich über die Verletzung des Schutzes personenbezogener Daten und deren Art, erforderlichenfalls in Zusammenarbeit mit dem Datenexporteur, zusammen mit den in Absatz (e), Ziffern ii) bis iv) genannten Informationen, es sei denn, der Datenimporteur hat Maßnahmen ergriffen, um das Risiko für die Rechte oder Freiheiten natürlicher Personen erheblich zu reduzieren, oder die Benachrichtigung würde einen unverhältnismäßigen Aufwand erfordern. Im letzteren Fall veröffentlicht der Datenimporteur stattdessen eine öffentliche Mitteilung oder ergreift eine ähnliche Maßnahme, um die Öffentlichkeit über die Verletzung des Schutzes personenbezogener Daten zu informieren.(f) Im Falle einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, benachrichtigt der Datenimporteur die betroffenen Personen unverzüglich über die Verletzung des Schutzes personenbezogener Daten und deren Art, erforderlichenfalls in Zusammenarbeit mit dem Datenexporteur, zusammen mit den in Absatz (e), Ziffern ii) bis iv) genannten Informationen, es sei denn, der Datenimporteur hat Maßnahmen ergriffen, um das Risiko für die Rechte oder Freiheiten natürlicher Personen erheblich zu reduzieren, oder die Benachrichtigung würde einen unverhältnismäßigen Aufwand erfordern. Im letzteren Fall veröffentlicht der Datenimporteur stattdessen eine öffentliche Mitteilung oder ergreift eine ähnliche Maßnahme, um die Öffentlichkeit über die Verletzung des Schutzes personenbezogener Daten zu informieren.
(g) Der Datenimporteur dokumentiert alle relevanten Fakten im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten, einschließlich ihrer Auswirkungen und aller ergriffenen Abhilfemaßnahmen, und führt darüber Aufzeichnungen.(g) Der Datenimporteur dokumentiert alle relevanten Fakten im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten, einschließlich ihrer Auswirkungen und aller ergriffenen Abhilfemaßnahmen, und führt darüber Aufzeichnungen.
8.6 Sensible Daten8.6 Sensible Daten
Betrifft die Übermittlung personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer Person oder Daten über strafrechtliche Verurteilungen oder Straftaten (im Folgenden „sensible Daten“), so wendet der Datenimporteur spezifische Beschränkungen und/oder zusätzliche Schutzmaßnahmen an, die an die spezifische Art der Daten und die damit verbundenen Risiken angepasst sind. Dies kann die Beschränkung des Personals, das auf die personenbezogenen Daten zugreifen darf, zusätzliche Sicherheitsmaßnahmen (wie Pseudonymisierung) und/oder zusätzliche Beschränkungen hinsichtlich der weiteren Offenlegung umfassen.Betrifft die Übermittlung personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer Person oder Daten über strafrechtliche Verurteilungen oder Straftaten (im Folgenden „sensible Daten“), so wendet der Datenimporteur spezifische Beschränkungen und/oder zusätzliche Schutzmaßnahmen an, die an die spezifische Art der Daten und die damit verbundenen Risiken angepasst sind. Dies kann die Beschränkung des Personals, das auf die personenbezogenen Daten zugreifen darf, zusätzliche Sicherheitsmaßnahmen (wie Pseudonymisierung) und/oder zusätzliche Beschränkungen hinsichtlich der weiteren Offenlegung umfassen.
8.7 Weiterübermittlungen8.7 Weiterübermittlungen
Der Datenimporteur darf die personenbezogenen Daten nicht an einen Dritten weitergeben, der sich außerhalb der Europäischen Union befindet (im selben Land wie der Datenimporteur oder in einem anderen Drittland, im Folgenden „Weiterübermittlung“), es sei denn, der Dritte ist an diese Klauseln gemäß dem entsprechenden Modul gebunden oder erklärt sich damit einverstanden, gebunden zu sein. Andernfalls darf eine Weiterübermittlung durch den Datenimporteur nur erfolgen, wenn:Der Datenimporteur darf die personenbezogenen Daten nicht an einen Dritten weitergeben, der sich außerhalb der Europäischen Union befindet (im selben Land wie der Datenimporteur oder in einem anderen Drittland, im Folgenden „Weiterübermittlung“), es sei denn, der Dritte ist an diese Klauseln gemäß dem entsprechenden Modul gebunden oder erklärt sich damit einverstanden, gebunden zu sein. Andernfalls darf eine Weiterübermittlung durch den Datenimporteur nur erfolgen, wenn:
(i) es erfolgt in ein Land, das von einem Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 profitiert, der die Weiterübermittlung abdeckt;(i) es erfolgt in ein Land, das von einem Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 profitiert, der die Weiterübermittlung abdeckt;
(ii) der Dritte anderweitig geeignete Garantien gemäß Artikel 46 oder 47 der Verordnung (EU) 2016/679 in Bezug auf die betreffende Verarbeitung gewährleistet;(ii) der Dritte anderweitig geeignete Garantien gemäß Artikel 46 oder 47 der Verordnung (EU) 2016/679 in Bezug auf die betreffende Verarbeitung gewährleistet;
(iii) der Dritte ein verbindliches Instrument mit dem Datenimporteur abschließt, das das gleiche Datenschutzniveau wie nach diesen Klauseln gewährleistet, und der Datenimporteur dem Datenexporteur eine Kopie dieser Schutzmaßnahmen zur Verfügung stellt;(iii) der Dritte ein verbindliches Instrument mit dem Datenimporteur abschließt, das das gleiche Datenschutzniveau wie nach diesen Klauseln gewährleistet, und der Datenimporteur dem Datenexporteur eine Kopie dieser Schutzmaßnahmen zur Verfügung stellt;
(iv) es ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen spezifischer administrativer, regulatorischer oder gerichtlicher Verfahren erforderlich;(iv) es ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen spezifischer administrativer, regulatorischer oder gerichtlicher Verfahren erforderlich;
(v) es ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich; oder(v) es ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich; oder
(vi) wenn keine der anderen Bedingungen zutrifft, der Datenimporteur die ausdrückliche Einwilligung der betroffenen Person für eine Weiterübermittlung in einer bestimmten Situation eingeholt hat, nachdem er/sie über deren Zweck(e), die Identität des Empfängers und die möglichen Risiken einer solchen Übermittlung für ihn/sie aufgrund des Fehlens geeigneter Datenschutzgarantien informiert wurde. In diesem Fall informiert der Datenimporteur den Datenexporteur und übermittelt ihm auf dessen Anfrage eine Kopie der der betroffenen Person zur Verfügung gestellten Informationen. Jede Weiterübermittlung unterliegt der Einhaltung aller anderen Garantien gemäß diesen Klauseln durch den Datenimporteur, insbesondere der Zweckbindung.(vi) wenn keine der anderen Bedingungen zutrifft, der Datenimporteur die ausdrückliche Einwilligung der betroffenen Person für eine Weiterübermittlung in einer bestimmten Situation eingeholt hat, nachdem er/sie über deren Zweck(e), die Identität des Empfängers und die möglichen Risiken einer solchen Übermittlung für ihn/sie aufgrund des Fehlens geeigneter Datenschutzgarantien informiert wurde. In diesem Fall informiert der Datenimporteur den Datenexporteur und übermittelt ihm auf dessen Anfrage eine Kopie der der betroffenen Person zur Verfügung gestellten Informationen. Jede Weiterübermittlung unterliegt der Einhaltung aller anderen Garantien gemäß diesen Klauseln durch den Datenimporteur, insbesondere der Zweckbindung.
8.8 Verarbeitung unter der Weisungsbefugnis des Datenimporteurs8.8 Verarbeitung unter der Weisungsbefugnis des Datenimporteurs
Der Datenimporteur stellt sicher, dass jede Person, die seiner Weisungsbefugnis untersteht, einschließlich eines Auftragsverarbeiters, die Daten nur auf seine Anweisungen hin verarbeitet.Der Datenimporteur stellt sicher, dass jede Person, die seiner Weisungsbefugnis untersteht, einschließlich eines Auftragsverarbeiters, die Daten nur auf seine Anweisungen hin verarbeitet.
8.9 Dokumentation und Einhaltung8.9 Dokumentation und Einhaltung
(a) Jede Partei muss die Einhaltung ihrer Pflichten gemäß diesen Klauseln nachweisen können. Insbesondere führt der Datenimporteur eine geeignete Dokumentation der unter seiner Verantwortung durchgeführten Verarbeitungsaktivitäten.(a) Jede Partei muss die Einhaltung ihrer Pflichten gemäß diesen Klauseln nachweisen können. Insbesondere führt der Datenimporteur eine geeignete Dokumentation der unter seiner Verantwortung durchgeführten Verarbeitungsaktivitäten.
(b) Der Datenimporteur stellt diese Dokumentation der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung.(b) Der Datenimporteur stellt diese Dokumentation der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung.
MODUL ZWEI: Übermittlung Verantwortlicher an AuftragsverarbeiterMODUL ZWEI: Übermittlung Verantwortlicher an Auftragsverarbeiter
8.1 Anweisungen8.1 Anweisungen
(a) Der Datenimporteur verarbeitet die personenbezogenen Daten nur auf dokumentierte Anweisungen des Datenexporteurs. Der Datenexporteur kann solche Anweisungen während der gesamten Vertragslaufzeit erteilen.(a) Der Datenimporteur verarbeitet die personenbezogenen Daten nur auf dokumentierte Anweisungen des Datenexporteurs. Der Datenexporteur kann solche Anweisungen während der gesamten Vertragslaufzeit erteilen.
(b) Der Datenimporteur informiert den Datenexporteur unverzüglich, wenn er diese Anweisungen nicht befolgen kann.(b) Der Datenimporteur informiert den Datenexporteur unverzüglich, wenn er diese Anweisungen nicht befolgen kann.
8.2 Zweckbindung8.2 Zweckbindung
Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den/die spezifischen Zweck(e) der Übermittlung, wie in Anhang I.B festgelegt, es sei denn, es liegen weitere Anweisungen des Datenexporteurs vor.Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den/die spezifischen Zweck(e) der Übermittlung, wie in Anhang I.B festgelegt, es sei denn, es liegen weitere Anweisungen des Datenexporteurs vor.
8.3 Transparenz8.3 Transparenz
Auf Anfrage stellt der Datenexporteur der betroffenen Person kostenlos eine Kopie dieser Klauseln, einschließlich des von den Parteien ausgefüllten Anhangs, zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich der in Anhang II beschriebenen Maßnahmen und personenbezogenen Daten, erforderlich ist, kann der Datenexporteur einen Teil des Textes des Anhangs zu diesen Klauseln vor der Weitergabe einer Kopie schwärzen, muss jedoch eine aussagekräftige Zusammenfassung bereitstellen, wenn die betroffene Person andernfalls ihren Inhalt nicht verstehen oder ihre Rechte nicht ausüben könnte. Auf Anfrage legen die Parteien der betroffenen Person die Gründe für die Schwärzungen dar, soweit dies ohne Offenlegung der geschwärzten Informationen möglich ist. Diese Klausel gilt unbeschadet der Pflichten des Datenexporteurs gemäß Artikel 13 und 14 der Verordnung (EU) 2016/679.Auf Anfrage stellt der Datenexporteur der betroffenen Person kostenlos eine Kopie dieser Klauseln, einschließlich des von den Parteien ausgefüllten Anhangs, zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich der in Anhang II beschriebenen Maßnahmen und personenbezogenen Daten, erforderlich ist, kann der Datenexporteur einen Teil des Textes des Anhangs zu diesen Klauseln vor der Weitergabe einer Kopie schwärzen, muss jedoch eine aussagekräftige Zusammenfassung bereitstellen, wenn die betroffene Person andernfalls ihren Inhalt nicht verstehen oder ihre Rechte nicht ausüben könnte. Auf Anfrage legen die Parteien der betroffenen Person die Gründe für die Schwärzungen dar, soweit dies ohne Offenlegung der geschwärzten Informationen möglich ist. Diese Klausel gilt unbeschadet der Pflichten des Datenexporteurs gemäß Artikel 13 und 14 der Verordnung (EU) 2016/679.
8.4 Richtigkeit8.4 Richtigkeit
Erlangt der Datenimporteur Kenntnis davon, dass die von ihm erhaltenen personenbezogenen Daten unrichtig oder veraltet sind, so informiert er den Datenexporteur unverzüglich. In diesem Fall arbeitet der Datenimporteur mit dem Datenexporteur zusammen, um die Daten zu löschen oder zu berichtigen.Erlangt der Datenimporteur Kenntnis davon, dass die von ihm erhaltenen personenbezogenen Daten unrichtig oder veraltet sind, so informiert er den Datenexporteur unverzüglich. In diesem Fall arbeitet der Datenimporteur mit dem Datenexporteur zusammen, um die Daten zu löschen oder zu berichtigen.
8.5 Dauer der Verarbeitung und Löschung oder Rückgabe von Daten8.5 Dauer der Verarbeitung und Löschung oder Rückgabe von Daten
Die Verarbeitung durch den Datenimporteur erfolgt nur für die in Anhang I.B angegebene Dauer. Nach Beendigung der Erbringung der Verarbeitungsdienstleistungen löscht der Datenimporteur nach Wahl des Datenexporteurs alle im Auftrag des Datenexporteurs verarbeiteten personenbezogenen Daten und bescheinigt dem Datenexporteur, dass er dies getan hat, oder gibt dem Datenexporteur alle in seinem Auftrag verarbeiteten personenbezogenen Daten zurück und löscht bestehende Kopien. Bis zur Löschung oder Rückgabe der Daten gewährleistet der Datenimporteur weiterhin die Einhaltung dieser Klauseln. Falls für den Datenimporteur geltende lokale Gesetze die Rückgabe oder Löschung der personenbezogenen Daten untersagen, gewährleistet der Datenimporteur, dass er die Einhaltung dieser Klauseln weiterhin sicherstellt und die Daten nur in dem Umfang und so lange verarbeitet, wie es nach diesem lokalen Gesetz erforderlich ist. Dies gilt unbeschadet der Klausel 14, insbesondere der Anforderung an den Datenimporteur gemäß Klausel 14(e), den Datenexporteur während der gesamten Vertragslaufzeit zu benachrichtigen, wenn er Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterlegen ist, die nicht den Anforderungen gemäß Klausel 14(a) entsprechen.Die Verarbeitung durch den Datenimporteur erfolgt nur für die in Anhang I.B angegebene Dauer. Nach Beendigung der Erbringung der Verarbeitungsdienstleistungen löscht der Datenimporteur nach Wahl des Datenexporteurs alle im Auftrag des Datenexporteurs verarbeiteten personenbezogenen Daten und bescheinigt dem Datenexporteur, dass er dies getan hat, oder gibt dem Datenexporteur alle in seinem Auftrag verarbeiteten personenbezogenen Daten zurück und löscht bestehende Kopien. Bis zur Löschung oder Rückgabe der Daten gewährleistet der Datenimporteur weiterhin die Einhaltung dieser Klauseln. Falls für den Datenimporteur geltende lokale Gesetze die Rückgabe oder Löschung der personenbezogenen Daten untersagen, gewährleistet der Datenimporteur, dass er die Einhaltung dieser Klauseln weiterhin sicherstellt und die Daten nur in dem Umfang und so lange verarbeitet, wie es nach diesem lokalen Gesetz erforderlich ist. Dies gilt unbeschadet der Klausel 14, insbesondere der Anforderung an den Datenimporteur gemäß Klausel 14(e), den Datenexporteur während der gesamten Vertragslaufzeit zu benachrichtigen, wenn er Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterlegen ist, die nicht den Anforderungen gemäß Klausel 14(a) entsprechen.
8.6 Sicherheit der Verarbeitung8.6 Sicherheit der Verarbeitung
(a) Der Datenimporteur und, während der Übermittlung, auch der Datenexporteur treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einer Sicherheitsverletzung, die zur unbeabsichtigten oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf diese Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Bewertung des angemessenen Sicherheitsniveaus berücksichtigen die Parteien den Stand der Technik, die Implementierungskosten, die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung sowie die mit der Verarbeitung verbundenen Risiken für die betroffenen Personen. Die Parteien ziehen insbesondere die Anwendung von Verschlüsselung oder Pseudonymisierung in Betracht, auch während der Übermittlung, sofern der Zweck der Verarbeitung auf diese Weise erfüllt werden kann. Im Falle der Pseudonymisierung bleiben die zusätzlichen Informationen zur Zuordnung der personenbezogenen Daten zu einer bestimmten betroffenen Person, soweit möglich, unter der ausschließlichen Kontrolle des Datenexporteurs. Bei der Erfüllung seiner Pflichten gemäß diesem Absatz implementiert der Datenimporteur mindestens die in Anhang II festgelegten technischen und organisatorischen Maßnahmen. Der Datenimporteur führt regelmäßige Überprüfungen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Sicherheitsniveau bieten.(a) Der Datenimporteur und, während der Übermittlung, auch der Datenexporteur treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einer Sicherheitsverletzung, die zur unbeabsichtigten oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf diese Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Bewertung des angemessenen Sicherheitsniveaus berücksichtigen die Parteien den Stand der Technik, die Implementierungskosten, die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung sowie die mit der Verarbeitung verbundenen Risiken für die betroffenen Personen. Die Parteien ziehen insbesondere die Anwendung von Verschlüsselung oder Pseudonymisierung in Betracht, auch während der Übermittlung, sofern der Zweck der Verarbeitung auf diese Weise erfüllt werden kann. Im Falle der Pseudonymisierung bleiben die zusätzlichen Informationen zur Zuordnung der personenbezogenen Daten zu einer bestimmten betroffenen Person, soweit möglich, unter der ausschließlichen Kontrolle des Datenexporteurs. Bei der Erfüllung seiner Pflichten gemäß diesem Absatz implementiert der Datenimporteur mindestens die in Anhang II festgelegten technischen und organisatorischen Maßnahmen. Der Datenimporteur führt regelmäßige Überprüfungen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Sicherheitsniveau bieten.
(b) Der Datenimporteur gewährt Mitgliedern seines Personals nur insoweit Zugang zu den personenbezogenen Daten, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Er stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen.(b) Der Datenimporteur gewährt Mitgliedern seines Personals nur insoweit Zugang zu den personenbezogenen Daten, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Er stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen.
(c) Im Falle einer Verletzung des Schutzes personenbezogener Daten, die vom Datenimporteur gemäß diesen Klauseln verarbeitet werden, ergreift der Datenimporteur geeignete Maßnahmen zur Behebung der Verletzung, einschließlich Maßnahmen zur Minderung ihrer nachteiligen Auswirkungen. Der Datenimporteur benachrichtigt den Datenexporteur außerdem unverzüglich, nachdem er von der Verletzung Kenntnis erlangt hat. Diese Benachrichtigung muss die Angaben zu einer Kontaktstelle, bei der weitere Informationen eingeholt werden können, eine Beschreibung der Art der Verletzung (einschließlich, soweit möglich, der Kategorien und der ungefähren Zahl der betroffenen Personen und der betroffenen personenbezogenen Datensätze), ihre voraussichtlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung, einschließlich gegebenenfalls Maßnahmen zur Minderung ihrer möglichen nachteiligen Auswirkungen, enthalten. Soweit es nicht möglich ist, alle Informationen gleichzeitig bereitzustellen, enthält die erste Benachrichtigung die zu diesem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, unverzüglich nachgereicht.(c) Im Falle einer Verletzung des Schutzes personenbezogener Daten, die vom Datenimporteur gemäß diesen Klauseln verarbeitet werden, ergreift der Datenimporteur geeignete Maßnahmen zur Behebung der Verletzung, einschließlich Maßnahmen zur Minderung ihrer nachteiligen Auswirkungen. Der Datenimporteur benachrichtigt den Datenexporteur außerdem unverzüglich, nachdem er von der Verletzung Kenntnis erlangt hat. Diese Benachrichtigung muss die Angaben zu einer Kontaktstelle, bei der weitere Informationen eingeholt werden können, eine Beschreibung der Art der Verletzung (einschließlich, soweit möglich, der Kategorien und der ungefähren Zahl der betroffenen Personen und der betroffenen personenbezogenen Datensätze), ihre voraussichtlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung, einschließlich gegebenenfalls Maßnahmen zur Minderung ihrer möglichen nachteiligen Auswirkungen, enthalten. Soweit es nicht möglich ist, alle Informationen gleichzeitig bereitzustellen, enthält die erste Benachrichtigung die zu diesem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, unverzüglich nachgereicht.
(d) Der Datenimporteur kooperiert mit dem Datenexporteur und unterstützt ihn, damit der Datenexporteur seinen Pflichten gemäß der Verordnung (EU) 2016/679 nachkommen kann, insbesondere die zuständige Aufsichtsbehörde und die betroffenen Personen zu benachrichtigen, wobei die Art der Verarbeitung und die dem Datenimporteur zur Verfügung stehenden Informationen zu berücksichtigen sind.(d) Der Datenimporteur kooperiert mit dem Datenexporteur und unterstützt ihn, damit der Datenexporteur seinen Pflichten gemäß der Verordnung (EU) 2016/679 nachkommen kann, insbesondere die zuständige Aufsichtsbehörde und die betroffenen Personen zu benachrichtigen, wobei die Art der Verarbeitung und die dem Datenimporteur zur Verfügung stehenden Informationen zu berücksichtigen sind.
8.7 Sensible Daten8.7 Sensible Daten
Betrifft die Übermittlung personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten (im Folgenden „sensible Daten“), wendet der Datenimporteur die in Anhang I.B beschriebenen spezifischen Beschränkungen und/oder zusätzlichen Schutzmaßnahmen an.Betrifft die Übermittlung personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten (im Folgenden „sensible Daten“), wendet der Datenimporteur die in Anhang I.B beschriebenen spezifischen Beschränkungen und/oder zusätzlichen Schutzmaßnahmen an.
8.8 Weiterübermittlungen8.8 Weiterübermittlungen
Der Datenimporteur darf personenbezogene Daten nur auf dokumentierte Anweisung des Datenexporteurs an einen Dritten weitergeben. Darüber hinaus dürfen die Daten nur dann an einen Dritten außerhalb der Europäischen Union (im selben Land wie der Datenimporteur oder in einem anderen Drittland, im Folgenden „Weiterübermittlung“) weitergegeben werden, wenn der Dritte an diese Klauseln gemäß dem entsprechenden Modul gebunden ist oder sich dazu bereit erklärt, oder wenn:Der Datenimporteur darf personenbezogene Daten nur auf dokumentierte Anweisung des Datenexporteurs an einen Dritten weitergeben. Darüber hinaus dürfen die Daten nur dann an einen Dritten außerhalb der Europäischen Union (im selben Land wie der Datenimporteur oder in einem anderen Drittland, im Folgenden „Weiterübermittlung“) weitergegeben werden, wenn der Dritte an diese Klauseln gemäß dem entsprechenden Modul gebunden ist oder sich dazu bereit erklärt, oder wenn:
(i) die Weiterübermittlung erfolgt in ein Land, das von einem Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 profitiert, der die Weiterübermittlung abdeckt;(i) die Weiterübermittlung erfolgt in ein Land, das von einem Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 profitiert, der die Weiterübermittlung abdeckt;
(ii) der Dritte anderweitig geeignete Garantien gemäß Artikel 46 oder 47 der Verordnung (EU) 2016/679 hinsichtlich der betreffenden Verarbeitung gewährleistet;(ii) der Dritte anderweitig geeignete Garantien gemäß Artikel 46 oder 47 der Verordnung (EU) 2016/679 hinsichtlich der betreffenden Verarbeitung gewährleistet;
(iii) die Weiterübermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen spezifischer administrativer, regulatorischer oder gerichtlicher Verfahren erforderlich; oder(iii) die Weiterübermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen spezifischer administrativer, regulatorischer oder gerichtlicher Verfahren erforderlich; oder
(iv) die Weiterübermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich.(iv) die Weiterübermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich.
Jede Weiterübermittlung unterliegt der Einhaltung aller anderen Schutzmaßnahmen gemäß diesen Klauseln durch den Datenimporteur, insbesondere der Zweckbindung.Jede Weiterübermittlung unterliegt der Einhaltung aller anderen Schutzmaßnahmen gemäß diesen Klauseln durch den Datenimporteur, insbesondere der Zweckbindung.
8.9 Dokumentation und Einhaltung8.9 Dokumentation und Einhaltung
(a) Der Datenimporteur bearbeitet Anfragen des Datenexporteurs unverzüglich und angemessen, die sich auf die Verarbeitung gemäß diesen Klauseln beziehen.(a) Der Datenimporteur bearbeitet Anfragen des Datenexporteurs unverzüglich und angemessen, die sich auf die Verarbeitung gemäß diesen Klauseln beziehen.
(b) Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können. Insbesondere führt der Datenimporteur eine angemessene Dokumentation über die im Auftrag des Datenexporteurs durchgeführten Verarbeitungstätigkeiten.(b) Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können. Insbesondere führt der Datenimporteur eine angemessene Dokumentation über die im Auftrag des Datenexporteurs durchgeführten Verarbeitungstätigkeiten.
(c) Der Datenimporteur stellt dem Datenexporteur alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in diesen Klauseln festgelegten Pflichten nachzuweisen, und gestattet auf Verlangen des Datenexporteurs Prüfungen der von diesen Klauseln erfassten Verarbeitungstätigkeiten und trägt zu diesen bei, und zwar in angemessenen Abständen oder wenn Anzeichen für eine Nichteinhaltung vorliegen. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Datenexporteur einschlägige Zertifizierungen des Datenimporteurs berücksichtigen.(c) Der Datenimporteur stellt dem Datenexporteur alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in diesen Klauseln festgelegten Pflichten nachzuweisen, und gestattet auf Verlangen des Datenexporteurs Prüfungen der von diesen Klauseln erfassten Verarbeitungstätigkeiten und trägt zu diesen bei, und zwar in angemessenen Abständen oder wenn Anzeichen für eine Nichteinhaltung vorliegen. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Datenexporteur einschlägige Zertifizierungen des Datenimporteurs berücksichtigen.
(d) Der Datenexporteur kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Prüfungen können Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Datenimporteurs umfassen und werden, soweit angemessen, mit angemessener Vorankündigung durchgeführt.(d) Der Datenexporteur kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Prüfungen können Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Datenimporteurs umfassen und werden, soweit angemessen, mit angemessener Vorankündigung durchgeführt.
(e) Die Parteien stellen die in den Absätzen (b) und (c) genannten Informationen, einschließlich der Ergebnisse etwaiger Prüfungen, der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung.(e) Die Parteien stellen die in den Absätzen (b) und (c) genannten Informationen, einschließlich der Ergebnisse etwaiger Prüfungen, der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung.
MODUL DREI: Übermittlung von Auftragsverarbeiter zu AuftragsverarbeiterMODUL DREI: Übermittlung von Auftragsverarbeiter zu Auftragsverarbeiter
8.1 Anweisungen8.1 Anweisungen
(a) Der Datenexporteur hat den Datenimporteur darüber informiert, dass er als Auftragsverarbeiter gemäß den Anweisungen seines/seiner Verantwortlichen handelt, die der Datenexporteur dem Datenimporteur vor der Verarbeitung zur Verfügung stellt.(a) Der Datenexporteur hat den Datenimporteur darüber informiert, dass er als Auftragsverarbeiter gemäß den Anweisungen seines/seiner Verantwortlichen handelt, die der Datenexporteur dem Datenimporteur vor der Verarbeitung zur Verfügung stellt.
(b) Der Datenimporteur verarbeitet die personenbezogenen Daten nur auf dokumentierte Anweisungen des Verantwortlichen hin, die dem Datenimporteur vom Datenexporteur mitgeteilt wurden, und auf zusätzliche dokumentierte Anweisungen des Datenexporteurs. Solche zusätzlichen Anweisungen dürfen nicht im Widerspruch zu den Anweisungen des Verantwortlichen stehen. Der Verantwortliche oder Datenexporteur kann während der gesamten Vertragslaufzeit weitere dokumentierte Anweisungen zur Datenverarbeitung geben.(b) Der Datenimporteur verarbeitet die personenbezogenen Daten nur auf dokumentierte Anweisungen des Verantwortlichen hin, die dem Datenimporteur vom Datenexporteur mitgeteilt wurden, und auf zusätzliche dokumentierte Anweisungen des Datenexporteurs. Solche zusätzlichen Anweisungen dürfen nicht im Widerspruch zu den Anweisungen des Verantwortlichen stehen. Der Verantwortliche oder Datenexporteur kann während der gesamten Vertragslaufzeit weitere dokumentierte Anweisungen zur Datenverarbeitung geben.
(c) Der Datenimporteur informiert den Datenexporteur unverzüglich, wenn er diese Anweisungen nicht befolgen kann. Kann der Datenimporteur die Anweisungen des Verantwortlichen nicht befolgen, benachrichtigt der Datenexporteur unverzüglich den Verantwortlichen.(c) Der Datenimporteur informiert den Datenexporteur unverzüglich, wenn er diese Anweisungen nicht befolgen kann. Kann der Datenimporteur die Anweisungen des Verantwortlichen nicht befolgen, benachrichtigt der Datenexporteur unverzüglich den Verantwortlichen.
(d) Der Datenexporteur gewährleistet, dass er dem Datenimporteur die gleichen Datenschutzpflichten auferlegt hat, wie sie im Vertrag oder in einem anderen Rechtsakt nach Unionsrecht oder dem Recht eines Mitgliedstaats zwischen dem Verantwortlichen und dem Datenexporteur festgelegt sind.(d) Der Datenexporteur gewährleistet, dass er dem Datenimporteur die gleichen Datenschutzpflichten auferlegt hat, wie sie im Vertrag oder in einem anderen Rechtsakt nach Unionsrecht oder dem Recht eines Mitgliedstaats zwischen dem Verantwortlichen und dem Datenexporteur festgelegt sind.
8.2 Zweckbindung8.2 Zweckbindung
Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den/die spezifischen Zweck(e) der Übermittlung, wie in Anhang I.B. festgelegt, es sei denn, es liegen weitere Anweisungen des Verantwortlichen vor, die dem Datenimporteur vom Datenexporteur mitgeteilt wurden, oder vom Datenexporteur selbst.Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den/die spezifischen Zweck(e) der Übermittlung, wie in Anhang I.B. festgelegt, es sei denn, es liegen weitere Anweisungen des Verantwortlichen vor, die dem Datenimporteur vom Datenexporteur mitgeteilt wurden, oder vom Datenexporteur selbst.
8.3 Transparenz8.3 Transparenz
Auf Anfrage stellt der Datenexporteur der betroffenen Person kostenlos eine Kopie dieser Klauseln, einschließlich des von den Parteien ausgefüllten Anhangs, zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Datenexporteur einen Teil des Textes des Anhangs vor der Weitergabe einer Kopie schwärzen, muss aber eine aussagekräftige Zusammenfassung bereitstellen, wenn die betroffene Person andernfalls den Inhalt nicht verstehen oder ihre Rechte nicht ausüben könnte. Auf Anfrage teilen die Parteien der betroffenen Person die Gründe für die Schwärzungen mit, soweit dies möglich ist, ohne die geschwärzten Informationen preiszugeben.Auf Anfrage stellt der Datenexporteur der betroffenen Person kostenlos eine Kopie dieser Klauseln, einschließlich des von den Parteien ausgefüllten Anhangs, zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Datenexporteur einen Teil des Textes des Anhangs vor der Weitergabe einer Kopie schwärzen, muss aber eine aussagekräftige Zusammenfassung bereitstellen, wenn die betroffene Person andernfalls den Inhalt nicht verstehen oder ihre Rechte nicht ausüben könnte. Auf Anfrage teilen die Parteien der betroffenen Person die Gründe für die Schwärzungen mit, soweit dies möglich ist, ohne die geschwärzten Informationen preiszugeben.
8.4 Richtigkeit8.4 Richtigkeit
Wenn der Datenimporteur Kenntnis davon erlangt, dass die von ihm erhaltenen personenbezogenen Daten unrichtig oder veraltet sind, informiert er den Datenexporteur unverzüglich. In diesem Fall arbeitet der Datenimporteur mit dem Datenexporteur zusammen, um die Daten zu berichtigen oder zu löschen.Wenn der Datenimporteur Kenntnis davon erlangt, dass die von ihm erhaltenen personenbezogenen Daten unrichtig oder veraltet sind, informiert er den Datenexporteur unverzüglich. In diesem Fall arbeitet der Datenimporteur mit dem Datenexporteur zusammen, um die Daten zu berichtigen oder zu löschen.
8.5 Dauer der Verarbeitung und Löschung oder Rückgabe von Daten8.5 Dauer der Verarbeitung und Löschung oder Rückgabe von Daten
Die Verarbeitung durch den Datenimporteur erfolgt nur für die in Anhang I.B. angegebene Dauer. Nach Beendigung der Erbringung der Verarbeitungsdienstleistungen löscht der Datenimporteur nach Wahl des Datenexporteurs alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten und bescheinigt dem Datenexporteur, dass er dies getan hat, oder gibt dem Datenexporteur alle in seinem Auftrag verarbeiteten personenbezogenen Daten zurück und löscht bestehende Kopien. Bis zur Löschung oder Rückgabe der Daten stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Im Falle von für den Datenimporteur geltenden lokalen Gesetzen, die die Rückgabe oder Löschung der personenbezogenen Daten verbieten, gewährleistet der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln sicherstellt und die Daten nur in dem Umfang und so lange verarbeitet, wie es nach diesem lokalen Gesetz erforderlich ist. Dies lässt Klausel 14 unberührt, insbesondere die Verpflichtung des Datenimporteurs gemäß Klausel 14 Buchstabe e, den Datenexporteur während der gesamten Vertragslaufzeit zu benachrichtigen, wenn er Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterlegen ist, die nicht den Anforderungen gemäß Klausel 14 Buchstabe a entsprechen.Die Verarbeitung durch den Datenimporteur erfolgt nur für die in Anhang I.B. angegebene Dauer. Nach Beendigung der Erbringung der Verarbeitungsdienstleistungen löscht der Datenimporteur nach Wahl des Datenexporteurs alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten und bescheinigt dem Datenexporteur, dass er dies getan hat, oder gibt dem Datenexporteur alle in seinem Auftrag verarbeiteten personenbezogenen Daten zurück und löscht bestehende Kopien. Bis zur Löschung oder Rückgabe der Daten stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Im Falle von für den Datenimporteur geltenden lokalen Gesetzen, die die Rückgabe oder Löschung der personenbezogenen Daten verbieten, gewährleistet der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln sicherstellt und die Daten nur in dem Umfang und so lange verarbeitet, wie es nach diesem lokalen Gesetz erforderlich ist. Dies lässt Klausel 14 unberührt, insbesondere die Verpflichtung des Datenimporteurs gemäß Klausel 14 Buchstabe e, den Datenexporteur während der gesamten Vertragslaufzeit zu benachrichtigen, wenn er Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterlegen ist, die nicht den Anforderungen gemäß Klausel 14 Buchstabe a entsprechen.
8.6 Sicherheit der Verarbeitung8.6 Sicherheit der Verarbeitung
(a) Der Datenimporteur und, während der Übermittlung, auch der Datenexporteur treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einer Sicherheitsverletzung, die zur unbeabsichtigten oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugang zu diesen Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Bewertung des angemessenen Sicherheitsniveaus berücksichtigen sie den Stand der Technik, die Implementierungskosten, die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung sowie die mit der Verarbeitung für die betroffene Person verbundenen Risiken. Die Parteien ziehen insbesondere die Anwendung von Verschlüsselung oder Pseudonymisierung, auch während der Übermittlung, in Betracht, wenn der Zweck der Verarbeitung auf diese Weise erfüllt werden kann. Im Falle der Pseudonymisierung bleiben die zusätzlichen Informationen zur Zuordnung der personenbezogenen Daten zu einer bestimmten betroffenen Person, soweit möglich, unter der ausschließlichen Kontrolle des Datenexporteurs oder des Verantwortlichen. Bei der Erfüllung seiner Pflichten gemäß diesem Absatz implementiert der Datenimporteur mindestens die in Anhang II festgelegten technischen und organisatorischen Maßnahmen. Der Datenimporteur führt regelmäßige Überprüfungen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Sicherheitsniveau gewährleisten.(a) Der Datenimporteur und, während der Übermittlung, auch der Datenexporteur treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einer Sicherheitsverletzung, die zur unbeabsichtigten oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugang zu diesen Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Bewertung des angemessenen Sicherheitsniveaus berücksichtigen sie den Stand der Technik, die Implementierungskosten, die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung sowie die mit der Verarbeitung für die betroffene Person verbundenen Risiken. Die Parteien ziehen insbesondere die Anwendung von Verschlüsselung oder Pseudonymisierung, auch während der Übermittlung, in Betracht, wenn der Zweck der Verarbeitung auf diese Weise erfüllt werden kann. Im Falle der Pseudonymisierung bleiben die zusätzlichen Informationen zur Zuordnung der personenbezogenen Daten zu einer bestimmten betroffenen Person, soweit möglich, unter der ausschließlichen Kontrolle des Datenexporteurs oder des Verantwortlichen. Bei der Erfüllung seiner Pflichten gemäß diesem Absatz implementiert der Datenimporteur mindestens die in Anhang II festgelegten technischen und organisatorischen Maßnahmen. Der Datenimporteur führt regelmäßige Überprüfungen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Sicherheitsniveau gewährleisten.
(b) Der Datenimporteur gewährt seinen Mitarbeitern nur in dem Umfang Zugang zu den Daten, der für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Er stellt sicher, dass Personen, die zur Verarbeitung der personenbezogenen Daten befugt sind, sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.(b) Der Datenimporteur gewährt seinen Mitarbeitern nur in dem Umfang Zugang zu den Daten, der für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Er stellt sicher, dass Personen, die zur Verarbeitung der personenbezogenen Daten befugt sind, sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(c) Im Falle einer Verletzung des Schutzes personenbezogener Daten, die personenbezogene Daten betrifft, die vom Datenimporteur gemäß diesen Klauseln verarbeitet werden, ergreift der Datenimporteur geeignete Maßnahmen, um die Verletzung zu beheben, einschließlich Maßnahmen zur Minderung ihrer nachteiligen Auswirkungen. Der Datenimporteur benachrichtigt außerdem unverzüglich den Datenexporteur und, soweit angemessen und machbar, den Verantwortlichen, nachdem er von der Verletzung Kenntnis erlangt hat. Eine solche Benachrichtigung enthält die Kontaktdaten einer Anlaufstelle, bei der weitere Informationen eingeholt werden können, eine Beschreibung der Art der Verletzung (einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen und der betroffenen Datensätze), ihre voraussichtlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich Maßnahmen zur Minderung ihrer möglichen nachteiligen Auswirkungen. Soweit es nicht möglich ist, alle Informationen gleichzeitig bereitzustellen, enthält die erste Benachrichtigung die zu diesem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, unverzüglich nachgereicht.(c) Im Falle einer Verletzung des Schutzes personenbezogener Daten, die personenbezogene Daten betrifft, die vom Datenimporteur gemäß diesen Klauseln verarbeitet werden, ergreift der Datenimporteur geeignete Maßnahmen, um die Verletzung zu beheben, einschließlich Maßnahmen zur Minderung ihrer nachteiligen Auswirkungen. Der Datenimporteur benachrichtigt außerdem unverzüglich den Datenexporteur und, soweit angemessen und machbar, den Verantwortlichen, nachdem er von der Verletzung Kenntnis erlangt hat. Eine solche Benachrichtigung enthält die Kontaktdaten einer Anlaufstelle, bei der weitere Informationen eingeholt werden können, eine Beschreibung der Art der Verletzung (einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen und der betroffenen Datensätze), ihre voraussichtlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich Maßnahmen zur Minderung ihrer möglichen nachteiligen Auswirkungen. Soweit es nicht möglich ist, alle Informationen gleichzeitig bereitzustellen, enthält die erste Benachrichtigung die zu diesem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, unverzüglich nachgereicht.
(d) Der Datenimporteur arbeitet mit dem Datenexporteur zusammen und unterstützt ihn, damit der Datenexporteur seinen Pflichten nachkommen kann.(d) Der Datenimporteur arbeitet mit dem Datenexporteur zusammen und unterstützt ihn, damit der Datenexporteur seinen Pflichten nachkommen kann.
Pflichten gemäß der Verordnung (EU) 2016/679, insbesondere seinen Verantwortlichen zu benachrichtigen, damit dieser wiederum die zuständige Aufsichtsbehörde und die betroffenen Personen benachrichtigen kann, unter Berücksichtigung der Art der Verarbeitung und der dem Datenimporteur vorliegenden Informationen.Pflichten gemäß der Verordnung (EU) 2016/679, insbesondere seinen Verantwortlichen zu benachrichtigen, damit dieser wiederum die zuständige Aufsichtsbehörde und die betroffenen Personen benachrichtigen kann, unter Berücksichtigung der Art der Verarbeitung und der dem Datenimporteur vorliegenden Informationen.
8.7 Sensible Daten8.7 Sensible Daten
Soweit die Übermittlung personenbezogene Daten betrifft, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person oder Daten über strafrechtliche Verurteilungen und Straftaten (im Folgenden „sensible Daten“), wendet der Datenimporteur die in Anhang I.B. festgelegten spezifischen Beschränkungen und/oder zusätzlichen Schutzmaßnahmen an.Soweit die Übermittlung personenbezogene Daten betrifft, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person oder Daten über strafrechtliche Verurteilungen und Straftaten (im Folgenden „sensible Daten“), wendet der Datenimporteur die in Anhang I.B. festgelegten spezifischen Beschränkungen und/oder zusätzlichen Schutzmaßnahmen an.
8.8 Weiterübermittlungen8.8 Weiterübermittlungen
Der Datenimporteur darf die personenbezogenen Daten nur auf dokumentierte Anweisung des Verantwortlichen an einen Dritten weitergeben, die dem Datenimporteur vom Datenexporteur mitgeteilt wurde. Darüber hinaus dürfen die Daten nur an einen Dritten außerhalb der Europäischen Union (im selben Land wie der Datenimporteur oder in einem anderen Drittland, im Folgenden „Weiterübermittlung“ genannt) weitergegeben werden, wenn der Dritte an diese Klauseln gemäß dem entsprechenden Modul gebunden ist oder sich dazu bereit erklärt, oder wenn:Der Datenimporteur darf die personenbezogenen Daten nur auf dokumentierte Anweisung des Verantwortlichen an einen Dritten weitergeben, die dem Datenimporteur vom Datenexporteur mitgeteilt wurde. Darüber hinaus dürfen die Daten nur an einen Dritten außerhalb der Europäischen Union (im selben Land wie der Datenimporteur oder in einem anderen Drittland, im Folgenden „Weiterübermittlung“ genannt) weitergegeben werden, wenn der Dritte an diese Klauseln gemäß dem entsprechenden Modul gebunden ist oder sich dazu bereit erklärt, oder wenn:
(i) die Weiterübermittlung erfolgt in ein Land, das von einem Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 profitiert, der die Weiterübermittlung abdeckt;(i) die Weiterübermittlung erfolgt in ein Land, das von einem Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 profitiert, der die Weiterübermittlung abdeckt;
(ii) der Dritte anderweitig geeignete Garantien gemäß Artikel 46 oder 47 der Verordnung (EU) 2016/679 bietet;(ii) der Dritte anderweitig geeignete Garantien gemäß Artikel 46 oder 47 der Verordnung (EU) 2016/679 bietet;
(iii) die Weiterübermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen spezifischer administrativer, behördlicher oder gerichtlicher Verfahren erforderlich; oder(iii) die Weiterübermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen spezifischer administrativer, behördlicher oder gerichtlicher Verfahren erforderlich; oder
(iv) die Weiterübermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich.(iv) die Weiterübermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich.
Jede Weiterübermittlung unterliegt der Einhaltung durch den Datenimporteur aller anderen Schutzmaßnahmen gemäß diesen Klauseln, insbesondere der Zweckbindung.Jede Weiterübermittlung unterliegt der Einhaltung durch den Datenimporteur aller anderen Schutzmaßnahmen gemäß diesen Klauseln, insbesondere der Zweckbindung.
8.9 Dokumentation und Einhaltung8.9 Dokumentation und Einhaltung
(a) Der Datenimporteur bearbeitet Anfragen des Datenexporteurs oder des Verantwortlichen, die sich auf die Verarbeitung gemäß diesen Klauseln beziehen, unverzüglich und angemessen.(a) Der Datenimporteur bearbeitet Anfragen des Datenexporteurs oder des Verantwortlichen, die sich auf die Verarbeitung gemäß diesen Klauseln beziehen, unverzüglich und angemessen.
(b) Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können. Insbesondere führt der Datenimporteur eine angemessene Dokumentation über die im Auftrag des Verantwortlichen durchgeführten Verarbeitungstätigkeiten.(b) Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können. Insbesondere führt der Datenimporteur eine angemessene Dokumentation über die im Auftrag des Verantwortlichen durchgeführten Verarbeitungstätigkeiten.
(c) Der Datenimporteur stellt dem Datenexporteur alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in diesen Klauseln festgelegten Pflichten nachzuweisen, der sie dem Verantwortlichen zur Verfügung stellt.(c) Der Datenimporteur stellt dem Datenexporteur alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in diesen Klauseln festgelegten Pflichten nachzuweisen, der sie dem Verantwortlichen zur Verfügung stellt.
(d) Der Datenimporteur ermöglicht und trägt zu Prüfungen durch den Datenexporteur der von diesen Klauseln erfassten Verarbeitungstätigkeiten in angemessenen Abständen oder wenn Anzeichen für eine Nichteinhaltung vorliegen. Dasselbe gilt, wenn der Datenexporteur eine Prüfung auf Anweisung des Verantwortlichen beantragt. Bei der Entscheidung über eine Prüfung kann der Datenexporteur einschlägige Zertifizierungen des Datenimporteurs berücksichtigen.(d) Der Datenimporteur ermöglicht und trägt zu Prüfungen durch den Datenexporteur der von diesen Klauseln erfassten Verarbeitungstätigkeiten in angemessenen Abständen oder wenn Anzeichen für eine Nichteinhaltung vorliegen. Dasselbe gilt, wenn der Datenexporteur eine Prüfung auf Anweisung des Verantwortlichen beantragt. Bei der Entscheidung über eine Prüfung kann der Datenexporteur einschlägige Zertifizierungen des Datenimporteurs berücksichtigen.
(e) Wird die Prüfung auf Anweisung des Verantwortlichen durchgeführt, stellt der Datenexporteur die Ergebnisse dem Verantwortlichen zur Verfügung.(e) Wird die Prüfung auf Anweisung des Verantwortlichen durchgeführt, stellt der Datenexporteur die Ergebnisse dem Verantwortlichen zur Verfügung.
(f) Der Datenexporteur kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Prüfungen können Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Datenimporteurs umfassen und werden, soweit angemessen, mit angemessener Vorankündigung durchgeführt.(f) Der Datenexporteur kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Prüfungen können Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Datenimporteurs umfassen und werden, soweit angemessen, mit angemessener Vorankündigung durchgeführt.
(g) Die Parteien stellen die Informationen gemäß den Absätzen (b) und (c), einschließlich der Ergebnisse etwaiger Prüfungen, der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung.(g) Die Parteien stellen die Informationen gemäß den Absätzen (b) und (c), einschließlich der Ergebnisse etwaiger Prüfungen, der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung.
MODUL VIER: Übermittlung vom Auftragsverarbeiter an den VerantwortlichenMODUL VIER: Übermittlung vom Auftragsverarbeiter an den Verantwortlichen
8.1 Anweisungen8.1 Anweisungen
(a) Der Datenexporteur verarbeitet die personenbezogenen Daten nur auf dokumentierte Anweisung des Datenimporteurs, der als sein Verantwortlicher handelt.(a) Der Datenexporteur verarbeitet die personenbezogenen Daten nur auf dokumentierte Anweisung des Datenimporteurs, der als sein Verantwortlicher handelt.
(b) Der Datenexporteur unterrichtet den Datenimporteur unverzüglich, wenn er diesen Anweisungen nicht nachkommen kann, einschließlich wenn solche Anweisungen gegen die Verordnung (EU) 2016/679 oder gegen andere Datenschutzvorschriften der Union oder der Mitgliedstaaten verstoßen.(b) Der Datenexporteur unterrichtet den Datenimporteur unverzüglich, wenn er diesen Anweisungen nicht nachkommen kann, einschließlich wenn solche Anweisungen gegen die Verordnung (EU) 2016/679 oder gegen andere Datenschutzvorschriften der Union oder der Mitgliedstaaten verstoßen.
(c) Der Datenimporteur unterlässt jede Handlung, die den Datenexporteur daran hindern würde, seinen Pflichten gemäß der Verordnung (EU) 2016/679 nachzukommen, einschließlich im Rahmen der Unterauftragsverarbeitung oder hinsichtlich der Zusammenarbeit mit den zuständigen Aufsichtsbehörden.(c) Der Datenimporteur unterlässt jede Handlung, die den Datenexporteur daran hindern würde, seinen Pflichten gemäß der Verordnung (EU) 2016/679 nachzukommen, einschließlich im Rahmen der Unterauftragsverarbeitung oder hinsichtlich der Zusammenarbeit mit den zuständigen Aufsichtsbehörden.
(d) Nach Beendigung der Erbringung der Verarbeitungsdienstleistungen löscht der Datenexporteur nach Wahl des Datenimporteurs alle im Auftrag des Datenimporteurs verarbeiteten personenbezogenen Daten und bescheinigt dem Datenimporteur, dass er dies getan hat, oder gibt dem Datenimporteur alle in seinem Auftrag verarbeiteten personenbezogenen Daten zurück und löscht bestehende Kopien.(d) Nach Beendigung der Erbringung der Verarbeitungsdienstleistungen löscht der Datenexporteur nach Wahl des Datenimporteurs alle im Auftrag des Datenimporteurs verarbeiteten personenbezogenen Daten und bescheinigt dem Datenimporteur, dass er dies getan hat, oder gibt dem Datenimporteur alle in seinem Auftrag verarbeiteten personenbezogenen Daten zurück und löscht bestehende Kopien.
8.2 Sicherheit der Verarbeitung8.2 Sicherheit der Verarbeitung
(a) Die Parteien treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten, auch während der Übermittlung, und den Schutz vor einer Sicherheitsverletzung, die zu einer unbeabsichtigten oder unrechtmäßigen Zerstörung, Verlust, Veränderung, unbefugten Offenlegung oder einem unbefugten Zugriff führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“), zu gewährleisten. Bei der Bewertung des angemessenen Sicherheitsniveaus berücksichtigen sie den Stand der Technik, die Implementierungskosten, die Art der personenbezogenen Daten, die Art, den Umfang, den Kontext und die Zwecke der Verarbeitung sowie die mit der Verarbeitung verbundenen Risiken für die betroffenen Personen und ziehen insbesondere die Verschlüsselung oder Pseudonymisierung, auch während der Übermittlung, in Betracht, sofern der Zweck der Verarbeitung auf diese Weise erfüllt werden kann.(a) Die Parteien treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten, auch während der Übermittlung, und den Schutz vor einer Sicherheitsverletzung, die zu einer unbeabsichtigten oder unrechtmäßigen Zerstörung, Verlust, Veränderung, unbefugten Offenlegung oder einem unbefugten Zugriff führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“), zu gewährleisten. Bei der Bewertung des angemessenen Sicherheitsniveaus berücksichtigen sie den Stand der Technik, die Implementierungskosten, die Art der personenbezogenen Daten, die Art, den Umfang, den Kontext und die Zwecke der Verarbeitung sowie die mit der Verarbeitung verbundenen Risiken für die betroffenen Personen und ziehen insbesondere die Verschlüsselung oder Pseudonymisierung, auch während der Übermittlung, in Betracht, sofern der Zweck der Verarbeitung auf diese Weise erfüllt werden kann.
(b) Der Datenexporteur unterstützt den Datenimporteur bei der Gewährleistung einer angemessenen Datensicherheit gemäß Absatz (a). Im Falle einer Verletzung des Schutzes personenbezogener Daten, die vom Datenexporteur gemäß diesen Klauseln verarbeitet werden, benachrichtigt der Datenexporteur den Datenimporteur unverzüglich, nachdem er davon Kenntnis erlangt hat, und unterstützt den Datenimporteur bei der Behebung der Verletzung.(b) Der Datenexporteur unterstützt den Datenimporteur bei der Gewährleistung einer angemessenen Datensicherheit gemäß Absatz (a). Im Falle einer Verletzung des Schutzes personenbezogener Daten, die vom Datenexporteur gemäß diesen Klauseln verarbeitet werden, benachrichtigt der Datenexporteur den Datenimporteur unverzüglich, nachdem er davon Kenntnis erlangt hat, und unterstützt den Datenimporteur bei der Behebung der Verletzung.
(c) Der Datenexporteur stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet sind oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen.(c) Der Datenexporteur stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet sind oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen.
8.3 Dokumentation und Einhaltung8.3 Dokumentation und Einhaltung
(a) Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können.(a) Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können.
(b) Der Datenexporteur stellt dem Datenimporteur alle Informationen zur Verfügung, die zur Einhaltung seiner Pflichten gemäß diesen Klauseln erforderlich sind, und ermöglicht sowie trägt zu Prüfungen bei.(b) Der Datenexporteur stellt dem Datenimporteur alle Informationen zur Verfügung, die zur Einhaltung seiner Pflichten gemäß diesen Klauseln erforderlich sind, und ermöglicht sowie trägt zu Prüfungen bei.
Klausel 9 – Einsatz von UnterauftragsverarbeiternKlausel 9 – Einsatz von Unterauftragsverarbeitern
MODUL ZWEI: Übermittlung von Verantwortlichem zu AuftragsverarbeiterMODUL ZWEI: Übermittlung von Verantwortlichem zu Auftragsverarbeiter
(a) Der Datenimporteur hat die allgemeine Genehmigung des Datenexporteurs für die Beauftragung von Unterauftragsverarbeitern aus einer vereinbarten Liste. Der Datenimporteur informiert den Datenexporteur schriftlich über jede beabsichtigte Änderung dieser Liste durch Hinzufügung oder Ersetzung von Unterauftragsverarbeitern mindestens 30 Tage im Voraus, wodurch dem Datenexporteur ausreichend Zeit gegeben wird, solchen Änderungen vor der Beauftragung des/der Unterauftragsverarbeiter(s) zu widersprechen. Der Datenimporteur stellt dem Datenexporteur die Informationen zur Verfügung, die erforderlich sind, damit der Datenexporteur sein Widerspruchsrecht ausüben kann.(a) Der Datenimporteur hat die allgemeine Genehmigung des Datenexporteurs für die Beauftragung von Unterauftragsverarbeitern aus einer vereinbarten Liste. Der Datenimporteur informiert den Datenexporteur schriftlich über jede beabsichtigte Änderung dieser Liste durch Hinzufügung oder Ersetzung von Unterauftragsverarbeitern mindestens 30 Tage im Voraus, wodurch dem Datenexporteur ausreichend Zeit gegeben wird, solchen Änderungen vor der Beauftragung des/der Unterauftragsverarbeiter(s) zu widersprechen. Der Datenimporteur stellt dem Datenexporteur die Informationen zur Verfügung, die erforderlich sind, damit der Datenexporteur sein Widerspruchsrecht ausüben kann.
(b) Beauftragt der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung spezifischer Verarbeitungstätigkeiten (im Auftrag des Datenexporteurs), so geschieht dies mittels eines schriftlichen Vertrags, der im Wesentlichen dieselben Datenschutzpflichten vorsieht, die den Datenimporteur gemäß diesen Klauseln binden, einschließlich der Rechte Dritter für betroffene Personen. Die Parteien vereinbaren, dass der Datenimporteur durch die Einhaltung dieser Klausel seine Pflichten gemäß Klausel 8.8 erfüllt. Der Datenimporteur stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Datenimporteur gemäß diesen Klauseln unterliegt.(b) Beauftragt der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung spezifischer Verarbeitungstätigkeiten (im Auftrag des Datenexporteurs), so geschieht dies mittels eines schriftlichen Vertrags, der im Wesentlichen dieselben Datenschutzpflichten vorsieht, die den Datenimporteur gemäß diesen Klauseln binden, einschließlich der Rechte Dritter für betroffene Personen. Die Parteien vereinbaren, dass der Datenimporteur durch die Einhaltung dieser Klausel seine Pflichten gemäß Klausel 8.8 erfüllt. Der Datenimporteur stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Datenimporteur gemäß diesen Klauseln unterliegt.
(c) Der Datenimporteur stellt dem Datenexporteur auf dessen Anfrage eine Kopie einer solchen Unterauftragsverarbeitervereinbarung und aller nachfolgenden Änderungen zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Datenimporteur den Text der Vereinbarung vor der Weitergabe einer Kopie schwärzen.(c) Der Datenimporteur stellt dem Datenexporteur auf dessen Anfrage eine Kopie einer solchen Unterauftragsverarbeitervereinbarung und aller nachfolgenden Änderungen zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Datenimporteur den Text der Vereinbarung vor der Weitergabe einer Kopie schwärzen.
(d) Der Datenimporteur bleibt dem Datenexporteur gegenüber voll verantwortlich für die Erfüllung der Pflichten des Unterauftragsverarbeiters aus dessen Vertrag mit dem Datenimporteur. Der Datenimporteur benachrichtigt den Datenexporteur über jede Nichterfüllung der Pflichten des Unterauftragsverarbeiters aus diesem Vertrag.(d) Der Datenimporteur bleibt dem Datenexporteur gegenüber voll verantwortlich für die Erfüllung der Pflichten des Unterauftragsverarbeiters aus dessen Vertrag mit dem Datenimporteur. Der Datenimporteur benachrichtigt den Datenexporteur über jede Nichterfüllung der Pflichten des Unterauftragsverarbeiters aus diesem Vertrag.
(e) Der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach – für den Fall, dass der Datenimporteur tatsächlich verschwunden ist, rechtlich nicht mehr existiert oder insolvent geworden ist – der Datenexporteur das Recht hat, den Unterauftragsverarbeitervertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.(e) Der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach – für den Fall, dass der Datenimporteur tatsächlich verschwunden ist, rechtlich nicht mehr existiert oder insolvent geworden ist – der Datenexporteur das Recht hat, den Unterauftragsverarbeitervertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.
MODUL DREI: Übermittlung von Auftragsverarbeiter zu AuftragsverarbeiterMODUL DREI: Übermittlung von Auftragsverarbeiter zu Auftragsverarbeiter
(a) Der Datenimporteur hat die allgemeine Genehmigung des Verantwortlichen für die Beauftragung von Unterauftragsverarbeitern aus einer vereinbarten Liste. Der Datenimporteur informiert den Verantwortlichen schriftlich über jede beabsichtigte Änderung dieser Liste durch Hinzufügung oder Ersetzung von Unterauftragsverarbeitern mindestens 30 Tage im Voraus, wodurch dem Verantwortlichen ausreichend Zeit gegeben wird, solchen Änderungen vor der Beauftragung des/der Unterauftragsverarbeiter(s) zu widersprechen. Der Datenimporteur stellt dem Verantwortlichen die Informationen zur Verfügung, die erforderlich sind, damit der Verantwortliche sein Widerspruchsrecht ausüben kann. Der Datenimporteur informiert den Datenexporteur über die Beauftragung des/der Unterauftragsverarbeiter(s).(a) Der Datenimporteur hat die allgemeine Genehmigung des Verantwortlichen für die Beauftragung von Unterauftragsverarbeitern aus einer vereinbarten Liste. Der Datenimporteur informiert den Verantwortlichen schriftlich über jede beabsichtigte Änderung dieser Liste durch Hinzufügung oder Ersetzung von Unterauftragsverarbeitern mindestens 30 Tage im Voraus, wodurch dem Verantwortlichen ausreichend Zeit gegeben wird, solchen Änderungen vor der Beauftragung des/der Unterauftragsverarbeiter(s) zu widersprechen. Der Datenimporteur stellt dem Verantwortlichen die Informationen zur Verfügung, die erforderlich sind, damit der Verantwortliche sein Widerspruchsrecht ausüben kann. Der Datenimporteur informiert den Datenexporteur über die Beauftragung des/der Unterauftragsverarbeiter(s).
(b) Beauftragt der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung spezifischer Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen), so geschieht dies mittels eines schriftlichen Vertrags, der im Wesentlichen dieselben Datenschutzpflichten vorsieht, die den Datenimporteur gemäß diesen Klauseln binden, einschließlich der Rechte Dritter für betroffene Personen. Die Parteien vereinbaren, dass der Datenimporteur durch die Einhaltung dieser Klausel seine Verpflichtung(b) Beauftragt der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung spezifischer Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen), so geschieht dies mittels eines schriftlichen Vertrags, der im Wesentlichen dieselben Datenschutzpflichten vorsieht, die den Datenimporteur gemäß diesen Klauseln binden, einschließlich der Rechte Dritter für betroffene Personen. Die Parteien vereinbaren, dass der Datenimporteur durch die Einhaltung dieser Klausel seine Verpflichtung
en gemäß Klausel 8.8. Der Datenimporteur stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Datenimporteur gemäß diesen Klauseln unterliegt.en gemäß Klausel 8.8. Der Datenimporteur stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Datenimporteur gemäß diesen Klauseln unterliegt.
(c) Der Datenimporteur stellt dem Datenexporteur oder dem Verantwortlichen auf Anfrage eine Kopie einer solchen Unterauftragsverarbeitervereinbarung und aller nachfolgenden Änderungen zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Datenimporteur den Text der Vereinbarung vor der Weitergabe einer Kopie schwärzen.(c) Der Datenimporteur stellt dem Datenexporteur oder dem Verantwortlichen auf Anfrage eine Kopie einer solchen Unterauftragsverarbeitervereinbarung und aller nachfolgenden Änderungen zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Datenimporteur den Text der Vereinbarung vor der Weitergabe einer Kopie schwärzen.
(d) Der Datenimporteur bleibt gegenüber dem Datenexporteur voll verantwortlich für die Erfüllung der Pflichten des Unterauftragsverarbeiters aus seinem Vertrag mit dem Datenimporteur. Der Datenimporteur unterrichtet den Datenexporteur über jede Nichterfüllung der Pflichten des Unterauftragsverarbeiters aus diesem Vertrag.(d) Der Datenimporteur bleibt gegenüber dem Datenexporteur voll verantwortlich für die Erfüllung der Pflichten des Unterauftragsverarbeiters aus seinem Vertrag mit dem Datenimporteur. Der Datenimporteur unterrichtet den Datenexporteur über jede Nichterfüllung der Pflichten des Unterauftragsverarbeiters aus diesem Vertrag.
(e) Der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach – für den Fall, dass der Datenimporteur faktisch verschwunden ist, rechtlich nicht mehr existiert oder insolvent geworden ist – der Datenexporteur das Recht hat, den Unterauftragsverarbeitervertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.(e) Der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach – für den Fall, dass der Datenimporteur faktisch verschwunden ist, rechtlich nicht mehr existiert oder insolvent geworden ist – der Datenexporteur das Recht hat, den Unterauftragsverarbeitervertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.
Klausel 10 – Rechte der betroffenen PersonKlausel 10 – Rechte der betroffenen Person
MODUL EINS: Übermittlung vom Verantwortlichen an den VerantwortlichenMODUL EINS: Übermittlung vom Verantwortlichen an den Verantwortlichen
(a) Der Datenimporteur bearbeitet, gegebenenfalls mit Unterstützung des Datenexporteurs, alle Anfragen und Anträge, die er von einer betroffenen Person bezüglich der Verarbeitung ihrer personenbezogenen Daten und der Ausübung ihrer Rechte gemäß diesen Klauseln erhält, unverzüglich und spätestens innerhalb eines Monats nach Eingang der Anfrage oder des Antrags. Der Datenimporteur trifft geeignete Maßnahmen, um solche Anfragen, Anträge und die Ausübung der Rechte der betroffenen Person zu erleichtern. Alle der betroffenen Person zur Verfügung gestellten Informationen müssen in prägnanter, transparenter, verständlicher und leicht zugänglicher Form in klarer und einfacher Sprache übermittelt werden.(a) Der Datenimporteur bearbeitet, gegebenenfalls mit Unterstützung des Datenexporteurs, alle Anfragen und Anträge, die er von einer betroffenen Person bezüglich der Verarbeitung ihrer personenbezogenen Daten und der Ausübung ihrer Rechte gemäß diesen Klauseln erhält, unverzüglich und spätestens innerhalb eines Monats nach Eingang der Anfrage oder des Antrags. Der Datenimporteur trifft geeignete Maßnahmen, um solche Anfragen, Anträge und die Ausübung der Rechte der betroffenen Person zu erleichtern. Alle der betroffenen Person zur Verfügung gestellten Informationen müssen in prägnanter, transparenter, verständlicher und leicht zugänglicher Form in klarer und einfacher Sprache übermittelt werden.
(b) Insbesondere hat der Datenimporteur auf Antrag der betroffenen Person unentgeltlich:(b) Insbesondere hat der Datenimporteur auf Antrag der betroffenen Person unentgeltlich:
(i) der betroffenen Person eine Bestätigung darüber geben, ob personenbezogene Daten über sie verarbeitet werden, und, falls dies der Fall ist, eine Kopie der sie betreffenden Daten und die Informationen in Anhang I; wenn personenbezogene Daten weiterübermittelt wurden oder werden, Informationen über Empfänger oder Kategorien von Empfängern (gegebenenfalls zur Bereitstellung aussagekräftiger Informationen) bereitstellen, an die die personenbezogenen Daten weiterübermittelt wurden oder werden, den Zweck solcher Weiterübermittlungen und deren Grundlage gemäß Klausel 8.7; und Informationen über das Recht, gemäß Klausel 12 Buchstabe c Ziffer i Beschwerde bei einer Aufsichtsbehörde einzulegen;(i) der betroffenen Person eine Bestätigung darüber geben, ob personenbezogene Daten über sie verarbeitet werden, und, falls dies der Fall ist, eine Kopie der sie betreffenden Daten und die Informationen in Anhang I; wenn personenbezogene Daten weiterübermittelt wurden oder werden, Informationen über Empfänger oder Kategorien von Empfängern (gegebenenfalls zur Bereitstellung aussagekräftiger Informationen) bereitstellen, an die die personenbezogenen Daten weiterübermittelt wurden oder werden, den Zweck solcher Weiterübermittlungen und deren Grundlage gemäß Klausel 8.7; und Informationen über das Recht, gemäß Klausel 12 Buchstabe c Ziffer i Beschwerde bei einer Aufsichtsbehörde einzulegen;
(ii) unrichtige oder unvollständige Daten der betroffenen Person berichtigen;(ii) unrichtige oder unvollständige Daten der betroffenen Person berichtigen;
(iii) personenbezogene Daten der betroffenen Person löschen, wenn diese Daten unter Verstoß gegen eine dieser Klauseln, die Rechte Dritter als Begünstigte gewährleisten, verarbeitet werden oder wurden oder wenn die betroffene Person die Einwilligung, auf der die Verarbeitung beruht, widerruft.(iii) personenbezogene Daten der betroffenen Person löschen, wenn diese Daten unter Verstoß gegen eine dieser Klauseln, die Rechte Dritter als Begünstigte gewährleisten, verarbeitet werden oder wurden oder wenn die betroffene Person die Einwilligung, auf der die Verarbeitung beruht, widerruft.
(c) Verarbeitet der Datenimporteur die personenbezogenen Daten für Zwecke der Direktwerbung, so stellt er die Verarbeitung für diese Zwecke ein, wenn die betroffene Person Widerspruch einlegt.(c) Verarbeitet der Datenimporteur die personenbezogenen Daten für Zwecke der Direktwerbung, so stellt er die Verarbeitung für diese Zwecke ein, wenn die betroffene Person Widerspruch einlegt.
(d) Der Datenimporteur darf keine Entscheidung treffen, die ausschließlich auf der automatisierten Verarbeitung der übermittelten personenbezogenen Daten beruht (im Folgenden „automatisierte Entscheidung“) und die rechtliche Wirkung gegenüber der betroffenen Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, es sei denn, die betroffene Person hat ausdrücklich eingewilligt oder dies ist nach den Gesetzen des Bestimmungslandes zulässig, vorausgesetzt, diese Gesetze sehen geeignete Maßnahmen zum Schutz der Rechte und berechtigten Interessen der betroffenen Person vor. In diesem Fall hat der Datenimporteur, erforderlichenfalls in Zusammenarbeit mit dem Datenexporteur:(d) Der Datenimporteur darf keine Entscheidung treffen, die ausschließlich auf der automatisierten Verarbeitung der übermittelten personenbezogenen Daten beruht (im Folgenden „automatisierte Entscheidung“) und die rechtliche Wirkung gegenüber der betroffenen Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, es sei denn, die betroffene Person hat ausdrücklich eingewilligt oder dies ist nach den Gesetzen des Bestimmungslandes zulässig, vorausgesetzt, diese Gesetze sehen geeignete Maßnahmen zum Schutz der Rechte und berechtigten Interessen der betroffenen Person vor. In diesem Fall hat der Datenimporteur, erforderlichenfalls in Zusammenarbeit mit dem Datenexporteur:
(i) die betroffene Person über die beabsichtigte automatisierte Entscheidung, die beabsichtigten Folgen und die involvierte Logik informieren; und(i) die betroffene Person über die beabsichtigte automatisierte Entscheidung, die beabsichtigten Folgen und die involvierte Logik informieren; und
(ii) geeignete Garantien umsetzen, mindestens indem er der betroffenen Person die Möglichkeit gibt, die Entscheidung anzufechten, ihren Standpunkt darzulegen und eine Überprüfung durch einen Menschen zu erwirken.(ii) geeignete Garantien umsetzen, mindestens indem er der betroffenen Person die Möglichkeit gibt, die Entscheidung anzufechten, ihren Standpunkt darzulegen und eine Überprüfung durch einen Menschen zu erwirken.
(e) Sind Anträge einer betroffenen Person exzessiv, insbesondere wegen ihres wiederholten Charakters, kann der Datenimporteur entweder eine angemessene Gebühr unter Berücksichtigung der Verwaltungskosten für die Bearbeitung des Antrags erheben oder die Bearbeitung des Antrags verweigern.(e) Sind Anträge einer betroffenen Person exzessiv, insbesondere wegen ihres wiederholten Charakters, kann der Datenimporteur entweder eine angemessene Gebühr unter Berücksichtigung der Verwaltungskosten für die Bearbeitung des Antrags erheben oder die Bearbeitung des Antrags verweigern.
(f) Der Datenimporteur kann einen Antrag einer betroffenen Person ablehnen, wenn eine solche Ablehnung nach den Gesetzen des Bestimmungslandes zulässig ist und in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 genannten Ziele zu schützen.(f) Der Datenimporteur kann einen Antrag einer betroffenen Person ablehnen, wenn eine solche Ablehnung nach den Gesetzen des Bestimmungslandes zulässig ist und in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 genannten Ziele zu schützen.
(g) Beabsichtigt der Datenimporteur, einen Antrag einer betroffenen Person abzulehnen, so unterrichtet er die betroffene Person über die Gründe für die Ablehnung und die Möglichkeit, Beschwerde bei der zuständigen Aufsichtsbehörde einzulegen und/oder gerichtlichen Rechtsschutz zu suchen.(g) Beabsichtigt der Datenimporteur, einen Antrag einer betroffenen Person abzulehnen, so unterrichtet er die betroffene Person über die Gründe für die Ablehnung und die Möglichkeit, Beschwerde bei der zuständigen Aufsichtsbehörde einzulegen und/oder gerichtlichen Rechtsschutz zu suchen.
MODUL ZWEI: Übermittlung vom Verantwortlichen an den AuftragsverarbeiterMODUL ZWEI: Übermittlung vom Verantwortlichen an den Auftragsverarbeiter
(a) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich über jeden Antrag, den er von einer betroffenen Person erhalten hat. Er darf auf diesen Antrag nicht selbst antworten, es sei denn, er wurde vom Datenexporteur dazu ermächtigt.(a) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich über jeden Antrag, den er von einer betroffenen Person erhalten hat. Er darf auf diesen Antrag nicht selbst antworten, es sei denn, er wurde vom Datenexporteur dazu ermächtigt.
(b) Der Datenimporteur unterstützt den Datenexporteur bei der Erfüllung seiner Pflichten, auf Anträge betroffener Personen hinsichtlich der Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679 zu reagieren. Diesbezüglich legen die Parteien in Anhang II die geeigneten technischen und organisatorischen Maßnahmen fest, unter Berücksichtigung der Art der Verarbeitung, durch die die Unterstützung zu leisten ist, sowie den Umfang und das Ausmaß der erforderlichen Unterstützung.(b) Der Datenimporteur unterstützt den Datenexporteur bei der Erfüllung seiner Pflichten, auf Anträge betroffener Personen hinsichtlich der Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679 zu reagieren. Diesbezüglich legen die Parteien in Anhang II die geeigneten technischen und organisatorischen Maßnahmen fest, unter Berücksichtigung der Art der Verarbeitung, durch die die Unterstützung zu leisten ist, sowie den Umfang und das Ausmaß der erforderlichen Unterstützung.
(c) Bei der Erfüllung seiner Pflichten gemäß den Absätzen (a) und (b) hat der Datenimporteur die Anweisungen des Datenexporteurs zu befolgen.(c) Bei der Erfüllung seiner Pflichten gemäß den Absätzen (a) und (b) hat der Datenimporteur die Anweisungen des Datenexporteurs zu befolgen.
MODUL DREI: Übermittlung Auftragsverarbeiter an AuftragsverarbeiterMODUL DREI: Übermittlung Auftragsverarbeiter an Auftragsverarbeiter
(a) Der Datenimporteur benachrichtigt unverzüglich den Datenexporteur und, gegebenenfalls, den Verantwortlichen über jeden Antrag, den er von einer betroffenen Person erhalten hat, ohne auf diesen Antrag zu antworten, es sei denn, er wurde vom Verantwortlichen dazu ermächtigt.(a) Der Datenimporteur benachrichtigt unverzüglich den Datenexporteur und, gegebenenfalls, den Verantwortlichen über jeden Antrag, den er von einer betroffenen Person erhalten hat, ohne auf diesen Antrag zu antworten, es sei denn, er wurde vom Verantwortlichen dazu ermächtigt.
(b) Der Datenimporteur unterstützt, gegebenenfalls in Zusammenarbeit mit dem Datenexporteur, den Verantwortlichen bei der Erfüllung seiner Pflichten, auf Anträge betroffener Personen zur Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725, je nachdem, welche anwendbar ist, zu reagieren. Diesbezüglich legen die Parteien in Anhang II die geeigneten technischen und organisatorischen Maßnahmen fest, unter Berücksichtigung der Art der Verarbeitung, durch die die Unterstützung geleistet wird, sowie den Umfang und das Ausmaß der erforderlichen Unterstützung.(b) Der Datenimporteur unterstützt, gegebenenfalls in Zusammenarbeit mit dem Datenexporteur, den Verantwortlichen bei der Erfüllung seiner Pflichten, auf Anträge betroffener Personen zur Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725, je nachdem, welche anwendbar ist, zu reagieren. Diesbezüglich legen die Parteien in Anhang II die geeigneten technischen und organisatorischen Maßnahmen fest, unter Berücksichtigung der Art der Verarbeitung, durch die die Unterstützung geleistet wird, sowie den Umfang und das Ausmaß der erforderlichen Unterstützung.
(c) Bei der Erfüllung seiner Pflichten gemäß den Absätzen a und b hat der Datenimporteur die Anweisungen des Verantwortlichen zu befolgen, wie sie vom Datenexporteur übermittelt wurden.(c) Bei der Erfüllung seiner Pflichten gemäß den Absätzen a und b hat der Datenimporteur die Anweisungen des Verantwortlichen zu befolgen, wie sie vom Datenexporteur übermittelt wurden.
MODUL VIER: Übermittlung Auftragsverarbeiter an VerantwortlichenMODUL VIER: Übermittlung Auftragsverarbeiter an Verantwortlichen
Die Parteien unterstützen sich gegenseitig bei der Beantwortung von Anfragen und Anträgen betroffener Personen nach dem für den Datenimporteur geltenden lokalen Recht oder, bei Datenverarbeitung durch den Datenexporteur in der EU, nach der Verordnung (EU) 2016/679.Die Parteien unterstützen sich gegenseitig bei der Beantwortung von Anfragen und Anträgen betroffener Personen nach dem für den Datenimporteur geltenden lokalen Recht oder, bei Datenverarbeitung durch den Datenexporteur in der EU, nach der Verordnung (EU) 2016/679.
Klausel 10 – Rechte der betroffenen PersonKlausel 10 – Rechte der betroffenen Person
MODUL EINS: Übermittlung Verantwortlicher an VerantwortlichenMODUL EINS: Übermittlung Verantwortlicher an Verantwortlichen
(a) Der Datenimporteur bearbeitet, gegebenenfalls mit Unterstützung des Datenexporteurs, alle Anfragen und Anträge, die er von einer betroffenen Person erhält und die sich auf die Verarbeitung ihrer personenbezogenen Daten und die Ausübung ihrer Rechte gemäß diesen Klauseln beziehen, unverzüglich und spätestens innerhalb eines Monats nach Eingang der Anfrage oder des Antrags. (10) Der Datenimporteur trifft geeignete Maßnahmen, um solche Anfragen, Anträge und die Ausübung der Rechte der betroffenen Person zu erleichtern. Alle Informationen, die der betroffenen Person zur Verfügung gestellt werden, müssen in verständlicher und leicht zugänglicher Form, in klarer und einfacher Sprache übermittelt werden.(a) Der Datenimporteur bearbeitet, gegebenenfalls mit Unterstützung des Datenexporteurs, alle Anfragen und Anträge, die er von einer betroffenen Person erhält und die sich auf die Verarbeitung ihrer personenbezogenen Daten und die Ausübung ihrer Rechte gemäß diesen Klauseln beziehen, unverzüglich und spätestens innerhalb eines Monats nach Eingang der Anfrage oder des Antrags. (10) Der Datenimporteur trifft geeignete Maßnahmen, um solche Anfragen, Anträge und die Ausübung der Rechte der betroffenen Person zu erleichtern. Alle Informationen, die der betroffenen Person zur Verfügung gestellt werden, müssen in verständlicher und leicht zugänglicher Form, in klarer und einfacher Sprache übermittelt werden.
(b) Insbesondere hat der Datenimporteur auf Antrag der betroffenen Person unentgeltlich:(b) Insbesondere hat der Datenimporteur auf Antrag der betroffenen Person unentgeltlich:
(i) der betroffenen Person eine Bestätigung darüber geben, ob personenbezogene Daten, die sie betreffen, verarbeitet werden, und, falls dies der Fall ist, eine Kopie der sie betreffenden Daten und die Informationen in Anhang I; wenn personenbezogene Daten weiterübermittelt wurden oder werden, Informationen über Empfänger oder Kategorien von Empfängern (gegebenenfalls im Hinblick auf die Bereitstellung aussagekräftiger Informationen), an die die personenbezogenen Daten weiterübermittelt wurden oder werden, den Zweck solcher Weiterübermittlungen und deren Grundlage gemäß Klausel 8.7 bereitstellen; und Informationen über das Recht, gemäß Klausel 12 Buchstabe c Ziffer i Beschwerde bei einer Aufsichtsbehörde einzulegen;(i) der betroffenen Person eine Bestätigung darüber geben, ob personenbezogene Daten, die sie betreffen, verarbeitet werden, und, falls dies der Fall ist, eine Kopie der sie betreffenden Daten und die Informationen in Anhang I; wenn personenbezogene Daten weiterübermittelt wurden oder werden, Informationen über Empfänger oder Kategorien von Empfängern (gegebenenfalls im Hinblick auf die Bereitstellung aussagekräftiger Informationen), an die die personenbezogenen Daten weiterübermittelt wurden oder werden, den Zweck solcher Weiterübermittlungen und deren Grundlage gemäß Klausel 8.7 bereitstellen; und Informationen über das Recht, gemäß Klausel 12 Buchstabe c Ziffer i Beschwerde bei einer Aufsichtsbehörde einzulegen;
(ii) unrichtige oder unvollständige Daten, die die betroffene Person betreffen, berichtigen;(ii) unrichtige oder unvollständige Daten, die die betroffene Person betreffen, berichtigen;
(iii) personenbezogene Daten der betroffenen Person löschen, wenn diese Daten unter Verstoß gegen eine dieser Klauseln, die Rechte Dritter als Begünstigte sicherstellen, verarbeitet werden oder wurden oder wenn die betroffene Person die Einwilligung widerruft, auf der die Verarbeitung beruht.(iii) personenbezogene Daten der betroffenen Person löschen, wenn diese Daten unter Verstoß gegen eine dieser Klauseln, die Rechte Dritter als Begünstigte sicherstellen, verarbeitet werden oder wurden oder wenn die betroffene Person die Einwilligung widerruft, auf der die Verarbeitung beruht.
(c) Verarbeitet der Datenimporteur die personenbezogenen Daten für Direktmarketingzwecke, stellt er die Verarbeitung für solche Zwecke ein, wenn die betroffene Person Widerspruch einlegt.(c) Verarbeitet der Datenimporteur die personenbezogenen Daten für Direktmarketingzwecke, stellt er die Verarbeitung für solche Zwecke ein, wenn die betroffene Person Widerspruch einlegt.
(d) Der Datenimporteur darf keine Entscheidung treffen, die ausschließlich auf der automatisierten Verarbeitung der übermittelten personenbezogenen Daten (im Folgenden „automatisierte Entscheidung“) beruht und die rechtliche Wirkung gegenüber der betroffenen Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, es sei denn, die betroffene Person hat ausdrücklich eingewilligt oder dies ist nach den Gesetzen des Bestimmungslandes zulässig, sofern diese Gesetze geeignete Maßnahmen vorsehen, um die Rechte und berechtigten Interessen der betroffenen Person zu schützen. In diesem Fall hat der Datenimporteur, erforderlichenfalls in Zusammenarbeit mit dem Datenexporteur:(d) Der Datenimporteur darf keine Entscheidung treffen, die ausschließlich auf der automatisierten Verarbeitung der übermittelten personenbezogenen Daten (im Folgenden „automatisierte Entscheidung“) beruht und die rechtliche Wirkung gegenüber der betroffenen Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, es sei denn, die betroffene Person hat ausdrücklich eingewilligt oder dies ist nach den Gesetzen des Bestimmungslandes zulässig, sofern diese Gesetze geeignete Maßnahmen vorsehen, um die Rechte und berechtigten Interessen der betroffenen Person zu schützen. In diesem Fall hat der Datenimporteur, erforderlichenfalls in Zusammenarbeit mit dem Datenexporteur:
(i) die betroffene Person über die beabsichtigte automatisierte Entscheidung, die beabsichtigten Folgen und die involvierte Logik informieren; und(i) die betroffene Person über die beabsichtigte automatisierte Entscheidung, die beabsichtigten Folgen und die involvierte Logik informieren; und
(ii) geeignete Schutzmaßnahmen umsetzen, zumindest indem die betroffene Person in die Lage versetzt wird, die Entscheidung anzufechten, ihren Standpunkt darzulegen und eine Überprüfung durch einen Menschen zu erwirken.(ii) geeignete Schutzmaßnahmen umsetzen, zumindest indem die betroffene Person in die Lage versetzt wird, die Entscheidung anzufechten, ihren Standpunkt darzulegen und eine Überprüfung durch einen Menschen zu erwirken.
(e) Sind Anträge einer betroffenen Person exzessiv, insbesondere wegen ihres wiederholten Charakters, kann der Datenimporteur entweder eine angemessene Gebühr unter Berücksichtigung der Verwaltungskosten für die Bearbeitung des Antrags erheben oder die Bearbeitung des Antrags verweigern.(e) Sind Anträge einer betroffenen Person exzessiv, insbesondere wegen ihres wiederholten Charakters, kann der Datenimporteur entweder eine angemessene Gebühr unter Berücksichtigung der Verwaltungskosten für die Bearbeitung des Antrags erheben oder die Bearbeitung des Antrags verweigern.
(f) Der Datenimporteur kann einen Antrag der betroffenen Person ablehnen, wenn eine solche Ablehnung nach den Gesetzen des Bestimmungslandes zulässig und in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 genannten Ziele zu schützen.(f) Der Datenimporteur kann einen Antrag der betroffenen Person ablehnen, wenn eine solche Ablehnung nach den Gesetzen des Bestimmungslandes zulässig und in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 genannten Ziele zu schützen.
(g) Beabsichtigt der Datenimporteur, einen Antrag der betroffenen Person abzulehnen, so unterrichtet er die betroffene Person über die Gründe für die Ablehnung und die Möglichkeit, Beschwerde bei der zuständigen Aufsichtsbehörde einzulegen und/oder gerichtlichen Rechtsschutz zu suchen.(g) Beabsichtigt der Datenimporteur, einen Antrag der betroffenen Person abzulehnen, so unterrichtet er die betroffene Person über die Gründe für die Ablehnung und die Möglichkeit, Beschwerde bei der zuständigen Aufsichtsbehörde einzulegen und/oder gerichtlichen Rechtsschutz zu suchen.
MODUL ZWEI: Übermittlung von Verantwortlichem zu AuftragsverarbeiterMODUL ZWEI: Übermittlung von Verantwortlichem zu Auftragsverarbeiter
(a) Der Datenimporteur benachrichtigt den Datenexporteur unverzüglich über jede Anfrage, die er von einer betroffenen Person erhalten hat. Er darf diese Anfrage nicht selbst beantworten, es sei denn, er wurde vom Datenexporteur dazu ermächtigt.(a) Der Datenimporteur benachrichtigt den Datenexporteur unverzüglich über jede Anfrage, die er von einer betroffenen Person erhalten hat. Er darf diese Anfrage nicht selbst beantworten, es sei denn, er wurde vom Datenexporteur dazu ermächtigt.
(b) Der Datenimporteur unterstützt den Datenexporteur bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen betroffener Personen auf Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679. Diesbezüglich legen die Parteien in Anhang II die geeigneten technischen und organisatorischen Maßnahmen fest, unter Berücksichtigung der Art der Verarbeitung, durch die die Unterstützung geleistet wird, sowie den Umfang und das Ausmaß der erforderlichen Unterstützung.(b) Der Datenimporteur unterstützt den Datenexporteur bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen betroffener Personen auf Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679. Diesbezüglich legen die Parteien in Anhang II die geeigneten technischen und organisatorischen Maßnahmen fest, unter Berücksichtigung der Art der Verarbeitung, durch die die Unterstützung geleistet wird, sowie den Umfang und das Ausmaß der erforderlichen Unterstützung.
(c) Bei der Erfüllung seiner Pflichten gemäß den Absätzen (a) und (b) hat der Datenimporteur die Anweisungen des Datenexporteurs zu befolgen.(c) Bei der Erfüllung seiner Pflichten gemäß den Absätzen (a) und (b) hat der Datenimporteur die Anweisungen des Datenexporteurs zu befolgen.
MODUL DREI: Übermittlung von Auftragsverarbeiter zu AuftragsverarbeiterMODUL DREI: Übermittlung von Auftragsverarbeiter zu Auftragsverarbeiter
(a) Der Datenimporteur benachrichtigt den Datenexporteur und gegebenenfalls den Verantwortlichen unverzüglich über jede Anfrage, die er von einer betroffenen Person erhalten hat, ohne auf diese Anfrage zu antworten, es sei denn, er wurde vom Verantwortlichen dazu ermächtigt.(a) Der Datenimporteur benachrichtigt den Datenexporteur und gegebenenfalls den Verantwortlichen unverzüglich über jede Anfrage, die er von einer betroffenen Person erhalten hat, ohne auf diese Anfrage zu antworten, es sei denn, er wurde vom Verantwortlichen dazu ermächtigt.
(b) Der Datenimporteur unterstützt, gegebenenfalls in Zusammenarbeit mit dem Datenexporteur, den Verantwortlichen bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen betroffener Personen auf Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725, je nach Anwendbarkeit. Diesbezüglich legen die Parteien in Anhang II die geeigneten technischen und organisatorischen Maßnahmen fest, unter Berücksichtigung der Art der Verarbeitung, durch die die Unterstützung geleistet wird, sowie den Umfang und das Ausmaß der erforderlichen Unterstützung.(b) Der Datenimporteur unterstützt, gegebenenfalls in Zusammenarbeit mit dem Datenexporteur, den Verantwortlichen bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen betroffener Personen auf Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725, je nach Anwendbarkeit. Diesbezüglich legen die Parteien in Anhang II die geeigneten technischen und organisatorischen Maßnahmen fest, unter Berücksichtigung der Art der Verarbeitung, durch die die Unterstützung geleistet wird, sowie den Umfang und das Ausmaß der erforderlichen Unterstützung.
(c) Bei der Erfüllung seiner Pflichten gemäß den Absätzen (a) und (b) hat der Datenimporteur die Anweisungen des Verantwortlichen, wie sie vom Datenexporteur übermittelt wurden, zu befolgen.(c) Bei der Erfüllung seiner Pflichten gemäß den Absätzen (a) und (b) hat der Datenimporteur die Anweisungen des Verantwortlichen, wie sie vom Datenexporteur übermittelt wurden, zu befolgen.
MODUL VIER: Übermittlung von Auftragsverarbeiter zu VerantwortlichemMODUL VIER: Übermittlung von Auftragsverarbeiter zu Verantwortlichem
Die Parteien unterstützen einander bei der Beantwortung von Anfragen und Anträgen betroffener Personen gemäß dem für den Datenimporteur geltenden lokalen Recht oder, bei Datenverarbeitung durch den Datenexporteur in der EU, gemäß der Verordnung (EU) 2016/679.Die Parteien unterstützen einander bei der Beantwortung von Anfragen und Anträgen betroffener Personen gemäß dem für den Datenimporteur geltenden lokalen Recht oder, bei Datenverarbeitung durch den Datenexporteur in der EU, gemäß der Verordnung (EU) 2016/679.
Klausel 11 – RechtsbehelfeKlausel 11 – Rechtsbehelfe
(a) Der Datenimporteur informiert die betroffenen Personen in einem transparenten und leicht zugänglichen Format, durch individuelle Mitteilung oder auf seiner Website, über eine Kontaktstelle, die zur Bearbeitung von Beschwerden befugt ist. Er bearbeitet alle Beschwerden, die er von einer betroffenen Person erhält, unverzüglich.(a) Der Datenimporteur informiert die betroffenen Personen in einem transparenten und leicht zugänglichen Format, durch individuelle Mitteilung oder auf seiner Website, über eine Kontaktstelle, die zur Bearbeitung von Beschwerden befugt ist. Er bearbeitet alle Beschwerden, die er von einer betroffenen Person erhält, unverzüglich.
MODUL EINS: Übermittlung von Verantwortlichem zu VerantwortlichemMODUL EINS: Übermittlung von Verantwortlichem zu Verantwortlichem
MODUL ZWEI: Übermittlung von Verantwortlichem zu AuftragsverarbeiterMODUL ZWEI: Übermittlung von Verantwortlichem zu Auftragsverarbeiter
MODUL DREI: Übermittlung von Auftragsverarbeiter zu AuftragsverarbeiterMODUL DREI: Übermittlung von Auftragsverarbeiter zu Auftragsverarbeiter
(b) Im Falle eines Rechtsstreits zwischen einer betroffenen Person und einer der Parteien bezüglich der Einhaltung dieser Klauseln wird die betreffende Partei alle Anstrengungen unternehmen, um die Angelegenheit gütlich und zeitnah beizulegen. Die Parteien halten einander über solche Streitigkeiten auf dem Laufenden und arbeiten gegebenenfalls bei deren Beilegung zusammen.(b) Im Falle eines Rechtsstreits zwischen einer betroffenen Person und einer der Parteien bezüglich der Einhaltung dieser Klauseln wird die betreffende Partei alle Anstrengungen unternehmen, um die Angelegenheit gütlich und zeitnah beizulegen. Die Parteien halten einander über solche Streitigkeiten auf dem Laufenden und arbeiten gegebenenfalls bei deren Beilegung zusammen.
(c) Beruft sich die betroffene Person auf ein Drittbegünstigtenrecht gemäß Klausel 3, so hat der Datenimporteur die Entscheidung der betroffenen Person zu akzeptieren, zu:(c) Beruft sich die betroffene Person auf ein Drittbegünstigtenrecht gemäß Klausel 3, so hat der Datenimporteur die Entscheidung der betroffenen Person zu akzeptieren, zu:
(i) eine Beschwerde bei der Aufsichtsbehörde in dem Mitgliedstaat seines/ihres gewöhnlichen Aufenthalts oder Arbeitsplatzes oder bei der zuständigen Aufsichtsbehörde gemäß Klausel 13 einreichen;(i) eine Beschwerde bei der Aufsichtsbehörde in dem Mitgliedstaat seines/ihres gewöhnlichen Aufenthalts oder Arbeitsplatzes oder bei der zuständigen Aufsichtsbehörde gemäß Klausel 13 einreichen;
(ii) den Streitfall an die zuständigen Gerichte im Sinne von Klausel 18 verweisen.(ii) den Streitfall an die zuständigen Gerichte im Sinne von Klausel 18 verweisen.
(d) Die Parteien akzeptieren, dass die betroffene Person von einer gemeinnützigen Einrichtung, Organisation oder Vereinigung unter den in Artikel 80 Absatz 1 der Verordnung (EU) 2016/679 festgelegten Bedingungen vertreten werden kann.(d) Die Parteien akzeptieren, dass die betroffene Person von einer gemeinnützigen Einrichtung, Organisation oder Vereinigung unter den in Artikel 80 Absatz 1 der Verordnung (EU) 2016/679 festgelegten Bedingungen vertreten werden kann.
(e) Der Datenimporteur hält sich an eine Entscheidung, die nach dem anwendbaren Recht der EU oder eines Mitgliedstaats bindend ist.(e) Der Datenimporteur hält sich an eine Entscheidung, die nach dem anwendbaren Recht der EU oder eines Mitgliedstaats bindend ist.
(f) Der Datenimporteur erklärt sich damit einverstanden, dass die von der betroffenen Person getroffene Wahl ihre materiellen und verfahrensrechtlichen Rechte auf Rechtsbehelfe gemäß den geltenden Gesetzen nicht beeinträchtigt.(f) Der Datenimporteur erklärt sich damit einverstanden, dass die von der betroffenen Person getroffene Wahl ihre materiellen und verfahrensrechtlichen Rechte auf Rechtsbehelfe gemäß den geltenden Gesetzen nicht beeinträchtigt.
Klausel 12 – HaftungKlausel 12 – Haftung
MODUL EINS: Übermittlung von Verantwortlichem zu VerantwortlichemMODUL EINS: Übermittlung von Verantwortlichem zu Verantwortlichem
MODUL VIER: Übermittlung von Auftragsverarbeiter zu VerantwortlichemMODUL VIER: Übermittlung von Auftragsverarbeiter zu Verantwortlichem
(a) Jede Partei haftet der/den anderen Partei/en für alle Schäden, die sie der/den anderen Partei/en durch einen Verstoß gegen diese Klauseln zufügt.(a) Jede Partei haftet der/den anderen Partei/en für alle Schäden, die sie der/den anderen Partei/en durch einen Verstoß gegen diese Klauseln zufügt.
(b) Jede Partei haftet gegenüber der betroffenen Person, und die betroffene Person ist berechtigt, eine Entschädigung für alle materiellen oder immateriellen Schäden zu erhalten, die die Partei der betroffenen Person durch Verletzung der Rechte Dritter aus diesen Klauseln zufügt. Dies lässt die Haftung des Datenexporteurs gemäß der Verordnung (EU) 2016/679 unberührt.(b) Jede Partei haftet gegenüber der betroffenen Person, und die betroffene Person ist berechtigt, eine Entschädigung für alle materiellen oder immateriellen Schäden zu erhalten, die die Partei der betroffenen Person durch Verletzung der Rechte Dritter aus diesen Klauseln zufügt. Dies lässt die Haftung des Datenexporteurs gemäß der Verordnung (EU) 2016/679 unberührt.
(c) Sind mehrere Parteien für einen Schaden verantwortlich, der der betroffenen Person infolge eines Verstoßes gegen diese Klauseln entstanden ist, so haften alle verantwortlichen Parteien gesamtschuldnerisch, und die betroffene Person ist berechtigt, gegen jede dieser Parteien Klage zu erheben.(c) Sind mehrere Parteien für einen Schaden verantwortlich, der der betroffenen Person infolge eines Verstoßes gegen diese Klauseln entstanden ist, so haften alle verantwortlichen Parteien gesamtschuldnerisch, und die betroffene Person ist berechtigt, gegen jede dieser Parteien Klage zu erheben.
(d) Die Parteien vereinbaren, dass, wenn eine Partei gemäß Absatz (c) haftbar gemacht wird, sie berechtigt ist, von der/den anderen Partei/en den Teil der Entschädigung zurückzufordern, der ihrer/deren Verantwortung für den Schaden entspricht.(d) Die Parteien vereinbaren, dass, wenn eine Partei gemäß Absatz (c) haftbar gemacht wird, sie berechtigt ist, von der/den anderen Partei/en den Teil der Entschädigung zurückzufordern, der ihrer/deren Verantwortung für den Schaden entspricht.
(e) Der Datenimporteur kann sich nicht auf das Verhalten eines Auftragsverarbeiters oder Unterauftragsverarbeiters berufen, um seine eigene Haftung zu vermeiden.(e) Der Datenimporteur kann sich nicht auf das Verhalten eines Auftragsverarbeiters oder Unterauftragsverarbeiters berufen, um seine eigene Haftung zu vermeiden.
MODUL ZWEI: Übermittlung von Verantwortlichem zu AuftragsverarbeiterMODUL ZWEI: Übermittlung von Verantwortlichem zu Auftragsverarbeiter
MODUL DREI: Übermittlung von Auftragsverarbeiter zu AuftragsverarbeiterMODUL DREI: Übermittlung von Auftragsverarbeiter zu Auftragsverarbeiter
(a) Jede Partei haftet der/den anderen Partei/en für alle Schäden, die sie der/den anderen Partei/en durch einen Verstoß gegen diese Klauseln zufügt.(a) Jede Partei haftet der/den anderen Partei/en für alle Schäden, die sie der/den anderen Partei/en durch einen Verstoß gegen diese Klauseln zufügt.
(b) Der Datenimporteur haftet gegenüber der betroffenen Person, und die betroffene Person ist berechtigt, eine Entschädigung für alle materiellen oder immateriellen Schäden zu erhalten, die der Datenimporteur oder dessen Unterauftragsverarbeiter der betroffenen Person durch Verletzung der Rechte Dritter aus diesen Klauseln zufügt.(b) Der Datenimporteur haftet gegenüber der betroffenen Person, und die betroffene Person ist berechtigt, eine Entschädigung für alle materiellen oder immateriellen Schäden zu erhalten, die der Datenimporteur oder dessen Unterauftragsverarbeiter der betroffenen Person durch Verletzung der Rechte Dritter aus diesen Klauseln zufügt.
(c) Ungeachtet des Absatzes (b) haftet der Datenexporteur gegenüber der betroffenen Person, und die betroffene Person ist berechtigt, eine Entschädigung für alle materiellen oder immateriellen Schäden zu erhalten, die der Datenexporteur oder der Datenimporteur (oder dessen Unterauftragsverarbeiter) der betroffenen Person durch Verletzung der Rechte Dritter aus diesen Klauseln zufügt. Dies lässt die Haftung des Datenexporteurs und, sofern der Datenexporteur ein im Auftrag eines Verantwortlichen handelnder Auftragsverarbeiter ist, die Haftung des Verantwortlichen gemäß der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725, je nach Anwendbarkeit, unberührt.(c) Ungeachtet des Absatzes (b) haftet der Datenexporteur gegenüber der betroffenen Person, und die betroffene Person ist berechtigt, eine Entschädigung für alle materiellen oder immateriellen Schäden zu erhalten, die der Datenexporteur oder der Datenimporteur (oder dessen Unterauftragsverarbeiter) der betroffenen Person durch Verletzung der Rechte Dritter aus diesen Klauseln zufügt. Dies lässt die Haftung des Datenexporteurs und, sofern der Datenexporteur ein im Auftrag eines Verantwortlichen handelnder Auftragsverarbeiter ist, die Haftung des Verantwortlichen gemäß der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725, je nach Anwendbarkeit, unberührt.
(d) Die Parteien vereinbaren, dass, wenn der Datenexporteur gemäß Absatz (c) für Schäden haftbar gemacht wird, die durch den Datenimporteur (oder dessen Unterauftragsverarbeiter) verursacht wurden, er berechtigt ist, von dem Datenimporteur den Teil der Entschädigung zurückzufordern, der der Verantwortung des Datenimporteurs für den Schaden entspricht.(d) Die Parteien vereinbaren, dass, wenn der Datenexporteur gemäß Absatz (c) für Schäden haftbar gemacht wird, die durch den Datenimporteur (oder dessen Unterauftragsverarbeiter) verursacht wurden, er berechtigt ist, von dem Datenimporteur den Teil der Entschädigung zurückzufordern, der der Verantwortung des Datenimporteurs für den Schaden entspricht.
(e) Sind mehrere Parteien für einen Schaden verantwortlich, der der betroffenen Person infolge eines Verstoßes gegen diese Klauseln entstanden ist, so haften alle verantwortlichen Parteien gesamtschuldnerisch, und die betroffene Person ist berechtigt, gegen jede dieser Parteien Klage zu erheben.(e) Sind mehrere Parteien für einen Schaden verantwortlich, der der betroffenen Person infolge eines Verstoßes gegen diese Klauseln entstanden ist, so haften alle verantwortlichen Parteien gesamtschuldnerisch, und die betroffene Person ist berechtigt, gegen jede dieser Parteien Klage zu erheben.
(f) Die Parteien vereinbaren, dass, wenn eine Partei gemäß Absatz (e) haftbar gemacht wird, sie berechtigt ist, von der/den anderen Partei/en den Teil der Entschädigung zurückzufordern, der ihrer/deren Verantwortung für den Schaden entspricht.(f) Die Parteien vereinbaren, dass, wenn eine Partei gemäß Absatz (e) haftbar gemacht wird, sie berechtigt ist, von der/den anderen Partei/en den Teil der Entschädigung zurückzufordern, der ihrer/deren Verantwortung für den Schaden entspricht.
(g) Der Datenimporteur kann sich nicht auf das Verhalten eines Unterauftragsverarbeiters berufen, um seine eigene Haftung zu vermeiden.(g) Der Datenimporteur kann sich nicht auf das Verhalten eines Unterauftragsverarbeiters berufen, um seine eigene Haftung zu vermeiden.
Klausel 13 – AufsichtKlausel 13 – Aufsicht
MODUL EINS: Übermittlung vom Verantwortlichen an den VerantwortlichenMODUL EINS: Übermittlung vom Verantwortlichen an den Verantwortlichen
MODUL ZWEI: Übermittlung vom Verantwortlichen an den AuftragsverarbeiterMODUL ZWEI: Übermittlung vom Verantwortlichen an den Auftragsverarbeiter
MODUL DREI: Übermittlung vom Auftragsverarbeiter an den AuftragsverarbeiterMODUL DREI: Übermittlung vom Auftragsverarbeiter an den Auftragsverarbeiter
(a) Wenn der Datenexporteur in einem EU-Mitgliedstaat niedergelassen ist: Die Aufsichtsbehörde, die für die Sicherstellung der Einhaltung der Verordnung (EU) 2016/679 durch den Datenexporteur in Bezug auf die Datenübermittlung zuständig ist, wie in Anhang I.C angegeben, fungiert als zuständige Aufsichtsbehörde.(a) Wenn der Datenexporteur in einem EU-Mitgliedstaat niedergelassen ist: Die Aufsichtsbehörde, die für die Sicherstellung der Einhaltung der Verordnung (EU) 2016/679 durch den Datenexporteur in Bezug auf die Datenübermittlung zuständig ist, wie in Anhang I.C angegeben, fungiert als zuständige Aufsichtsbehörde.
(b) Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen ist, aber in den territorialen Anwendungsbereich der Verordnung (EU) 2016/679 gemäß deren Artikel 3 Absatz 2 fällt und einen Vertreter gemäß Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 benannt hat: Die Aufsichtsbehörde des Mitgliedstaats, in dem der Vertreter im Sinne von Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 niedergelassen ist, wie in Anhang I.C angegeben, fungiert als zuständige Aufsichtsbehörde.(b) Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen ist, aber in den territorialen Anwendungsbereich der Verordnung (EU) 2016/679 gemäß deren Artikel 3 Absatz 2 fällt und einen Vertreter gemäß Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 benannt hat: Die Aufsichtsbehörde des Mitgliedstaats, in dem der Vertreter im Sinne von Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 niedergelassen ist, wie in Anhang I.C angegeben, fungiert als zuständige Aufsichtsbehörde.
(c) Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen ist, aber in den territorialen Anwendungsbereich der Verordnung (EU) 2016/679 gemäß deren Artikel 3 Absatz 2 fällt, ohne jedoch einen Vertreter gemäß Artikel 27 Absatz 2 der Verordnung (EU) 2016/679 benennen zu müssen: Die Aufsichtsbehörde eines der Mitgliedstaaten, in denen sich die betroffenen Personen befinden, deren personenbezogene Daten gemäß diesen Klauseln im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an sie übermittelt werden oder deren Verhalten überwacht wird, wie in Anhang I.C angegeben, fungiert als zuständige Aufsichtsbehörde.(c) Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen ist, aber in den territorialen Anwendungsbereich der Verordnung (EU) 2016/679 gemäß deren Artikel 3 Absatz 2 fällt, ohne jedoch einen Vertreter gemäß Artikel 27 Absatz 2 der Verordnung (EU) 2016/679 benennen zu müssen: Die Aufsichtsbehörde eines der Mitgliedstaaten, in denen sich die betroffenen Personen befinden, deren personenbezogene Daten gemäß diesen Klauseln im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an sie übermittelt werden oder deren Verhalten überwacht wird, wie in Anhang I.C angegeben, fungiert als zuständige Aufsichtsbehörde.
(b) Der Datenimporteur erklärt sich bereit, sich der Zuständigkeit der zuständigen Aufsichtsbehörde zu unterwerfen und mit ihr in allen Verfahren zusammenzuarbeiten, die darauf abzielen, die Einhaltung dieser Klauseln sicherzustellen. Insbesondere erklärt sich der Datenimporteur bereit, auf Anfragen zu antworten, sich Prüfungen zu unterziehen und die von der Aufsichtsbehörde ergriffenen Maßnahmen, einschließlich Abhilfemaßnahmen und Ausgleichsmaßnahmen, einzuhalten. Er hat der Aufsichtsbehörde eine schriftliche Bestätigung vorzulegen, dass die erforderlichen Maßnahmen ergriffen wurden.(b) Der Datenimporteur erklärt sich bereit, sich der Zuständigkeit der zuständigen Aufsichtsbehörde zu unterwerfen und mit ihr in allen Verfahren zusammenzuarbeiten, die darauf abzielen, die Einhaltung dieser Klauseln sicherzustellen. Insbesondere erklärt sich der Datenimporteur bereit, auf Anfragen zu antworten, sich Prüfungen zu unterziehen und die von der Aufsichtsbehörde ergriffenen Maßnahmen, einschließlich Abhilfemaßnahmen und Ausgleichsmaßnahmen, einzuhalten. Er hat der Aufsichtsbehörde eine schriftliche Bestätigung vorzulegen, dass die erforderlichen Maßnahmen ergriffen wurden.
ABSCHNITT III – LOKALE GESETZE UND PFLICHTEN IM FALLE DES ZUGRIFFS DURCH BEHÖRDENABSCHNITT III – LOKALE GESETZE UND PFLICHTEN IM FALLE DES ZUGRIFFS DURCH BEHÖRDEN
Klausel 14 – Lokale Gesetze und Praktiken, die die Einhaltung der Klauseln beeinträchtigenKlausel 14 – Lokale Gesetze und Praktiken, die die Einhaltung der Klauseln beeinträchtigen
MODUL EINS: Übermittlung vom Verantwortlichen an den VerantwortlichenMODUL EINS: Übermittlung vom Verantwortlichen an den Verantwortlichen
MODUL ZWEI: Übermittlung vom Verantwortlichen an den AuftragsverarbeiterMODUL ZWEI: Übermittlung vom Verantwortlichen an den Auftragsverarbeiter
MODUL DREI: Übermittlung vom Auftragsverarbeiter an den AuftragsverarbeiterMODUL DREI: Übermittlung vom Auftragsverarbeiter an den Auftragsverarbeiter
MODUL VIER: Übermittlung vom Auftragsverarbeiter an den Verantwortlichen (wenn der EU-Auftragsverarbeiter die vom Verantwortlichen aus dem Drittland erhaltenen personenbezogenen Daten mit den vom Auftragsverarbeiter in der EU erhobenen personenbezogenen Daten kombiniert)MODUL VIER: Übermittlung vom Auftragsverarbeiter an den Verantwortlichen (wenn der EU-Auftragsverarbeiter die vom Verantwortlichen aus dem Drittland erhaltenen personenbezogenen Daten mit den vom Auftragsverarbeiter in der EU erhobenen personenbezogenen Daten kombiniert)
(a) Die Parteien gewährleisten, dass sie keinen Grund zu der Annahme haben, dass die Gesetze und Praktiken im Drittland des Bestimmungsortes, die für die Verarbeitung der personenbezogenen Daten durch den Datenimporteur gelten, einschließlich etwaiger Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die den Zugriff durch Behörden gestatten, den Datenimporteur daran hindern, seine Pflichten gemäß diesen Klauseln zu erfüllen. Dies basiert auf dem Verständnis, dass Gesetze und Praktiken, die das Wesen der Grundrechte und -freiheiten achten und nicht über das hinausgehen, was in einer demokratischen Gesellschaft zur Wahrung eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 genannten Ziele notwendig und verhältnismäßig ist, nicht im Widerspruch zu diesen Klauseln stehen.(a) Die Parteien gewährleisten, dass sie keinen Grund zu der Annahme haben, dass die Gesetze und Praktiken im Drittland des Bestimmungsortes, die für die Verarbeitung der personenbezogenen Daten durch den Datenimporteur gelten, einschließlich etwaiger Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die den Zugriff durch Behörden gestatten, den Datenimporteur daran hindern, seine Pflichten gemäß diesen Klauseln zu erfüllen. Dies basiert auf dem Verständnis, dass Gesetze und Praktiken, die das Wesen der Grundrechte und -freiheiten achten und nicht über das hinausgehen, was in einer demokratischen Gesellschaft zur Wahrung eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 genannten Ziele notwendig und verhältnismäßig ist, nicht im Widerspruch zu diesen Klauseln stehen.
(b) Die Parteien erklären, dass sie bei der Abgabe der Gewährleistung gemäß Absatz (a) insbesondere die folgenden Elemente gebührend berücksichtigt haben:(b) Die Parteien erklären, dass sie bei der Abgabe der Gewährleistung gemäß Absatz (a) insbesondere die folgenden Elemente gebührend berücksichtigt haben:
(i) die spezifischen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle; beabsichtigte Weiterübermittlungen; die Art des Empfängers; der Zweck der Verarbeitung; die Kategorien und das Format der übermittelten personenbezogenen Daten; der Wirtschaftszweig, in dem die Übermittlung erfolgt; der Speicherort der übermittelten Daten;(i) die spezifischen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle; beabsichtigte Weiterübermittlungen; die Art des Empfängers; der Zweck der Verarbeitung; die Kategorien und das Format der übermittelten personenbezogenen Daten; der Wirtschaftszweig, in dem die Übermittlung erfolgt; der Speicherort der übermittelten Daten;
(ii) die Gesetze und Praktiken des Drittlandes des Bestimmungsortes – einschließlich derjenigen, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugriff durch solche Behörden gestatten – die im Hinblick auf die spezifischen Umstände der Übermittlung relevant sind, sowie die anwendbaren Beschränkungen und Schutzmaßnahmen;(ii) die Gesetze und Praktiken des Drittlandes des Bestimmungsortes – einschließlich derjenigen, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugriff durch solche Behörden gestatten – die im Hinblick auf die spezifischen Umstände der Übermittlung relevant sind, sowie die anwendbaren Beschränkungen und Schutzmaßnahmen;
(iii) alle relevanten vertraglichen, technischen oder organisatorischen Schutzmaßnahmen, die zur Ergänzung der Schutzmaßnahmen gemäß diesen Klauseln getroffen wurden, einschließlich der Maßnahmen, die während der Übermittlung und bei der Verarbeitung der personenbezogenen Daten im Bestimmungsland angewendet werden.(iii) alle relevanten vertraglichen, technischen oder organisatorischen Schutzmaßnahmen, die zur Ergänzung der Schutzmaßnahmen gemäß diesen Klauseln getroffen wurden, einschließlich der Maßnahmen, die während der Übermittlung und bei der Verarbeitung der personenbezogenen Daten im Bestimmungsland angewendet werden.
(c) Der Datenimporteur gewährleistet, dass er bei der Durchführung der Bewertung gemäß Absatz (b) alle Anstrengungen unternommen hat, um dem Datenexporteur relevante Informationen zur Verfügung zu stellen, und erklärt sich bereit, weiterhin mit dem Datenexporteur zusammenzuarbeiten, um die Einhaltung dieser Klauseln sicherzustellen.(c) Der Datenimporteur gewährleistet, dass er bei der Durchführung der Bewertung gemäß Absatz (b) alle Anstrengungen unternommen hat, um dem Datenexporteur relevante Informationen zur Verfügung zu stellen, und erklärt sich bereit, weiterhin mit dem Datenexporteur zusammenzuarbeiten, um die Einhaltung dieser Klauseln sicherzustellen.
(d) Die Parteien vereinbaren, die Bewertung gemäß Absatz (b) zu dokumentieren und der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.(d) Die Parteien vereinbaren, die Bewertung gemäß Absatz (b) zu dokumentieren und der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
(e) Der Datenimporteur verpflichtet sich, den Datenexporteur unverzüglich zu benachrichtigen, wenn er, nachdem er diesen Klauseln zugestimmt hat und für die Dauer des Vertrags, Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterlegen ist, die nicht den Anforderungen gemäß Absatz (a) entsprechen, einschließlich nach einer Änderung der Gesetze des Drittlandes oder einer Maßnahme (wie einem Offenlegungsersuchen), die eine Anwendung solcher Gesetze in der Praxis anzeigt, die nicht den Anforderungen in Absatz (a) entspricht.(e) Der Datenimporteur verpflichtet sich, den Datenexporteur unverzüglich zu benachrichtigen, wenn er, nachdem er diesen Klauseln zugestimmt hat und für die Dauer des Vertrags, Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterlegen ist, die nicht den Anforderungen gemäß Absatz (a) entsprechen, einschließlich nach einer Änderung der Gesetze des Drittlandes oder einer Maßnahme (wie einem Offenlegungsersuchen), die eine Anwendung solcher Gesetze in der Praxis anzeigt, die nicht den Anforderungen in Absatz (a) entspricht.
(f) Nach einer Benachrichtigung gemäß Absatz (e) oder wenn der Datenexporteur anderweitig Grund zu der Annahme hat, dass der Datenimporteur seine Pflichten aus diesen Klauseln nicht mehr erfüllen kann, muss der Datenexporteur unverzüglich geeignete Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit) festlegen, die vom Datenexporteur und/oder Datenimporteur zur Behebung der Situation zu ergreifen sind. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Ansicht ist, dass keine angemessenen Garantien für eine solche Übermittlung gewährleistet werden können, oder wenn er von der zuständigen Aufsichtsbehörde dazu angewiesen wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft. Betrifft der Vertrag mehr als zwei Parteien, so kann der Datenexporteur dieses Kündigungsrecht nur in Bezug auf die betreffende Partei ausüben, es sei denn, die Parteien haben etwas anderes vereinbart. Wird der Vertrag gemäß dieser Klausel gekündigt, so gelten Klausel 16(d) und (e).(f) Nach einer Benachrichtigung gemäß Absatz (e) oder wenn der Datenexporteur anderweitig Grund zu der Annahme hat, dass der Datenimporteur seine Pflichten aus diesen Klauseln nicht mehr erfüllen kann, muss der Datenexporteur unverzüglich geeignete Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit) festlegen, die vom Datenexporteur und/oder Datenimporteur zur Behebung der Situation zu ergreifen sind. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Ansicht ist, dass keine angemessenen Garantien für eine solche Übermittlung gewährleistet werden können, oder wenn er von der zuständigen Aufsichtsbehörde dazu angewiesen wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft. Betrifft der Vertrag mehr als zwei Parteien, so kann der Datenexporteur dieses Kündigungsrecht nur in Bezug auf die betreffende Partei ausüben, es sei denn, die Parteien haben etwas anderes vereinbart. Wird der Vertrag gemäß dieser Klausel gekündigt, so gelten Klausel 16(d) und (e).
Klausel 15 – Pflichten des Datenimporteurs im Falle des Zugriffs durch öffentliche BehördenKlausel 15 – Pflichten des Datenimporteurs im Falle des Zugriffs durch öffentliche Behörden
MODUL EINS: Übermittlung von Verantwortlichem an VerantwortlichenMODUL EINS: Übermittlung von Verantwortlichem an Verantwortlichen
MODUL ZWEI: Übermittlung von Verantwortlichem an AuftragsverarbeiterMODUL ZWEI: Übermittlung von Verantwortlichem an Auftragsverarbeiter
MODUL DREI: Übermittlung von Auftragsverarbeiter an AuftragsverarbeiterMODUL DREI: Übermittlung von Auftragsverarbeiter an Auftragsverarbeiter
MODUL VIER: Übermittlung von Auftragsverarbeiter an Verantwortlichen (wenn der EU-Auftragsverarbeiter die vom Verantwortlichen aus dem Drittland erhaltenen personenbezogenen Daten mit den vom Auftragsverarbeiter in der EU erhobenen personenbezogenen Daten kombiniert)MODUL VIER: Übermittlung von Auftragsverarbeiter an Verantwortlichen (wenn der EU-Auftragsverarbeiter die vom Verantwortlichen aus dem Drittland erhaltenen personenbezogenen Daten mit den vom Auftragsverarbeiter in der EU erhobenen personenbezogenen Daten kombiniert)
15.1 Benachrichtigung15.1 Benachrichtigung
(a) Der Datenimporteur verpflichtet sich, den Datenexporteur und, wo möglich, die betroffene Person unverzüglich (falls erforderlich mit Hilfe des Datenexporteurs) zu benachrichtigen, wenn er:(a) Der Datenimporteur verpflichtet sich, den Datenexporteur und, wo möglich, die betroffene Person unverzüglich (falls erforderlich mit Hilfe des Datenexporteurs) zu benachrichtigen, wenn er:
(i) ein rechtlich bindendes Ersuchen einer öffentlichen Behörde, einschließlich Justizbehörden, nach den Gesetzen des Bestimmungslandes zur Offenlegung von personenbezogenen Daten erhält, die gemäß diesen Klauseln übermittelt wurden; diese Benachrichtigung muss Informationen über die angeforderten personenbezogenen Daten, die anfragende Behörde, die Rechtsgrundlage des Ersuchens und die erteilte Antwort enthalten; oder(i) ein rechtlich bindendes Ersuchen einer öffentlichen Behörde, einschließlich Justizbehörden, nach den Gesetzen des Bestimmungslandes zur Offenlegung von personenbezogenen Daten erhält, die gemäß diesen Klauseln übermittelt wurden; diese Benachrichtigung muss Informationen über die angeforderten personenbezogenen Daten, die anfragende Behörde, die Rechtsgrundlage des Ersuchens und die erteilte Antwort enthalten; oder
(ii) Kenntnis von einem direkten Zugriff öffentlicher Behörden auf personenbezogene Daten erlangt, die gemäß diesen Klauseln und in Übereinstimmung mit den Gesetzen des Bestimmungslandes übermittelt wurden; diese Benachrichtigung muss alle dem Importeur zur Verfügung stehenden Informationen enthalten.(ii) Kenntnis von einem direkten Zugriff öffentlicher Behörden auf personenbezogene Daten erlangt, die gemäß diesen Klauseln und in Übereinstimmung mit den Gesetzen des Bestimmungslandes übermittelt wurden; diese Benachrichtigung muss alle dem Importeur zur Verfügung stehenden Informationen enthalten.
(b) Ist dem Datenimporteur die Benachrichtigung des Datenexporteurs und/oder der betroffenen Person nach den Gesetzen des Bestimmungslandes untersagt, so verpflichtet sich der Datenimporteur, sich nach besten Kräften um eine Aufhebung des Verbots zu bemühen, um so viele Informationen wie möglich und so bald wie möglich mitzuteilen. Der Datenimporteur verpflichtet sich, seine Bemühungen zu dokumentieren, um sie auf Anfrage des Datenexporteurs nachweisen zu können.(b) Ist dem Datenimporteur die Benachrichtigung des Datenexporteurs und/oder der betroffenen Person nach den Gesetzen des Bestimmungslandes untersagt, so verpflichtet sich der Datenimporteur, sich nach besten Kräften um eine Aufhebung des Verbots zu bemühen, um so viele Informationen wie möglich und so bald wie möglich mitzuteilen. Der Datenimporteur verpflichtet sich, seine Bemühungen zu dokumentieren, um sie auf Anfrage des Datenexporteurs nachweisen zu können.
(c) Soweit nach den Gesetzen des Bestimmungslandes zulässig, verpflichtet sich der Datenimporteur, dem Datenexporteur in regelmäßigen Abständen für die Dauer des Vertrags so viele relevante Informationen wie möglich über die erhaltenen Ersuchen bereitzustellen (insbesondere Anzahl der Ersuchen, Art der angeforderten Daten, anfragende Behörde(n), ob Ersuchen angefochten wurden und das Ergebnis solcher Anfechtungen usw.).(c) Soweit nach den Gesetzen des Bestimmungslandes zulässig, verpflichtet sich der Datenimporteur, dem Datenexporteur in regelmäßigen Abständen für die Dauer des Vertrags so viele relevante Informationen wie möglich über die erhaltenen Ersuchen bereitzustellen (insbesondere Anzahl der Ersuchen, Art der angeforderten Daten, anfragende Behörde(n), ob Ersuchen angefochten wurden und das Ergebnis solcher Anfechtungen usw.).
(d) Der Datenimporteur verpflichtet sich, die Informationen gemäß den Absätzen (a) bis (c) für die Dauer des Vertrags aufzubewahren und sie auf Anfrage der zuständigen Aufsichtsbehörde zur Verfügung zu stellen.(d) Der Datenimporteur verpflichtet sich, die Informationen gemäß den Absätzen (a) bis (c) für die Dauer des Vertrags aufzubewahren und sie auf Anfrage der zuständigen Aufsichtsbehörde zur Verfügung zu stellen.
(e) Die Absätze (a) bis (c) lassen die Verpflichtung des Datenimporteurs gemäß Klausel 14(e) und Klausel 16 unberührt, den Datenexporteur unverzüglich zu informieren, wenn er diese Klauseln nicht einhalten kann.(e) Die Absätze (a) bis (c) lassen die Verpflichtung des Datenimporteurs gemäß Klausel 14(e) und Klausel 16 unberührt, den Datenexporteur unverzüglich zu informieren, wenn er diese Klauseln nicht einhalten kann.
15.2 Prüfung der Rechtmäßigkeit und Datenminimierung15.2 Prüfung der Rechtmäßigkeit und Datenminimierung
(a) Der Datenimporteur verpflichtet sich, die Rechtmäßigkeit des Offenlegungsersuchens zu prüfen, insbesondere ob es im Rahmen der der anfragenden Behörde gewährten Befugnisse liegt, und das Ersuchen anzufechten, wenn er nach sorgfältiger Prüfung zu dem Schluss kommt, dass es begründete Anhaltspunkte dafür gibt, dass das Ersuchen nach den Gesetzen des Bestimmungslandes, den anwendbaren völkerrechtlichen Verpflichtungen und den Grundsätzen der internationalen Höflichkeit unrechtmäßig ist. Der Datenimporteur wird unter denselben Bedingungen Rechtsmittelmöglichkeiten verfolgen. Bei der Anfechtung eines Ersuchens beantragt der Datenimporteur einstweilige Maßnahmen, um die Wirkungen des Ersuchens auszusetzen, bis die zuständige Justizbehörde über dessen Begründetheit entschieden hat. Er darf die angeforderten personenbezogenen Daten erst offenlegen, wenn er dazu nach den anwendbaren Verfahrensregeln verpflichtet ist. Diese Anforderungen lassen die Pflichten des Datenimporteurs gemäß Klausel 14(e) unberührt.(a) Der Datenimporteur verpflichtet sich, die Rechtmäßigkeit des Offenlegungsersuchens zu prüfen, insbesondere ob es im Rahmen der der anfragenden Behörde gewährten Befugnisse liegt, und das Ersuchen anzufechten, wenn er nach sorgfältiger Prüfung zu dem Schluss kommt, dass es begründete Anhaltspunkte dafür gibt, dass das Ersuchen nach den Gesetzen des Bestimmungslandes, den anwendbaren völkerrechtlichen Verpflichtungen und den Grundsätzen der internationalen Höflichkeit unrechtmäßig ist. Der Datenimporteur wird unter denselben Bedingungen Rechtsmittelmöglichkeiten verfolgen. Bei der Anfechtung eines Ersuchens beantragt der Datenimporteur einstweilige Maßnahmen, um die Wirkungen des Ersuchens auszusetzen, bis die zuständige Justizbehörde über dessen Begründetheit entschieden hat. Er darf die angeforderten personenbezogenen Daten erst offenlegen, wenn er dazu nach den anwendbaren Verfahrensregeln verpflichtet ist. Diese Anforderungen lassen die Pflichten des Datenimporteurs gemäß Klausel 14(e) unberührt.
(b) Der Datenimporteur verpflichtet sich, seine rechtliche Bewertung und jeden Einspruch gegen das Offenlegungsersuchen zu dokumentieren und die Dokumentation dem Datenexporteur zur Verfügung zu stellen, soweit dies nach den Gesetzen des Bestimmungslandes zulässig ist. Er stellt sie auf Anfrage auch der zuständigen Aufsichtsbehörde zur Verfügung.(b) Der Datenimporteur verpflichtet sich, seine rechtliche Bewertung und jeden Einspruch gegen das Offenlegungsersuchen zu dokumentieren und die Dokumentation dem Datenexporteur zur Verfügung zu stellen, soweit dies nach den Gesetzen des Bestimmungslandes zulässig ist. Er stellt sie auf Anfrage auch der zuständigen Aufsichtsbehörde zur Verfügung.
(c) Der Datenimporteur verpflichtet sich, bei der Beantwortung eines Offenlegungsersuchens auf der Grundlage einer angemessenen Auslegung des Ersuchens die geringstmögliche Menge an zulässigen Informationen bereitzustellen.(c) Der Datenimporteur verpflichtet sich, bei der Beantwortung eines Offenlegungsersuchens auf der Grundlage einer angemessenen Auslegung des Ersuchens die geringstmögliche Menge an zulässigen Informationen bereitzustellen.
ABSCHNITT IV – SCHLUSSBESTIMMUNGENABSCHNITT IV – SCHLUSSBESTIMMUNGEN
Klausel 16 – Nichteinhaltung der Klauseln und KündigungKlausel 16 – Nichteinhaltung der Klauseln und Kündigung
(a) Der Datenimporteur informiert den Datenexporteur unverzüglich, wenn er aus irgendeinem Grund nicht in der Lage ist, diese Klauseln einzuhalten.(a) Der Datenimporteur informiert den Datenexporteur unverzüglich, wenn er aus irgendeinem Grund nicht in der Lage ist, diese Klauseln einzuhalten.
(b) Falls der Datenimporteur diese Klauseln verletzt oder nicht einhalten kann, setzt der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aus, bis die Einhaltung wieder sichergestellt ist oder der Vertrag gekündigt wird. Dies lässt Klausel 14 Buchstabe f unberührt.(b) Falls der Datenimporteur diese Klauseln verletzt oder nicht einhalten kann, setzt der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aus, bis die Einhaltung wieder sichergestellt ist oder der Vertrag gekündigt wird. Dies lässt Klausel 14 Buchstabe f unberührt.
(c) Der Datenexporteur ist berechtigt, den Vertrag, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, zu kündigen, wenn:(c) Der Datenexporteur ist berechtigt, den Vertrag, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, zu kündigen, wenn:
(i) der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Absatz (b) ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist und in jedem Fall innerhalb eines Monats nach der Aussetzung wiederhergestellt wird;(i) der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Absatz (b) ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist und in jedem Fall innerhalb eines Monats nach der Aussetzung wiederhergestellt wird;
(ii) der Datenimporteur diese Klauseln wesentlich oder dauerhaft verletzt; oder(ii) der Datenimporteur diese Klauseln wesentlich oder dauerhaft verletzt; oder
(iii) der Datenimporteur einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer Aufsichtsbehörde bezüglich seiner Pflichten aus diesen Klauseln nicht nachkommt. In diesen Fällen informiert er die zuständige Aufsichtsbehörde über diese Nichteinhaltung. Wenn der Vertrag mehr als zwei Parteien umfasst, kann der Datenexporteur dieses Kündigungsrecht nur in Bezug auf die betreffende Partei ausüben, es sei denn, die Parteien haben etwas anderes vereinbart.(iii) der Datenimporteur einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer Aufsichtsbehörde bezüglich seiner Pflichten aus diesen Klauseln nicht nachkommt. In diesen Fällen informiert er die zuständige Aufsichtsbehörde über diese Nichteinhaltung. Wenn der Vertrag mehr als zwei Parteien umfasst, kann der Datenexporteur dieses Kündigungsrecht nur in Bezug auf die betreffende Partei ausüben, es sei denn, die Parteien haben etwas anderes vereinbart.
(d) Für Modul Zwei: Personenbezogene Daten, die vor der Beendigung des Vertrags gemäß Absatz (c) übermittelt wurden, sind nach Wahl des Datenexporteurs unverzüglich an den Datenexporteur zurückzugeben oder vollständig zu löschen. Gleiches gilt für alle Kopien der Daten. Für Modul Vier: Personenbezogene Daten, die vom Datenexporteur in der EU erhoben und vor der Beendigung des Vertrags gemäß Absatz (c) übermittelt wurden, sind unverzüglich vollständig zu löschen, einschließlich aller Kopien davon. Der Datenimporteur bescheinigt dem Datenexporteur die Löschung der Daten. Bis zur Löschung oder Rückgabe der Daten stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Falls lokale Gesetze, die für den Datenimporteur gelten, die Rückgabe oder Löschung der übermittelten personenbezogenen Daten verbieten, gewährleistet der Datenimporteur, dass er die Einhaltung dieser Klauseln weiterhin sicherstellt und die Daten nur in dem Umfang und so lange verarbeitet, wie es nach diesem lokalen Gesetz erforderlich ist.(d) Für Modul Zwei: Personenbezogene Daten, die vor der Beendigung des Vertrags gemäß Absatz (c) übermittelt wurden, sind nach Wahl des Datenexporteurs unverzüglich an den Datenexporteur zurückzugeben oder vollständig zu löschen. Gleiches gilt für alle Kopien der Daten. Für Modul Vier: Personenbezogene Daten, die vom Datenexporteur in der EU erhoben und vor der Beendigung des Vertrags gemäß Absatz (c) übermittelt wurden, sind unverzüglich vollständig zu löschen, einschließlich aller Kopien davon. Der Datenimporteur bescheinigt dem Datenexporteur die Löschung der Daten. Bis zur Löschung oder Rückgabe der Daten stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Falls lokale Gesetze, die für den Datenimporteur gelten, die Rückgabe oder Löschung der übermittelten personenbezogenen Daten verbieten, gewährleistet der Datenimporteur, dass er die Einhaltung dieser Klauseln weiterhin sicherstellt und die Daten nur in dem Umfang und so lange verarbeitet, wie es nach diesem lokalen Gesetz erforderlich ist.
(e) Jede Partei kann ihre Zustimmung, an diese Klauseln gebunden zu sein, widerrufen, wenn (i) die Europäische Kommission einen Beschluss gemäß Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 erlässt, der die Übermittlung personenbezogener Daten, für die diese Klauseln gelten, abdeckt; oder(e) Jede Partei kann ihre Zustimmung, an diese Klauseln gebunden zu sein, widerrufen, wenn (i) die Europäische Kommission einen Beschluss gemäß Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 erlässt, der die Übermittlung personenbezogener Daten, für die diese Klauseln gelten, abdeckt; oder
(ii) die Verordnung (EU) 2016/679 Teil des Rechtsrahmens des Landes wird, in das die personenbezogenen Daten übermittelt werden. Dies lässt sonstige Pflichten, die für die betreffende Verarbeitung nach der Verordnung (EU) 2016/679 gelten, unberührt.(ii) die Verordnung (EU) 2016/679 Teil des Rechtsrahmens des Landes wird, in das die personenbezogenen Daten übermittelt werden. Dies lässt sonstige Pflichten, die für die betreffende Verarbeitung nach der Verordnung (EU) 2016/679 gelten, unberührt.
Klausel 17 – Anwendbares RechtKlausel 17 – Anwendbares Recht
MODULE EINS: Übermittlung Verantwortlicher an VerantwortlichenMODULE EINS: Übermittlung Verantwortlicher an Verantwortlichen
MODULE ZWEI: Übermittlung Verantwortlicher an AuftragsverarbeiterMODULE ZWEI: Übermittlung Verantwortlicher an Auftragsverarbeiter
MODULE DREI: Übermittlung Auftragsverarbeiter an AuftragsverarbeiterMODULE DREI: Übermittlung Auftragsverarbeiter an Auftragsverarbeiter
Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, sofern dieses Recht Rechte Dritter zulässt. Die Parteien vereinbaren, dass dies das Recht des Mitgliedstaats ist, der in der Datenschutzvereinbarung genannt wird, der diese Klauseln beigefügt sind.Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, sofern dieses Recht Rechte Dritter zulässt. Die Parteien vereinbaren, dass dies das Recht des Mitgliedstaats ist, der in der Datenschutzvereinbarung genannt wird, der diese Klauseln beigefügt sind.
MODULE VIER: Übermittlung Auftragsverarbeiter an VerantwortlichenMODULE VIER: Übermittlung Auftragsverarbeiter an Verantwortlichen
Diese Klauseln unterliegen dem Recht eines Landes, das Rechte Dritter zulässt. Die Parteien vereinbaren, dass dies das Recht ist, das in der Datenschutzvereinbarung genannt wird, der diese Klauseln beigefügt sind.Diese Klauseln unterliegen dem Recht eines Landes, das Rechte Dritter zulässt. Die Parteien vereinbaren, dass dies das Recht ist, das in der Datenschutzvereinbarung genannt wird, der diese Klauseln beigefügt sind.
Klausel 18 – Gerichtsstand und anwendbares RechtKlausel 18 – Gerichtsstand und anwendbares Recht
MODULE EINS: Übermittlung Verantwortlicher an VerantwortlichenMODULE EINS: Übermittlung Verantwortlicher an Verantwortlichen
MODULE ZWEI: Übermittlung Verantwortlicher an AuftragsverarbeiterMODULE ZWEI: Übermittlung Verantwortlicher an Auftragsverarbeiter
MODUL DREI: Übermittlung vom Auftragsverarbeiter an einen weiteren AuftragsverarbeiterMODUL DREI: Übermittlung vom Auftragsverarbeiter an einen weiteren Auftragsverarbeiter
(a) Alle Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten eines EU-Mitgliedstaats beigelegt.(a) Alle Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten eines EU-Mitgliedstaats beigelegt.
(b) Die Parteien vereinbaren, dass dies die Gerichte des Mitgliedstaats sind, der im Datenschutzabkommen genannt ist, dem diese Klauseln beigefügt sind.(b) Die Parteien vereinbaren, dass dies die Gerichte des Mitgliedstaats sind, der im Datenschutzabkommen genannt ist, dem diese Klauseln beigefügt sind.
(c) Eine betroffene Person kann auch Klage gegen den Datenexporteur und/oder Datenimporteur vor den Gerichten des Mitgliedstaats erheben, in dem sie ihren gewöhnlichen Aufenthalt hat.(c) Eine betroffene Person kann auch Klage gegen den Datenexporteur und/oder Datenimporteur vor den Gerichten des Mitgliedstaats erheben, in dem sie ihren gewöhnlichen Aufenthalt hat.
(d) Die Parteien erklären sich einverstanden, sich der Zuständigkeit dieser Gerichte zu unterwerfen.(d) Die Parteien erklären sich einverstanden, sich der Zuständigkeit dieser Gerichte zu unterwerfen.
MODUL VIER: Übermittlung vom Auftragsverarbeiter an den VerantwortlichenMODUL VIER: Übermittlung vom Auftragsverarbeiter an den Verantwortlichen
Alle Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten des Mitgliedstaats beigelegt, der im Datenschutzabkommen genannt ist, dem diese Klauseln beigefügt sind.Alle Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten des Mitgliedstaats beigelegt, der im Datenschutzabkommen genannt ist, dem diese Klauseln beigefügt sind.
ANHANGANHANG
ANHANG IANHANG I
A. VERZEICHNIS DER PARTEIENA. VERZEICHNIS DER PARTEIEN
MODUL EINS: Übermittlung vom Verantwortlichen an einen weiteren VerantwortlichenMODUL EINS: Übermittlung vom Verantwortlichen an einen weiteren Verantwortlichen
MODUL ZWEI: Übermittlung vom Verantwortlichen an den AuftragsverarbeiterMODUL ZWEI: Übermittlung vom Verantwortlichen an den Auftragsverarbeiter
MODUL DREI: Übermittlung vom Auftragsverarbeiter an einen weiteren AuftragsverarbeiterMODUL DREI: Übermittlung vom Auftragsverarbeiter an einen weiteren Auftragsverarbeiter
MODUL VIER: Übermittlung vom Auftragsverarbeiter an den VerantwortlichenMODUL VIER: Übermittlung vom Auftragsverarbeiter an den Verantwortlichen
Datenexporteur(en): Kunde, wie im Datenverarbeitungsvertrag festgelegt, dem die Standardvertragsklauseln beigefügt sind.Datenexporteur(en): Kunde, wie im Datenverarbeitungsvertrag festgelegt, dem die Standardvertragsklauseln beigefügt sind.
1. Name:1. Name:
Kunde, wie im Rahmenvertrag festgelegt.Kunde, wie im Rahmenvertrag festgelegt.
Adresse:Adresse:
Wie im Rahmenvertrag festgelegt.Wie im Rahmenvertrag festgelegt.
Name, Position und Kontaktdaten der Kontaktperson:Name, Position und Kontaktdaten der Kontaktperson:
Wie im Rahmenvertrag bezeichnet.Wie im Rahmenvertrag bezeichnet.
Für die gemäß diesen Klauseln übermittelten Daten relevante Aktivitäten:Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind:
Empfang und Nutzung der Waren, Dienstleistungen und/oder Software gemäß der Vereinbarung.Empfang und Nutzung der Waren, Dienstleistungen und/oder Software gemäß der Vereinbarung.
Unterschrift und Datum:Unterschrift und Datum:
Siehe Unterschriftsseite des Rahmenvertrags.Siehe Unterschriftsseite des Rahmenvertrags.
Durch: [counterpartySignerSignature_EQfX7Ot]Durch: [counterpartySignerSignature_EQfX7Ot]
(Unterschrift)(Unterschrift)
[counterpartySignerName_pZT2SXq]_[counterpartySignerName_pZT2SXq]_
(Name in Druckbuchstaben)(Name in Druckbuchstaben)
Funktion: [counterpartySignerTitle_z1IeB0y]_Position: [counterpartySignerTitle_z1IeB0y]_
(Titel)(Titel)
Rolle (Verantwortlicher/Auftragsverarbeiter):Rolle (Verantwortlicher/Auftragsverarbeiter):
VerantwortlicherVerantwortlicher
Datenimporteur(en): Ripple Treasury, wie im Datenverarbeitungsvertrag, dem die Standardvertragsklauseln beigefügt sind, bezeichnet.Datenimporteur(en): Ripple Treasury, wie im Datenverarbeitungsvertrag, dem die Standardvertragsklauseln beigefügt sind, bezeichnet.
1. Name:1. Name:
Ripple Treasury, wie im Rahmenvertrag bezeichnet.Ripple Treasury, wie im Rahmenvertrag bezeichnet.
Adresse:Anschrift:
Wie im Rahmenvertrag angegeben.Wie im Rahmenvertrag festgelegt.
Name, Position und Kontaktdaten der Kontaktperson:Name, Position und Kontaktdaten des Ansprechpartners:
Wie im Rahmenvertrag angegeben.Wie im Rahmenvertrag festgelegt.
Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind:Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind:
Erfüllung des Vertrags.Erfüllung des Vertrags.
Unterschrift und Datum:Unterschrift und Datum:
Siehe Unterschriftsseite des Rahmenvertrags.Siehe Unterschriftsseite des Rahmenvertrags.
Unterschrift: [counterpartySignerSignature_01PXzlP]Unterschrift: [counterpartySignerSignature_01PXzlP]
(Unterschrift)(Unterschrift)
[counterpartySignerName_2Li13B0][counterpartySignerName_2Li13B0]
(Name in Druckbuchstaben)(Name in Druckbuchstaben)
Funktion: [counterpartySignerTitle_l33M0Ml]Funktion: [counterpartySignerTitle_l33M0Ml]
(Funktion)(Funktion)
Rolle (Verantwortlicher/Auftragsverarbeiter):Rolle (Verantwortlicher/Auftragsverarbeiter):
AuftragsverarbeiterAuftragsverarbeiter
B. BESCHREIBUNG DER ÜBERMITTLUNGB. BESCHREIBUNG DER ÜBERMITTLUNG
MODUL EINS: Übermittlung vom Verantwortlichen an den VerantwortlichenMODUL EINS: Übermittlung vom Verantwortlichen an den Verantwortlichen
MODUL ZWEI: Übermittlung vom Verantwortlichen an den AuftragsverarbeiterMODUL ZWEI: Übermittlung vom Verantwortlichen an den Auftragsverarbeiter
MODUL DREI: Übermittlung vom Auftragsverarbeiter an den AuftragsverarbeiterMODUL DREI: Übermittlung vom Auftragsverarbeiter an den Auftragsverarbeiter
MODUL VIER: Übermittlung vom Auftragsverarbeiter an den VerantwortlichenMODUL VIER: Übermittlung vom Auftragsverarbeiter an den Verantwortlichen
Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden.Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden.
Mitarbeiter, Auftragnehmer und andere Personen, die die Software und/oder Dienstleistungen von Ripple Treasury erhalten und nutzen und/oder die Beziehung zwischen Ripple Treasury und dem Kunden verwalten.Mitarbeiter, Auftragnehmer und andere Personen, die die Software und/oder Dienstleistungen von Ripple Treasury erhalten und nutzen und/oder die Beziehung zwischen Ripple Treasury und dem Kunden verwalten.
Personen, deren personenbezogene Daten der Kunde in Aufzeichnungen in den Systemen von Ripple Treasury aufnimmt, soweit dies für die Erfüllung des Vertrags durch Ripple Treasury erforderlich ist.Personen, deren personenbezogene Daten der Kunde in Aufzeichnungen in den Systemen von Ripple Treasury aufnimmt, soweit dies für die Erfüllung des Vertrags durch Ripple Treasury erforderlich ist.
Kategorien der übermittelten personenbezogenen DatenKategorien der übermittelten personenbezogenen Daten
Informationen, die üblicherweise in einem Support-Ticket enthalten sind (z. B. Name, geschäftliche Telefonnummer, geschäftliche E-Mail-Adresse und organisatorische Rolle).Informationen, die üblicherweise in einem Support-Ticket enthalten sind (z. B. Name, geschäftliche Telefonnummer, geschäftliche E-Mail-Adresse und organisatorische Rolle).
Informationen, die zur Bereitstellung und Pflege von Anmelde- und ähnlichen Zugangsdaten (Tickets) erforderlich sind (z. B. Name, geschäftliche Telefonnummer, geschäftliche E-Mail-Adresse und organisatorische Rolle) oder zur Rechnungsstellung und zum Zahlungsempfang.Informationen, die zur Bereitstellung und Pflege von Anmelde- und ähnlichen Zugangsdaten (Tickets) erforderlich sind (z. B. Name, geschäftliche Telefonnummer, geschäftliche E-Mail-Adresse und organisatorische Rolle) oder zur Rechnungsstellung und zum Zahlungsempfang.
Informationen, die zur Bereitstellung von Schulungs- und/oder Beratungsleistungen erforderlich sind (z. B. Name, geschäftliche Telefonnummer, geschäftliche E-Mail-Adresse, organisatorische Rolle, Standort, absolvierte Schulungen und erhaltene Schulungen).Informationen, die zur Bereitstellung von Schulungs- und/oder Beratungsleistungen erforderlich sind (z. B. Name, geschäftliche Telefonnummer, geschäftliche E-Mail-Adresse, organisatorische Rolle, Standort, absolvierte Schulungen und erhaltene Schulungen).
Übermittelte sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Schutzmaßnahmen, die die Art der Daten und die damit verbundenen Risiken vollständig berücksichtigen, wie z. B. eine strikte Zweckbindung, Zugangsbeschränkungen (einschließlich Zugang nur für Personal, das eine spezielle Schulung absolviert hat), Führung eines Protokolls über den Datenzugriff, Beschränkungen für Weiterübermittlungen oder zusätzliche Sicherheitsmaßnahmen.Übermittelte sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Schutzmaßnahmen, die die Art der Daten und die damit verbundenen Risiken vollständig berücksichtigen, wie z. B. eine strikte Zweckbindung, Zugangsbeschränkungen (einschließlich Zugang nur für Personal, das eine spezielle Schulung absolviert hat), Führung eines Protokolls über den Datenzugriff, Beschränkungen für Weiterübermittlungen oder zusätzliche Sicherheitsmaßnahmen.
Keine.Keine.
Die Häufigkeit der Übermittlung (z. B. ob die Daten einmalig oder fortlaufend übermittelt werden).Die Häufigkeit der Übermittlung (z. B. ob die Daten einmalig oder fortlaufend übermittelt werden).
Fortlaufend.Fortlaufend.
Art der VerarbeitungArt der Verarbeitung
Erhebung, Erfassung, Organisation, Strukturierung, Speicherung, Anpassung oder Änderung, Abruf, Konsultation, Nutzung, Offenlegung durch Übermittlung, Verbreitung oder sonstige Bereitstellung, Abgleich oder Verknüpfung, Einschränkung, Löschung und/oder Vernichtung, alles in dem Umfang, der zur Erfüllung der Vereinbarung erforderlich ist.Erhebung, Erfassung, Organisation, Strukturierung, Speicherung, Anpassung oder Änderung, Abruf, Konsultation, Nutzung, Offenlegung durch Übermittlung, Verbreitung oder sonstige Bereitstellung, Abgleich oder Verknüpfung, Einschränkung, Löschung und/oder Vernichtung, alles in dem Umfang, der zur Erfüllung der Vereinbarung erforderlich ist.
Zweck(e) der Datenübermittlung und WeiterverarbeitungZweck(e) der Datenübermittlung und Weiterverarbeitung
Erfüllung der Vereinbarung und/oder Inanspruchnahme der Vorteile der Vereinbarung.Erfüllung der Vereinbarung und/oder Inanspruchnahme der Vorteile der Vereinbarung.
Der Zeitraum, für den die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieses ZeitraumsDer Zeitraum, für den die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieses Zeitraums
Die Laufzeit der Vereinbarung sowie jede zusätzliche Zeit, die Ripple Treasury gemäß dieser Vereinbarung zur Aufbewahrung solcher Informationen benötigt, und in jedem Fall die Zeit, die unter Anwendung branchenüblicher Praktiken zur Löschung dieser Informationen erforderlich ist.Die Laufzeit der Vereinbarung sowie jede zusätzliche Zeit, die Ripple Treasury gemäß dieser Vereinbarung zur Aufbewahrung solcher Informationen benötigt, und in jedem Fall die Zeit, die unter Anwendung branchenüblicher Praktiken zur Löschung dieser Informationen erforderlich ist.
Für Übermittlungen an (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben.Für Übermittlungen an (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben.
Die Laufzeit der Vereinbarung sowie jede zusätzliche Zeit, die Ripple Treasury gemäß dieser Vereinbarung zur Aufbewahrung solcher Informationen benötigt, und in jedem Fall die Zeit, die unter Anwendung branchenüblicher Praktiken zur Löschung dieser Informationen erforderlich ist.Die Laufzeit der Vereinbarung sowie jede zusätzliche Zeit, die Ripple Treasury gemäß dieser Vereinbarung zur Aufbewahrung solcher Informationen benötigt, und in jedem Fall die Zeit, die unter Anwendung branchenüblicher Praktiken zur Löschung dieser Informationen erforderlich ist.
C. ZUSTÄNDIGE AUFSICHTSBEHÖRDEC. ZUSTÄNDIGE AUFSICHTSBEHÖRDE
MODUL EINS: Übertragung von Verantwortlichem zu VerantwortlichemMODUL EINS: Übertragung von Verantwortlichem zu Verantwortlichem
MODUL ZWEI: Übertragung von Verantwortlichem zu AuftragsverarbeiterMODUL ZWEI: Übertragung von Verantwortlichem zu Auftragsverarbeiter
MODUL DREI: Übertragung von Auftragsverarbeiter zu AuftragsverarbeiterMODUL DREI: Übertragung von Auftragsverarbeiter zu Auftragsverarbeiter
Benennen Sie die zuständige(n) Aufsichtsbehörde(n) gemäß Klausel 13.Benennen Sie die zuständige(n) Aufsichtsbehörde(n) gemäß Klausel 13.
Wie in Klausel 13 beschrieben.Wie in Klausel 13 beschrieben.
ANHANG IIANHANG II
TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MASSNAHMEN ZUR GEWÄHRLEISTUNG DER DATENSICHERHEITTECHNISCHE UND ORGANISATORISCHE MASSNAHMEN EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MASSNAHMEN ZUR GEWÄHRLEISTUNG DER DATENSICHERHEIT
MODUL EINS: Übermittlung von Verantwortlichem zu VerantwortlichemMODUL EINS: Übermittlung von Verantwortlichem zu Verantwortlichem
MODUL ZWEI: Übermittlung von Verantwortlichem zu AuftragsverarbeiterMODUL ZWEI: Übermittlung von Verantwortlichem zu Auftragsverarbeiter
MODUL DREI: Übermittlung von Auftragsverarbeiter zu AuftragsverarbeiterMODUL DREI: Übermittlung von Auftragsverarbeiter zu Auftragsverarbeiter
Die technischen und organisatorischen Maßnahmen, die gemäß der Vereinbarung, ausgenommen dieser DPA, erforderlich sind.Die technischen und organisatorischen Maßnahmen, die gemäß der Vereinbarung, ausgenommen dieser DPA, erforderlich sind.
ANHANG IIIANHANG III
LISTE DER UNTERAUFTRAGSVERARBEITERLISTE DER UNTERAUFTRAGSVERARBEITER
MODUL ZWEI: Übermittlung von Verantwortlichem zu AuftragsverarbeiterMODUL ZWEI: Übermittlung von Verantwortlichem zu Auftragsverarbeiter
MODUL DREI: Übermittlung von Auftragsverarbeiter zu AuftragsverarbeiterMODUL DREI: Übermittlung von Auftragsverarbeiter zu Auftragsverarbeiter
Der Verantwortliche hat die Nutzung der folgenden Unterauftragsverarbeiter genehmigt:Der Verantwortliche hat die Nutzung der folgenden Unterauftragsverarbeiter genehmigt:
1. Name1. Name
Microsoft Corp. (und/oder solche ihrer verbundenen Unternehmen, die Azure-Dienste bereitstellen)Microsoft Corp. (und/oder solche ihrer verbundenen Unternehmen, die Azure-Dienste bereitstellen)
AdresseAdresse
One Microsoft WayOne Microsoft Way
Redmond, Washington 98052-6399Redmond, Washington 98052-6399
+1425-882-8080+1425-882-8080
Name, Position und Kontaktdaten der Kontaktperson:Name, Position und Kontaktdaten der Kontaktperson:
Microsoft EU DatenschutzbeauftragterMicrosoft EU Datenschutzbeauftragter
One Microsoft PlaceOne Microsoft Place
South County Business ParkSouth County Business Park
LeopardstownLeopardstown
Dublin 18Dublin 18
D18 P521D18 P521
IrlandIrland
Telefon: +353 (1) 706-3117Telefon: +353 (1) 706-3117
Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten, falls mehrere Unterauftragsverarbeiter autorisiert sind):Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten, falls mehrere Unterauftragsverarbeiter autorisiert sind):
Hostingleistungen, die zur Erbringung der vertraglich vereinbarten Dienste erforderlich sind.Hostingleistungen, die zur Erbringung der vertraglich vereinbarten Dienste erforderlich sind.
2. Name2. Name
Amazon Web Services, Inc. (und/oder solche ihrer verbundenen Unternehmen, die AWS-Hosting-Dienste bereitstellen, einschließlich, aber nicht beschränkt auf Amazon Web Services EMEA SARL und Amazon Internet Services Private Limited)Amazon Web Services, Inc. (und/oder solche ihrer verbundenen Unternehmen, die AWS-Hosting-Dienste bereitstellen, einschließlich, aber nicht beschränkt auf Amazon Web Services EMEA SARL und Amazon Internet Services Private Limited)
AdresseAdresse
410 Terry Avenue Nord410 Terry Avenue Nord
Seattle, Washington 98109-5210,Seattle, Washington 98109-5210,
+1425-882-8080+1425-882-8080
Name, Position und Kontaktdaten der Kontaktperson:Name, Position und Kontaktdaten der Kontaktperson:
Amazon Web Services EMEA SARL DatenschutzbeauftragterAmazon Web Services EMEA SARL Datenschutzbeauftragter
38 Avenue John F. Kennedy38 Avenue John F. Kennedy
L-1855, Luxemburg,L-1855, Luxemburg,
ATTN: AWS EMEA LegalATTN: AWS EMEA Legal
Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten, falls mehrere Unterauftragsverarbeiter autorisiert sind):Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten, falls mehrere Unterauftragsverarbeiter autorisiert sind):
Hostingleistungen, die zur Erbringung der vertraglich vereinbarten Dienste erforderlich sind.Hostingleistungen, die zur Erbringung der vertraglich vereinbarten Dienste erforderlich sind.
3. Name3. Name
Rackspace Technology, Inc. (und/oder solche ihrer verbundenen Unternehmen, die Hostingleistungen erbringen)Rackspace Technology, Inc. (und/oder solche ihrer verbundenen Unternehmen, die Hostingleistungen erbringen)
AdresseAdresse
1 Fanatical Place1 Fanatical Place
Windcrest, Texas 78218Windcrest, Texas 78218
+1 210-312-4000+1 210-312-4000
Name, Position und Kontaktdaten der Kontaktperson:Name, Position und Kontaktdaten der Kontaktperson:
Leiter DatenschutzLeiter Datenschutz
Rackspace Technology, Inc.Rackspace Technology, Inc.
1 Fanatical Place1 Fanatical Place
Windcrest, Texas 78218Windcrest, Texas 78218
Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten, falls mehrere Unterauftragsverarbeiter autorisiert sind):Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten, falls mehrere Unterauftragsverarbeiter autorisiert sind):
Hostingleistungen, die zur Erbringung der vertraglich vereinbarten Dienste erforderlich sind.Hostingleistungen, die zur Erbringung der vertraglich vereinbarten Dienste erforderlich sind.
Siehe Ripple Treasury
in Aktion
Nehmen Sie noch heute Kontakt mit unterstützenden Experten, umfassenden Lösungen und ungenutzten Möglichkeiten auf.