Get in Touch
Application
WELL Certification Achieve WELL Certification Meet WELL's requirements and earn up to 9 points with Kaiterra workplace Enhance Workplace Experience Deliver elevated workplace experiences with better air High performance buildings Improve HVAC & Building Performance Make data-driven decisions in building design and operations
Certification Projects
LEED Projects RESET Projects Fitwel Projects
Hardware
Wireless Solutions 🆕
Wired Solutions
Compare Hardware
Software
Kaiterra Data Platform
Pricing
blog Better Building Blog Insights and perspectives on healthy buildings and IAQ Downloads Technical Downloads Download technical documentation for Kaiterra products support Support Knowledge base, how-to articles and troubleshooting Security Icon Security Security measures we've put in place to keep your data safe resources Learning Center Educational resources crafted by air quality experts compare Events Upcoming and on-demand Kaiterra events
WELL Compliance Report - Menu
DASHBOARD FEATURE WELL Compliance Report Learn More
ebook - Business Case for IAQ
eBook The Business Case for
Indoor Air Quality Download
about About Learn how we help companies decarbonize their buildings and address climate change. career Careers Ready to make an impact? Explore our open positions. contact@2x Contact Get in touch to discuss a project, a partnership, or get fast and dedicated support.

Vereinbarung zur Datenverarbeitung

Zuletzt aktualisiert am 13. August 2022

KAITERRA

DATENVERARBEITUNGSABKOMMEN

Diese Datenverarbeitungsvereinbarung ("DPA"), die die von der Europäischen Kommission für die Verwendung in der Europäischen Union angenommenen Standardvertragsklauseln ("EU SCCs") für die Übermittlung personenbezogener Daten in Drittländer im Rahmen der Datenschutz-Grundverordnung ("GDPR") enthält, sowie die Standardvertragsklauseln, die vom Information Commissioner's Office des Vereinigten Königreichs ("UK") genehmigt wurden, um die Anforderungen für eingeschränkte internationale Datenübermittlungen aus dem Vereinigten Königreich gemäß der GDPR des Vereinigten Königreichs zu erfüllen ("UK SCCs"), spiegelt die Vereinbarung der Parteien in Bezug auf die Bedingungen für die Verarbeitung personenbezogener Daten im Rahmen des Kaiterra Master Subscription Agreement, der Kaiterra Terms of Service, der Kaiterra Terms of Purchase oder einer anderen schriftlichen Vereinbarung, die auf diese DPA verweist (die "Vereinbarung"), zwischen Origins Technology Ltd. ("Kaiterra") und dem Kunden, der Vertragspartei ist ("Kunde"). Diese DPA wird in die Vereinbarung aufgenommen und zu einem Teil derselben gemacht. Bitte kontaktieren Sie uns unter privacy@kaiterra.com, wenn Sie eine unterzeichnete Kopie dieser DPA für Ihre Unterlagen benötigen.

Wir aktualisieren diese DPA in regelmäßigen Abständen. Wenn Sie ein aktives Kaiterra-Abonnement haben, werden wir Sie über eine E-Mail oder eine In-App-Benachrichtigung informieren, wenn wir dies tun.

Die Laufzeit dieser DPA folgt der Laufzeit der Vereinbarung. Begriffe, die hier nicht anderweitig definiert sind, haben die Bedeutung, die in der Vereinbarung festgelegt ist.

DIESE DPA UMFASST:

(i) die EU-SCC, die dieser Vereinbarung als Anlage 1 beigefügt ist.

(a) Anhang 1 zu den EU SCC, der Angaben zu den vom Datenexporteur an den Datenimporteur übermittelten personenbezogenen Daten enthält.

(b) Anhang 2 zu den EU SCCs, der eine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen enthält, die der Datenimporteur, wie angegeben, umgesetzt hat.

(ii) Die Liste der derzeitigen Kaiterra-Unterauftragsverarbeiter, die als Anhang 3 beigefügt ist.

(ii) die SCC des Vereinigten Königreichs, die als Anhang 2 beigefügt sind.

(a) Anlage 1 der SCCs für das Vereinigte Königreich, die Einzelheiten zu den vom Datenexporteur an den Datenimporteur übermittelten personenbezogenen Daten enthält.

(b) Anlage 2 zu den UK SCCs, die eine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen enthält, die der Datenimporteur wie angegeben umgesetzt hat.

1. Begriffsbestimmungen

"Für die Verarbeitung Verantwortlicher" ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

"Datenschutzgesetz" bezeichnet alle anwendbaren Rechtsvorschriften in Bezug auf den Datenschutz und den Schutz der Privatsphäre, einschließlich und ohne Einschränkung der DSGVO und aller lokalen Gesetze und Vorschriften, die diese ändern oder ersetzen, zusammen mit allen nationalen Umsetzungsgesetzen in einem Mitgliedstaat der Europäischen Union oder, soweit anwendbar, in einem anderen Land, in der jeweils geänderten, aufgehobenen, konsolidierten oder ersetzten Fassung. Die Begriffe "Prozess", "Prozesse" und "verarbeitet" sind entsprechend auszulegen.

"Betroffene Person" ist die Person, auf die sich die personenbezogenen Daten beziehen.

"Kaiterra-Produkte" bezeichnet die Kaiterra-Hardware und die damit verbundenen Dienstleistungen, die Kaiterra dem Kunden im Rahmen des Vertrags zur Verfügung stellt.

"GDPR" bezeichnet die Allgemeine Datenschutzverordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr oder analoge Umsetzungen der GDPR außerhalb der Europäischen Union, einschließlich, aber nicht beschränkt auf die UK GDPR.

"Anweisung" ist die schriftliche, dokumentierte Anweisung, die der für die Verarbeitung Verantwortliche dem Auftragsverarbeiter erteilt und ihn anweist, eine bestimmte Handlung in Bezug auf personenbezogene Daten vorzunehmen (einschließlich, aber nicht beschränkt auf Depersonalisierung, Sperrung, Löschung, Bereitstellung).

"Personenbezogene Daten" sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen, sofern diese Informationen in den Kundendaten enthalten sind und nach geltendem Datenschutzrecht in ähnlicher Weise wie personenbezogene Daten oder persönlich identifizierbare Informationen geschützt sind.

"Verletzung des Schutzes personenbezogener Daten" bedeutet eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung von oder zum Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt.

"Verarbeitung" oder "Verarbeitung" bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die mit personenbezogenen Daten durchgeführt werden, einschließlich des Erfassens, Aufzeichnens, Organisierens, Strukturierens, Speicherns, Anpassens oder Änderns, Abrufens, Abfragens, Nutzens, Offenlegens durch Übermittlung, Verbreitens oder anderweitiges Verfügbarmachens, Angleichens oder Kombinierens, Einschränkens oder Löschens von personenbezogenen Daten.

"Auftragsverarbeiter" ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.

"Standardvertragsklauseln" bezeichnet die als Anlage 1 und Anlage 2 beigefügten Klauseln gemäß dem Beschluss (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021 und (C(2010)593) vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter mit Sitz in Drittländern, die kein angemessenes Datenschutzniveau gewährleisten.

"Unterauftragsverarbeiter" bezeichnet einen von Kaiterra mit der Verarbeitung personenbezogener Daten beauftragten Auftragsverarbeiter.

2. Verantwortung des Kunden

Die Parteien erkennen an und vereinbaren, dass der Kunde der Verantwortliche für die personenbezogenen Daten ist und Kaiterra der Verarbeiter der personenbezogenen Daten. Der für die Verarbeitung Verantwortliche ist im Rahmen des Vertrages und bei der Nutzung der Kaiterra Produkte allein für die Einhaltung der ihm obliegenden gesetzlichen Anforderungen an den Datenschutz und den Schutz der Privatsphäre verantwortlich, insbesondere hinsichtlich der Offenlegung und Übermittlung personenbezogener Daten an den Auftragsverarbeiter und der Verarbeitung personenbezogener Daten. Der für die Verarbeitung Verantwortliche ist verpflichtet, den Auftragsverarbeiter umfassend und unverzüglich über alle Fehler oder Unregelmäßigkeiten im Zusammenhang mit den gesetzlichen Bestimmungen über die Verarbeitung personenbezogener Daten zu informieren.

3. Pflichten des Auftragsverarbeiters

a. Befolgung der Weisungen. Der Auftragsverarbeiter darf personenbezogene Daten nur im Rahmen der Weisungen der verantwortlichen Stelle erheben, verarbeiten und nutzen. Die Weisungen des für die Verarbeitung Verantwortlichen sind in dieser DPA, dem Vertrag und dem jeweiligen Auftragsformular dokumentiert. Der für die Verarbeitung Verantwortliche kann in angemessener Weise zusätzliche Anweisungen erteilen, wenn dies zur Einhaltung des Datenschutzrechts erforderlich ist. Der Auftragsverarbeiter kann für die Befolgung zusätzlicher Anweisungen eine angemessene Gebühr erheben.

Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung des für die Verarbeitung Verantwortlichen gegen das Datenschutzgesetz verstößt, hat er den für die Verarbeitung Verantwortlichen unverzüglich zu informieren. Sofern dies nicht durch geltendes Recht untersagt ist, informiert der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen, wenn er einer rechtlichen Verpflichtung unterliegt, die ihn verpflichtet, personenbezogene Daten des für die Verarbeitung Verantwortlichen entgegen den Weisungen zu verarbeiten; und (ii) kann die gesamte Verarbeitung (mit Ausnahme der bloßen Speicherung und Aufrechterhaltung der Sicherheit der betroffenen personenbezogenen Daten) einstellen, bis der für die Verarbeitung Verantwortliche neue Weisungen erteilt, die der Auftragsverarbeiter einhalten kann. Wird diese Bestimmung in Anspruch genommen, so haftet der Auftragsverarbeiter dem für die Verarbeitung Verantwortlichen gegenüber nicht für die Nichterfüllung der betreffenden Kaiterra Produkte, bis der für die Verarbeitung Verantwortliche neue Anweisungen erteilt hat.

b.Sicherheit. Der Auftragsverarbeiter ergreift die geeigneten technischen und organisatorischen Maßnahmen, um personenbezogene Daten angemessen vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Änderung, unbefugter Offenlegung oder unbefugtem Zugriff auf personenbezogene Daten zu schützen, wie in Anhang 2 der EU-SCCs und Anhang 2 der UK-SCCs beschrieben. Auf Verlangen des für die Verarbeitung Verantwortlichen legt der Auftragsverarbeiter ein aktuelles Programm zum Schutz und zur Sicherheit personenbezogener Daten im Zusammenhang mit der Verarbeitung gemäß diesem Vertrag vor.

Der Auftragsverarbeiter unterstützt den für die Verarbeitung Verantwortlichen bei der Einhaltung seiner Verpflichtung zur Durchführung von Sicherheitsmaßnahmen in Bezug auf personenbezogene Daten (einschließlich, falls zutreffend, der Verpflichtungen des für die Verarbeitung Verantwortlichen gemäß Artikel 32 bis 34 (einschließlich) der DSGVO), indem er (i) die in Anhang 2 beschriebenen Sicherheitsmaßnahmen umsetzt und aufrechterhält, (ii) die Bestimmungen von Klausel 4(d) der UK SCCs und Klausel 8.6(a) der EU SCCs (Verstöße gegen personenbezogene Daten); und (iii) dem für die Verarbeitung Verantwortlichen Informationen in Bezug auf die Verarbeitung gemäß Klausel 5 der UK SCCs und Klausel 8.9 der EU SCCs (Audits) zur Verfügung stellt.

c. Vertraulichkeit. Der Auftragsverarbeiter stellt sicher, dass alle Mitarbeiter, die der Auftragsverarbeiter zur Verarbeitung personenbezogener Daten in seinem Namen ermächtigt, zur Vertraulichkeit in Bezug auf diese personenbezogenen Daten verpflichtet werden. Die Verpflichtung zur Vertraulichkeit besteht auch nach Beendigung der oben genannten Tätigkeiten fort.

d. Verstöße gegen personenbezogene Daten. Der Auftragsverarbeiter benachrichtigt den für die Verarbeitung Verantwortlichen so bald wie möglich, nachdem er von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt hat, die personenbezogene Daten betrifft. Auf Ersuchen des für die Verarbeitung Verantwortlichen leistet der Auftragsverarbeiter dem für die Verarbeitung Verantwortlichen jede angemessene Unterstützung, die dieser benötigt, um den für die Verarbeitung Verantwortlichen in die Lage zu versetzen, den zuständigen Behörden und/oder den betroffenen Personen die Verletzung des Schutzes personenbezogener Daten mitzuteilen, sofern der für die Verarbeitung Verantwortliche nach dem Datenschutzgesetz dazu verpflichtet ist.

e. Anfragen der betroffenen Personen. Der Auftragsverarbeiter leistet angemessene Unterstützung, auch durch geeignete technische und organisatorische Maßnahmen und unter Berücksichtigung der Art der Verarbeitung, damit der für die Verarbeitung Verantwortliche in der Lage ist, auf alle Anfragen von betroffenen Personen zu reagieren, die ihre Rechte nach dem Datenschutzgesetz in Bezug auf personenbezogene Daten ausüben wollen (einschließlich Zugang, Berichtigung, Einschränkung, Löschung oder Übertragbarkeit personenbezogener Daten, soweit anwendbar), soweit dies gesetzlich zulässig ist. Wird ein solches Ersuchen direkt an den Auftragsverarbeiter gerichtet, informiert dieser den für die Verarbeitung Verantwortlichen und rät den betroffenen Personen, ihr Ersuchen an den für die Verarbeitung Verantwortlichen zu richten. Der für die Verarbeitung Verantwortliche ist allein für die Beantwortung der Anträge der betroffenen Personen verantwortlich.

Soweit der für die Verarbeitung Verantwortliche nicht in der Lage ist, einen Antrag der betroffenen Person zu bearbeiten, leistet der Auftragsverarbeiter dem für die Verarbeitung Verantwortlichen auf dessen Ersuchen hin angemessene Unterstützung, um den Antrag der betroffenen Person zu erleichtern, soweit dies möglich ist und soweit es das geltende Datenschutzrecht erfordert. Die für die Verarbeitung Verantwortliche erstattet dem Auftragsverarbeiter die wirtschaftlich angemessenen Kosten, die durch diese Unterstützung entstehen.

f. Löschung oder Abruf von personenbezogenen Daten. Außer in dem Umfang, der zur Einhaltung der Datenschutzgesetze erforderlich ist, wird der Auftragsverarbeiter nach Beendigung oder Ablauf der Vereinbarung alle personenbezogenen Daten (einschließlich Kopien davon), die gemäß dieser DPA verarbeitet wurden, löschen oder zurückgeben. Sollte der Auftragsverarbeiter aus technischen oder anderen Gründen nicht in der Lage sein, personenbezogene Daten zu löschen, wird er Maßnahmen ergreifen, um sicherzustellen, dass die personenbezogenen Daten für eine weitere Verarbeitung gesperrt werden.

Der für die Verarbeitung Verantwortliche ist verpflichtet, bei Beendigung oder Ablauf der Vereinbarung innerhalb einer vom Auftragsverarbeiter gesetzten Frist die angemessenen Maßnahmen zur Rückgabe der Daten oder zur Löschung der gespeicherten Daten zu ergreifen und eine entsprechende Anweisung zu erteilen. Alle zusätzlichen Kosten, die im Zusammenhang mit der Rückgabe oder Löschung personenbezogener Daten nach Beendigung oder Ablauf des Vertrages entstehen, gehen zu Lasten des für die Verarbeitung Verantwortlichen.

g. Datenschutz-Folgenabschätzungen und Konsultationen mit Datenschutzbehörden. Soweit die erforderlichen Informationen dem Auftragsverarbeiter zur Verfügung stehen und der für die Verarbeitung Verantwortliche nicht anderweitig Zugang zu den erforderlichen Informationen hat, unterstützt der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen in angemessener Weise bei allen Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit den Datenschutzbehörden, die der für die Verarbeitung Verantwortliche nach vernünftigem Ermessen für erforderlich hält, und zwar jeweils ausschließlich im Zusammenhang mit der Verarbeitung personenbezogener Daten.

4. Überprüfungen

Der Auftragsverarbeiter stellt dem Verantwortlichen in Übereinstimmung mit den Datenschutzgesetzen und als Reaktion auf eine angemessene schriftliche Anfrage des Verantwortlichen die in seinem Besitz oder unter seiner Kontrolle befindlichen Informationen zur Verfügung, die sich auf die Einhaltung der Verpflichtungen des Auftragsverarbeiters nach den Datenschutzgesetzen in Bezug auf seine Verarbeitung personenbezogener Daten beziehen.

Der für die Verarbeitung Verantwortliche ist berechtigt, auf schriftlichen Antrag und mit einer Vorankündigung von mindestens 30 Tagen an den Auftragsverarbeiter während der üblichen Geschäftszeiten und ohne Unterbrechung des Geschäftsbetriebs des Auftragsverarbeiters eine Inspektion des Geschäftsbetriebs des Auftragsverarbeiters durchzuführen oder durch einen qualifizierten externen Prüfer durchführen zu lassen, sofern der Auftragsverarbeiter seine Zustimmung erteilt hat, die nicht unbillig verweigert werden darf.

Der Auftragsverarbeiter ist verpflichtet, dem Auftraggeber auf dessen schriftliches Ersuchen hin mit einer Frist von mindestens 30 Tagen alle für eine solche Prüfung erforderlichen Informationen zur Verfügung zu stellen, soweit sich diese Informationen im Einflussbereich des Auftragsverarbeiters befinden und der Auftragsverarbeiter nicht durch geltendes Recht, eine Vertraulichkeitsverpflichtung oder eine andere Verpflichtung gegenüber einem Dritten an der Offenlegung gehindert ist.

5. Unterauftragsverarbeiter

Der für die Verarbeitung Verantwortliche ermächtigt hiermit den Auftragsverarbeiter, Unterauftragsverarbeiter zu beauftragen. Eine Liste der derzeitigen Unterauftragsverarbeiter des Auftragsverarbeiters ist in Anhang 3 enthalten. Um Zweifel auszuschließen, stellt die obige Ermächtigung die vorherige schriftliche Zustimmung des für die Verarbeitung Verantwortlichen zur Unterauftragsverarbeitung durch den Auftragsverarbeiter für die Zwecke von Klausel 11 der UK SCCs und Klausel 9 der EU SCCs dar. Der Auftragsverarbeiter schließt mit den Unterauftragsverarbeitern einen schriftlichen Vertrag ab, der dem Unterauftragsverarbeiter Datenschutzverpflichtungen auferlegt, die den datenschutzrechtlichen Anforderungen entsprechen, einschließlich der Einhaltung der Bestimmungen dieser DPA. Der Auftragsverarbeiter benachrichtigt den für die Verarbeitung Verantwortlichen vor jeder beabsichtigten Änderung des Unterauftragsverarbeiters. Der für die Verarbeitung Verantwortliche kann gegen die Hinzufügung eines Unterauftragsverarbeiters aus triftigen Gründen, die sich auf eine potenzielle oder tatsächliche Verletzung des Datenschutzrechts beziehen, Einspruch erheben, indem er innerhalb von dreißig (30) Tagen nach der Benachrichtigung des Auftragsverarbeiters über die beabsichtigte Änderung eine schriftliche Mitteilung macht, in der er die Gründe für seinen Einspruch darlegt. Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter werden nach Treu und Glauben zusammenarbeiten, um den Einspruch des für die Verarbeitung Verantwortlichen auszuräumen. Entscheidet sich der Auftragsverarbeiter trotz des Widerspruchs des für die Verarbeitung Verantwortlichen für die Beibehaltung des Unterauftragsverarbeiters, so informiert er den für die Verarbeitung Verantwortlichen mindestens dreißig (30) Tage, bevor er den Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten beauftragt, und der für die Verarbeitung Verantwortliche kann die Nutzung der betreffenden Teile der Kaiterra Produkte unverzüglich einstellen und die betreffenden Teile der Kaiterra Produkte innerhalb von dreißig (30) Tagen kündigen.

6. Datenübertragungen

Der für die Verarbeitung Verantwortliche nimmt zur Kenntnis und erklärt sich damit einverstanden, dass im Zusammenhang mit der Ausführung der Kaiterra Produkte im Rahmen der Vereinbarung personenbezogene Daten an Kaiterra in den Vereinigten Staaten übermittelt werden. Die als Anlage 1 beigefügten EU-SCCs gelten für personenbezogene Daten, die außerhalb des EWR entweder direkt oder im Wege der Weiterübermittlung in die Vereinigten Staaten oder in ein anderes Land übermittelt werden, das von der Europäischen Kommission nicht als Land anerkannt ist, das ein angemessenes Schutzniveau für personenbezogene Daten bietet (wie im Datenschutzgesetz beschrieben). Die als Anlage 2 beigefügten SCCs des Vereinigten Königreichs gelten für personenbezogene Daten, die außerhalb des Vereinigten Königreichs entweder direkt oder im Wege der Weiterübermittlung in die Vereinigten Staaten oder in ein anderes Land übermittelt werden, das nicht unter die Angemessenheitsvorschriften gemäß Abschnitt 17A des Data Protection Act 2018 fällt.

7. Allgemeine Bestimmungen

In Bezug auf Aktualisierungen und Änderungen dieser DPA gelten die Bestimmungen in den Unterabschnitten "Änderungen der Vereinbarung" und "Allgemeines" der Vereinbarung. Sollten einzelne Bestimmungen dieser DPA ungültig oder nicht durchsetzbar sein, so wird die Gültigkeit und Durchsetzbarkeit der übrigen Bestimmungen dieser DPA davon nicht berührt.

Mit der Aufnahme dieser DPA in die Vereinbarung erklären sich die Parteien dieser DPA mit den Standardvertragsklauseln (sofern zutreffend) und allen dazugehörigen Anhängen einverstanden. Im Falle eines Widerspruchs oder einer Unstimmigkeit zwischen dieser DPA und den Standardvertragsklauseln haben die Standardvertragsklauseln Vorrang, jedoch mit der Maßgabe, dass: (a) der für die Verarbeitung Verantwortliche sein Prüfungsrecht gemäß Klausel 5(f) der britischen SCCs und Klausel 8.9 der EU-SSCCs ausüben kann, wie in Abschnitt 5 dieser DPA dargelegt und vorbehaltlich der Anforderungen dieses Abschnitts; und (b) der Auftragsverarbeiter Unterauftragsverarbeiter ernennen kann, wie in Abschnitt 6 dieser DPA dargelegt und vorbehaltlich der Anforderungen dieser DPA.

ANHANG 1

STANDARDVERTRAGSKLAUSELN

Verantwortlicher an Auftragsverarbeiter

ABSCHNITT I

Klausel 1

Zweck und Anwendungsbereich

(a) Zweck dieser Standardvertragsklauseln ist es, die Einhaltung der Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) bei der Übermittlung personenbezogener Daten in ein Drittland sicherzustellen.

(b) Die Parteien:

i) die natürliche(n) oder juristische(n) Person(en), Behörde(n), Agentur(en) oder sonstige Stelle(n) (im Folgenden "Stelle(n)"), die die in Anhang I.A aufgeführten personenbezogenen Daten übermittelt (im Folgenden jeweils "Datenexporteur"), und

ii) die Stelle(n) in einem Drittland, die die personenbezogenen Daten vom Datenexporteur direkt oder indirekt über eine andere, ebenfalls in Anhang I.A aufgeführte Stelle(n), die ebenfalls Vertragspartei dieser Klauseln ist, erhält/erhalten (im Folgenden jeweils "Datenimporteur")

diesen Standardvertragsklauseln (im Folgenden: "Klauseln") zugestimmt haben.

(c) Diese Klauseln gelten für die Übermittlung personenbezogener Daten, wie sie in Anhang I.B aufgeführt sind.

(d) Die Anlage zu diesen Klauseln, die die darin genannten Anhänge enthält, ist Bestandteil dieser Klauseln.

Klausel 2

Wirkung und Unveränderlichkeit der Klauseln

(a) Diese Klauseln enthalten angemessene Garantien, einschließlich durchsetzbarer Rechte der betroffenen Person und wirksamer Rechtsbehelfe, gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 sowie - in Bezug auf Datenübermittlungen von für die Verarbeitung Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter - Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679, sofern sie nicht geändert werden, außer um das/die geeignete(n) Modul(e) auszuwählen oder um Informationen im Anhang hinzuzufügen oder zu aktualisieren. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfassenderen Vertrag einzubeziehen und/oder andere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese nicht direkt oder indirekt im Widerspruch zu diesen Klauseln stehen oder die Grundrechte oder -freiheiten der betroffenen Personen beeinträchtigen.

(b) Diese Klauseln berühren nicht die Verpflichtungen, denen der Datenexporteur aufgrund der Verordnung (EU) 2016/679 unterliegt.

Klausel 3

Drittbegünstigte

(a) Betroffene Personen können diese Klauseln als Drittbegünstigte gegenüber dem Datenexporteur und/oder Datenimporteur geltend machen und durchsetzen, mit den folgenden Ausnahmen:

(i) Klausel 1, Klausel 2, Klausel 3, Klausel 6, Klausel 7;

(ii) Klausel 8 - Modul Eins: Klausel 8.5 (e) und Klausel 8.9(b); Modul Zwei: Klausel 8.1(b), 8.9(a), (c), (d) und (e); Modul Drei: Klausel 8.1 (a), (c) und (d) und Klausel 8.9 (a), (c), (d), (e), (f) und (g); Modul Vier: Klausel 8.1 (b) und Klausel 8.3 (b);

(iii) Klausel 9 - Modul Zwei: Klausel 9 (a), (c), (d) und (e); Modul Drei: Klausel 9 (a), (c), (d) und (e);

(iv) Klausel 12 - Modul Eins: Klausel 12(a) und (d); Module Zwei und Drei: Klausel 12(a), (d) und (f);

(v) Klausel 13;

(vi) Klausel 15.1 Buchstaben c), d) und e);

(vii) Klausel 16 (e);

(viii) Klausel 18 - Module Eins, Zwei und Drei: Klausel 18(a) und (b); Modul Vier: Klausel 18.

(b) Buchstabe a gilt unbeschadet der Rechte der betroffenen Personen gemäß der Verordnung (EU) 2016/679.

Klausel 4

Auslegung

(a) Wenn in diesen Klauseln Begriffe verwendet werden, die in der Verordnung (EU) 2016/679 definiert sind, haben diese Begriffe die gleiche Bedeutung wie in der genannten Verordnung.

(b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 zu lesen und auszulegen.

(c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die im Widerspruch zu den in der Verordnung (EU) 2016/679 vorgesehenen Rechten und Pflichten steht.

Klausel 5

Hierarchie

Im Falle eines Widerspruchs zwischen den vorliegenden Klauseln und den Bestimmungen verbundener Vereinbarungen zwischen den Parteien, die zum Zeitpunkt der Vereinbarung dieser Klauseln bestehen oder danach abgeschlossen werden, haben die vorliegenden Klauseln Vorrang.

Klausel 6

Beschreibung der Übertragung(en)

Die Einzelheiten der Übermittlung(en), insbesondere die Kategorien personenbezogener Daten, die übermittelt werden, und der/die Zweck(e), zu dem/denen sie übermittelt werden, sind in Anhang I.B aufgeführt.

Klausel 7

Andockklausel

(a) Ein Rechtsträger, der nicht Vertragspartei dieser Klauseln ist, kann mit Zustimmung der Vertragsparteien diesen Klauseln jederzeit beitreten, entweder als Datenexporteur oder als Datenimporteur, indem er die Anlage ausfüllt und Anhang I.A unterzeichnet.

(b) Sobald die beitretende Stelle die Anlage ausgefuellt und Anhang I.A unterzeichnet hat, wird sie Vertragspartei dieser Klauseln und hat die Rechte und Pflichten eines Datenexporteurs oder Datenimporteurs entsprechend ihrer Bezeichnung in Anhang I.A.

(c) Die beitretende Einrichtung hat keine Rechte und Pflichten, die sich aus diesen Klauseln aus der Zeit vor ihrem Beitritt zu einer Vertragspartei ergeben.

ABSCHNITT II - VERPFLICHTUNGEN DER PARTEIEN

Klausel 8

Datenschutzgarantien

Der Datenexporteur gewährleistet, dass er sich in angemessener Weise vergewissert hat, dass der Datenimporteur durch geeignete technische und organisatorische Maßnahmen in der Lage ist, seinen Verpflichtungen aus diesen Klauseln nachzukommen.

8.1 Anweisungen

(a) Der Datenimporteur darf die personenbezogenen Daten nur auf dokumentierte Weisung des Datenexporteurs verarbeiten. Der Datenexporteur kann solche Anweisungen während der gesamten Laufzeit des Vertrags erteilen.

(b) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er diese Anweisungen nicht befolgen kann.

8.2 Zweckbindung

Der Datenimporteur verarbeitet die personenbezogenen Daten nur für die in Anhang I.B aufgeführten spezifischen Zwecke der Übermittlung, es sei denn, der Datenexporteur erteilt weitere Anweisungen.

8.3 Transparenz

Der Datenexporteur stellt der betroffenen Person auf Anfrage unentgeltlich ein Exemplar dieser Klauseln einschließlich des von den Parteien ausgefüllten Anhangs zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich der in Anhang II beschriebenen Maßnahmen und personenbezogener Daten, erforderlich ist, kann der Datenexporteur Teile des Textes der Anlage zu diesen Klauseln vor der Weitergabe einer Kopie unkenntlich machen, muss aber eine aussagekräftige Zusammenfassung zur Verfügung stellen, wenn die betroffene Person andernfalls nicht in der Lage wäre, den Inhalt zu verstehen oder ihre Rechte auszuüben. Auf Anfrage teilen die Parteien der betroffenen Person die Gründe für die Schwärzungen mit, soweit dies ohne Offenlegung der geschwärzten Informationen möglich ist. Diese Klausel berührt nicht die Verpflichtungen des Datenexporteurs nach den Artikeln 13 und 14 der Verordnung (EU) 2016/679.

8.4 Korrektheit

Stellt der Datenimporteur fest, dass die von ihm erhaltenen personenbezogenen Daten unrichtig oder veraltet sind, informiert er den Datenexporteur unverzüglich. In diesem Fall arbeitet der Datenimporteur mit dem Datenexporteur bei der Löschung oder Berichtigung der Daten zusammen.

8.5 Dauer der Verarbeitung und Löschung oder Rückgabe der Daten

Nach Beendigung der Erbringung der Verarbeitungsdienste löscht der Datenimporteur nach Wahl des Datenexporteurs alle im Auftrag des Datenexporteurs verarbeiteten personenbezogenen Daten und bescheinigt dem Datenexporteur, dass er dies getan hat, oder er gibt dem Datenexporteur alle in seinem Auftrag verarbeiteten personenbezogenen Daten zurück und löscht vorhandene Kopien. Bis zur Löschung oder Rückgabe der Daten hat der Datenimporteur weiterhin die Einhaltung dieser Klauseln zu gewährleisten. Für den Fall, dass die für den Datenimporteur geltenden lokalen Gesetze die Rückgabe oder Löschung der personenbezogenen Daten verbieten, garantiert der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln gewährleistet und die Daten nur in dem Umfang und so lange verarbeitet, wie es die lokalen Gesetze verlangen. Dies gilt unbeschadet der Klausel 14, insbesondere der Verpflichtung des Datenimporteurs gemäß Klausel 14 Buchstabe e), den Datenexporteur während der gesamten Laufzeit des Vertrags zu benachrichtigen, wenn er Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterworfen wurde, die nicht mit den Anforderungen gemäß Klausel 14 Buchstabe a) im Einklang stehen.

8.6 Sicherheit der Verarbeitung

(a) Der Datenimporteur und - bei der Übermittlung - auch der Datenexporteur ergreift geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einer Sicherheitsverletzung, die zur zufälligen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Weitergabe oder zum unbefugten Zugang zu diesen Daten führt (nachstehend "Verletzung des Schutzes personenbezogener Daten"). Bei der Bewertung des angemessenen Sicherheitsniveaus tragen die Vertragsparteien dem Stand der Technik, den Kosten der Umsetzung, der Art, dem Umfang, den Umständen und dem Zweck/den Zwecken der Verarbeitung sowie den mit der Verarbeitung verbundenen Risiken für die betroffenen Personen gebührend Rechnung. Die Vertragsparteien erwägen insbesondere den Rückgriff auf Verschlüsselung oder Pseudonymisierung, auch während der Übermittlung, wenn der Zweck der Verarbeitung auf diese Weise erfüllt werden kann. Im Falle der Pseudonymisierung verbleiben die zusätzlichen Informationen, mit denen die personenbezogenen Daten einer bestimmten betroffenen Person zugeordnet werden können, nach Möglichkeit unter der ausschließlichen Kontrolle des Datenexporteurs. Der Datenimporteur kommt seinen Verpflichtungen nach diesem Absatz nach, indem er zumindest die in Anhang II genannten technischen und organisatorischen Maßnahmen durchführt. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Maß an Sicherheit bieten.

(b) Der Datenimporteur gewährt seinen Mitarbeitern nur insoweit Zugang zu den personenbezogenen Daten, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Er stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(c) Im Falle einer Verletzung des Schutzes personenbezogener Daten in Bezug auf personenbezogene Daten, die vom Datenimporteur im Rahmen dieser Klauseln verarbeitet werden, ergreift der Datenimporteur geeignete Maßnahmen, um die Verletzung zu beheben, einschließlich Maßnahmen zur Milderung ihrer nachteiligen Auswirkungen. Der Datenimporteur benachrichtigt auch den Datenexporteur unverzüglich, nachdem er von der Verletzung Kenntnis erlangt hat. Diese Benachrichtigung enthält die Angaben zu einer Kontaktstelle, bei der weitere Informationen eingeholt werden können, eine Beschreibung der Art der Verletzung (möglichst einschließlich der Kategorien und der ungefähren Zahl der betroffenen Personen und der betroffenen personenbezogenen Datensätze), ihre wahrscheinlichen Folgen und die getroffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung, gegebenenfalls einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen. Ist es nicht möglich, alle Informationen gleichzeitig zur Verfügung zu stellen, so enthält die erste Meldung die zu diesem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, ohne unangemessene Verzögerung nachgereicht.

(d) Der Datenimporteur arbeitet mit dem Datenexporteur zusammen und unterstützt ihn, damit der Datenexporteur seinen Verpflichtungen gemäß der Verordnung (EU) 2016/679 nachkommen kann, insbesondere bei der Meldung an die zuständige Aufsichtsbehörde und die betroffenen Personen, wobei die Art der Verarbeitung und die dem Datenimporteur zur Verfügung stehenden Informationen berücksichtigt werden.

8.7 Sensible Daten

Betrifft die Übermittlung personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetische Daten oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Daten über Gesundheit oder das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten (im Folgenden "sensible Daten"), so wendet der Datenimporteur die in Anhang I.B beschriebenen spezifischen Einschränkungen und/oder zusätzlichen Garantien an.

8.8 Weitergabe von Daten

Der Datenimporteur gibt die personenbezogenen Daten nur auf dokumentierte Anweisung des Datenexporteurs an Dritte weiter. Darüber hinaus dürfen die Daten nur dann an einen außerhalb der Europäischen Union ansässigen Dritten (im selben Land wie der Datenimporteur oder in einem anderen Drittland, nachstehend "Weiterübermittlung") weitergegeben werden, wenn der Dritte im Rahmen des entsprechenden Moduls an diese Klauseln gebunden ist oder sich damit einverstanden erklärt, oder wenn:

(i) die Weiterübermittlung in ein Land erfolgt, für das ein Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 gilt, der die Weiterübermittlung abdeckt;

(ii) der Dritte anderweitig angemessene Garantien gemäß Artikel 46 oder 47 der Verordnung (EU) 2016/679 in Bezug auf die betreffende Verarbeitung gewährleistet;

(iii) die Weiterübermittlung ist für die Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen eines bestimmten Verwaltungs-, Aufsichts- oder Gerichtsverfahrens erforderlich; oder

(iv) die Weiterübermittlung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.

Jede Weiterübermittlung setzt voraus, dass der Datenimporteur alle anderen Garantien gemäß diesen Klauseln, insbesondere die Zweckbindung, einhält.

8.9 Dokumentation und Einhaltung

(a) Der Datenimporteur hat Anfragen des Datenexporteurs, die sich auf die Verarbeitung nach diesen Klauseln beziehen, unverzüglich und angemessen zu beantworten.

(b) Die Parteien müssen in der Lage sein, die Einhaltung dieser Klauseln nachzuweisen. Insbesondere führt der Datenimporteur eine angemessene Dokumentation über die im Auftrag des Datenexporteurs durchgeführten Verarbeitungstätigkeiten.

(c) Der Datenimporteur stellt dem Datenexporteur alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten Verpflichtungen erforderlich sind, und ermöglicht auf Ersuchen des Datenexporteurs in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung Audits der unter diese Klauseln fallenden Verarbeitungstätigkeiten und trägt zu diesen bei. Bei der Entscheidung über eine Überprüfung oder ein Audit kann der Datenexporteur die einschlägigen Zertifizierungen des Datenimporteurs berücksichtigen.

(d) Der Datenexporteur kann das Audit entweder selbst durchführen oder einen unabhängigen Prüfer beauftragen. Audits können Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Datenimporteurs umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.

(e) Die Vertragsparteien stellen die unter den Buchstaben b) und c) genannten Informationen, einschließlich der Ergebnisse von Audits, der zuständigen Kontrollstelle auf Anfrage zur Verfügung.

Klausel 9

Einsatz von Unterauftragsverarbeitern

(a) Der Datenimporteur hat die allgemeine Genehmigung des Datenexporteurs für die Beauftragung von Unterauftragsverarbeitern aus einer vereinbarten Liste. Der Datenimporteur unterrichtet den Datenexporteur mindestens vierzehn Tage im Voraus schriftlich über jede beabsichtigte Änderung dieser Liste durch Hinzufügung oder Ersetzung von Unterauftragsverarbeitern, so dass der Datenexporteur genügend Zeit hat, vor der Beauftragung des/der Unterauftragsverarbeiter(s) Einspruch gegen diese Änderungen zu erheben. Der Datenimporteur stellt dem Datenexporteur die erforderlichen Informationen zur Verfügung, damit der Datenexporteur sein Widerspruchsrecht ausüben kann.

(b) Beauftragt der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Namen des Datenexporteurs), so erfolgt dies im Wege eines schriftlichen Vertrags, der im Wesentlichen dieselben Datenschutzverpflichtungen vorsieht, an die der Datenimporteur nach diesen Klauseln gebunden ist, auch in Bezug auf die Rechte der betroffenen Personen als Drittbegünstigte. Die Vertragsparteien kommen überein, dass der Datenimporteur durch die Einhaltung dieser Klausel seine Verpflichtungen nach Klausel 8.8 erfüllt. Der Datenimporteur stellt sicher, dass der Unterauftragsverarbeiter die Verpflichtungen einhält, denen der Datenimporteur nach diesen Klauseln unterliegt.

(c) Der Datenimporteur stellt dem Datenexporteur auf dessen Verlangen eine Kopie eines solchen Unterauftragsverarbeitungsvertrags und aller späteren Änderungen zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Datenimporteur den Text der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.

(d) Der Datenimporteur bleibt gegenüber dem Datenexporteur in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters aus seinem Vertrag mit dem Datenimporteur verantwortlich. Der Datenimporteur unterrichtet den Datenexporteur, wenn der Unterauftragsverarbeiter seinen Verpflichtungen aus diesem Vertrag nicht nachkommt.

(e) Der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigungsklausel, nach der der Datenexporteur für den Fall, dass der Datenimporteur faktisch oder rechtlich nicht mehr existiert oder zahlungsunfähig geworden ist, das Recht hat, den Unterauftragsverarbeitungsvertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

Klausel 10

Rechte der betroffenen Person

(a) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich über jedes Ersuchen, das er von einer betroffenen Person erhalten hat. Er darf diesem Ersuchen nicht selbst nachkommen, es sei denn, er ist vom Datenexporteur dazu ermächtigt worden.

(b) Der Datenimporteur unterstützt den Datenexporteur bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen betroffener Personen auf Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679. Zu diesem Zweck legen die Vertragsparteien in Anhang II die geeigneten technischen und organisatorischen Maßnahmen unter Berücksichtigung der Art der Verarbeitung fest, mit denen die Unterstützung geleistet werden soll, sowie den Umfang und das Ausmaß der erforderlichen Unterstützung.

(c) Bei der Erfüllung seiner Verpflichtungen nach den Buchstaben a) und b) hat der Datenimporteur die Anweisungen des Datenexporteurs zu befolgen.

Klausel 11

Abhilfe

(a) Der Datenimporteur informiert die betroffenen Personen in einem transparenten und leicht zugänglichen Format durch individuelle Mitteilung oder auf seiner Website über eine Kontaktstelle, die für die Bearbeitung von Beschwerden zuständig ist. Er bearbeitet alle Beschwerden, die er von einer betroffenen Person erhält, unverzüglich.

(b) Bei Streitigkeiten zwischen einer betroffenen Person und einer der Vertragsparteien über die Einhaltung dieser Klauseln bemüht sich die betreffende Vertragspartei nach besten Kräften um eine rasche gütliche Beilegung der Angelegenheit. Die Vertragsparteien halten sich gegenseitig über solche Streitigkeiten auf dem Laufenden und arbeiten gegebenenfalls bei deren Beilegung zusammen.

(c) Beruft sich die betroffene Person auf ein Drittbegünstigungsrecht nach Klausel 3, so akzeptiert der Datenimporteur die Entscheidung der betroffenen Person:

(i) eine Beschwerde bei der Aufsichtsbehörde des Mitgliedstaats, in dem sie ihren gewöhnlichen Aufenthalt oder ihren Arbeitsplatz hat, oder bei der zuständigen Aufsichtsbehörde gemäß Klausel 13 einzureichen;

(ii) den Streitfall den zuständigen Gerichten im Sinne von Klausel 18 vorzulegen.

(d) Die Vertragsparteien akzeptieren, dass die betroffene Person unter den in Artikel 80 Absatz 1 der Verordnung (EU) 2016/679 genannten Bedingungen durch eine gemeinnützige Einrichtung, Organisation oder Vereinigung vertreten werden kann.

(e) Der Datenimporteur hält sich an eine Entscheidung, die nach dem geltenden Recht der EU oder eines Mitgliedstaats verbindlich ist.

(f) Der Datenimporteur erklärt sich damit einverstanden, dass die von der betroffenen Person getroffene Entscheidung ihre materiell- und verfahrensrechtlichen Rechte auf Einlegung von Rechtsbehelfen gemäß den geltenden Rechtsvorschriften nicht beeinträchtigt.

Klausel 12

Haftung

(a) Jede Vertragspartei haftet der anderen Vertragspartei/den anderen Vertragsparteien für alle Schäden, die sie der anderen Vertragspartei/den anderen Vertragsparteien durch einen Verstoß gegen diese Klauseln zufügt.

(b) Der Datenimporteur haftet gegenüber der betroffenen Person für jeden materiellen oder immateriellen Schaden, den der Datenimporteur oder sein Unterauftragsverarbeiter der betroffenen Person durch eine Verletzung der Rechte des Drittbegünstigten gemäß diesen Klauseln zufügt, und die betroffene Person hat Anspruch auf Schadenersatz.

(c) Ungeachtet des Buchstabens b) haftet der Datenexporteur gegenüber der betroffenen Person für alle materiellen oder immateriellen Schäden, die der Datenexporteur oder der Datenimporteur (oder sein Unterauftragsverarbeiter) der betroffenen Person durch die Verletzung der Rechte des Drittbegünstigten nach diesen Klauseln zufügt, und die betroffene Person hat Anspruch auf Schadenersatz. Dies gilt unbeschadet der Haftung des Datenexporteurs und, wenn der Datenexporteur ein Auftragsverarbeiter ist, der im Auftrag eines für die Verarbeitung Verantwortlichen handelt, der Haftung des für die Verarbeitung Verantwortlichen gemäß der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725.

(d) Die Vertragsparteien kommen überein, dass der Datenexporteur für den Fall, dass er gemäß Buchstabe c für einen vom Datenimporteur (oder seinem Unterauftragsverarbeiter) verursachten Schaden haftbar gemacht wird, berechtigt ist, vom Datenimporteur den Teil des Schadensersatzes zurückzufordern, der der Verantwortung des Datenimporteurs für den Schaden entspricht.

(e) Ist mehr als eine Partei für einen Schaden verantwortlich, der der betroffenen Person infolge eines Verstoßes gegen diese Klauseln entstanden ist, so haften alle verantwortlichen Parteien gesamtschuldnerisch, und die betroffene Person ist berechtigt, jede dieser Parteien gerichtlich in Anspruch zu nehmen.

(f) Die Parteien vereinbaren, dass eine Partei, die gemäß Buchstabe e) haftbar gemacht wird, berechtigt ist, von der/den anderen Partei(en) den Teil des Schadensersatzes zurückzufordern, der ihrer Verantwortung für den Schaden entspricht.

(g) Der Datenimporteur kann sich nicht auf das Verhalten eines Unterauftragsverarbeiters berufen, um seine eigene Haftung zu umgehen.

Klausel 13

Aufsicht

(a) Ist der Datenexporteur in einem EU-Mitgliedstaat niedergelassen, fungiert die in Anhang I.C angegebene Aufsichtsbehörde, die dafür zuständig ist, die Einhaltung der Verordnung (EU) 2016/679 durch den Datenexporteur in Bezug auf die Datenübermittlung sicherzustellen, als zuständige Aufsichtsbehörde.

Ist der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen, fällt aber gemäß Artikel 3 Absatz 2 der Verordnung (EU) 2016/679 in deren räumlichen Anwendungsbereich und hat er einen Vertreter gemäß Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 bestellt, so handelt die in Anhang I.C angegebene Aufsichtsbehörde des Mitgliedstaats, in dem der Vertreter im Sinne von Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 niedergelassen ist, als zuständige Aufsichtsbehörde.

Ist der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen, fällt aber in den territorialen Anwendungsbereich der Verordnung (EU) 2016/679 gemäß deren Artikel 3 Absatz 2, ohne jedoch einen Vertreter im Sinne von Artikel 27 Absatz 2 der Verordnung (EU) 2016/679 benennen zu müssen, so fungiert die Aufsichtsbehörde eines der Mitgliedstaaten, in dem sich die betroffenen Personen, deren personenbezogene Daten gemäß diesen Klauseln im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an sie übermittelt werden oder deren Verhalten überwacht wird, wie in Anhang I.C angegeben, befinden, als zuständige Aufsichtsbehörde.

(b) Der Datenimporteur erklärt sich damit einverstanden, sich der Rechtsprechung der zuständigen Kontrollstelle zu unterwerfen und mit ihr bei allen Verfahren zusammenzuarbeiten, die darauf abzielen, die Einhaltung dieser Klauseln zu gewährleisten. Insbesondere erklärt sich der Datenimporteur bereit, auf Anfragen zu antworten, sich Prüfungen zu unterziehen und die von der Aufsichtsbehörde erlassenen Maßnahmen, einschließlich Abhilfe- und Ausgleichsmaßnahmen, zu befolgen. Er bestätigt der Aufsichtsbehörde schriftlich, dass die erforderlichen Maßnahmen ergriffen worden sind.

ABSCHNITT III - LOKALE GESETZE UND VERPFLICHTUNGEN IM FALLE DES ZUGRIFFS DURCH BEHÖRDEN

Klausel 14

Örtliche Rechtsvorschriften und Praktiken, die sich auf die Einhaltung der Klauseln auswirken

(a) Die Vertragsparteien gewährleisten, dass sie keinen Grund zu der Annahme haben, dass die im Bestimmungsdrittland für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Gesetze und Gepflogenheiten, einschließlich etwaiger Vorschriften über die Offenlegung personenbezogener Daten oder Maßnahmen zur Gewährung des Zugangs von Behörden, den Datenimporteur an der Erfüllung seiner Verpflichtungen aus diesen Klauseln hindern. Dabei wird davon ausgegangen, dass Gesetze und Praktiken, die den Kern der Grundrechte und -freiheiten achten und nicht über das hinausgehen, was in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele zu schützen, nicht im Widerspruch zu diesen Klauseln stehen.

(b) Die Vertragsparteien erklären, dass sie bei der Abgabe der Garantie nach Buchstabe a) insbesondere die folgenden Elemente gebührend berücksichtigt haben:

(i) die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übermittlungskanäle; beabsichtigte Weiterübermittlungen; die Art des Empfängers; der Zweck der Verarbeitung; die Kategorien und das Format der übermittelten personenbezogenen Daten; der Wirtschaftssektor, in dem die Übermittlung erfolgt; der Speicherort der übermittelten Daten;

(ii) die Gesetze und Praktiken des Bestimmungsdrittlandes - einschließlich derjenigen, die die Weitergabe von Daten an Behörden vorschreiben oder den Zugang solcher Behörden gestatten -, die angesichts der besonderen Umstände der Übermittlung relevant sind, sowie die geltenden Beschränkungen und Garantien;

(iii) alle einschlägigen vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß diesen Klauseln eingeführt wurden, einschließlich der Maßnahmen, die während der Übermittlung und bei der Verarbeitung der personenbezogenen Daten im Bestimmungsland angewandt werden.

(c) Der Datenimporteur gewährleistet, dass er sich bei der Durchführung der Bewertung nach Buchstabe b) nach besten Kräften bemüht hat, dem Datenexporteur einschlägige Informationen zur Verfügung zu stellen, und erklärt sich bereit, weiterhin mit dem Datenexporteur zusammenzuarbeiten, um die Einhaltung dieser Klauseln zu gewährleisten.

(d) Die Vertragsparteien kommen überein, die Beurteilung nach Buchstabe b) zu dokumentieren und sie der zuständigen Kontrollstelle auf Anfrage zur Verfügung zu stellen.

(e) Der Datenimporteur erklärt sich bereit, den Datenexporteur unverzüglich zu benachrichtigen, wenn er nach der Zustimmung zu diesen Klauseln und während der Laufzeit des Vertrags Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterworfen wurde, die nicht mit den Anforderungen nach Buchstabe a) im Einklang stehen, einschließlich einer Änderung der Gesetze des Drittlandes oder einer Maßnahme (wie einer Aufforderung zur Offenlegung), die darauf hindeutet, dass die Anwendung dieser Gesetze in der Praxis nicht mit den Anforderungen nach Buchstabe a) im Einklang steht.

(f) Nach einer Meldung gemäß Buchstabe e oder wenn der Datenexporteur anderweitig Grund zu der Annahme hat, dass der Datenimporteur seinen Verpflichtungen gemäß diesen Klauseln nicht mehr nachkommen kann, legt der Datenexporteur unverzüglich geeignete Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit) fest, die vom Datenexporteur und/oder Datenimporteur zu ergreifen sind, um der Situation zu begegnen. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Ansicht ist, dass keine angemessenen Garantien für eine solche Übermittlung gewährleistet werden können, oder wenn er von der zuständigen Kontrollstelle dazu angewiesen wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten nach diesen Klauseln betrifft. Sind an dem Vertrag mehr als zwei Parteien beteiligt, so kann der Datenexporteur dieses Kündigungsrecht nur gegenüber der betreffenden Partei ausüben, es sei denn, die Parteien haben etwas anderes vereinbart. Wird der Vertrag gemäß dieser Klausel gekündigt, so gilt Klausel 16 Buchstaben d) und e).

Klausel 15

Pflichten des Datenimporteurs im Falle des Zugriffs durch öffentliche Stellen

15.1 Benachrichtigung

(a) Der Datenimporteur verpflichtet sich, den Datenexporteur und, soweit möglich, die betroffene Person unverzüglich zu benachrichtigen (erforderlichenfalls mit Hilfe des Datenexporteurs), wenn er:

(i) ein rechtsverbindliches Ersuchen einer Behörde, einschließlich einer Justizbehörde, nach dem Recht des Bestimmungslandes um Offenlegung der gemäß diesen Klauseln übermittelten personenbezogenen Daten erhält; diese Benachrichtigung muss Informationen über die angeforderten personenbezogenen Daten, die ersuchende Behörde, die Rechtsgrundlage für das Ersuchen und die erteilte Antwort enthalten; oder

(ii) Kenntnis von einem direkten Zugriff öffentlicher Stellen auf personenbezogene Daten erlangt, die gemäß den Rechtsvorschriften des Bestimmungslandes nach diesen Klauseln übermittelt wurden; die Meldung muss alle dem Einführer zur Verfügung stehenden Informationen enthalten.

(b) Ist es dem Datenimporteur nach dem Recht des Bestimmungslandes untersagt, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, erklärt sich der Datenimporteur bereit, sich nach besten Kräften zu bemühen, eine Befreiung von diesem Verbot zu erwirken, um so schnell wie möglich so viele Informationen wie möglich zu übermitteln. Der Datenimporteur erklärt sich bereit, seine Bemühungen zu dokumentieren, damit er sie auf Anfrage des Datenexporteurs nachweisen kann.

c) Der Datenimporteur erklärt sich bereit, dem Datenexporteur während der Laufzeit des Vertrags in regelmäßigen Abständen so viele sachdienliche Informationen wie möglich über die eingegangenen Ersuchen zu übermitteln (insbesondere Anzahl der Ersuchen, Art der angeforderten Daten, ersuchende Behörde(n), ob gegen die Ersuchen Widerspruch eingelegt wurde und wie dieser ausgegangen ist usw.), sofern dies nach den Rechtsvorschriften des Bestimmungslandes zulässig ist.

(d) Der Datenimporteur verpflichtet sich, die unter den Buchstaben a) bis c) genannten Informationen während der Laufzeit des Vertrags aufzubewahren und sie der zuständigen Kontrollstelle auf Anfrage zur Verfügung zu stellen.

(e) Die Absätze a) bis c) berühren nicht die Verpflichtung des Datenimporteurs gemäß Klausel 14 Buchstabe e) und Klausel 16, den Datenexporteur unverzüglich zu informieren, wenn er diese Klauseln nicht einhalten kann.

15.2 Überprüfung der Rechtmäßigkeit und Datenminimierung

a) Der Datenimporteur erklärt sich bereit, die Rechtmäßigkeit des Offenlegungsersuchens zu überprüfen, insbesondere, ob es im Rahmen der der ersuchenden Behörde eingeräumten Befugnisse bleibt, und das Ersuchen anzufechten, wenn er nach sorgfältiger Prüfung zu dem Schluss kommt, dass es berechtigte Gründe für die Annahme gibt, dass das Ersuchen nach dem Recht des Bestimmungslandes, den geltenden völkerrechtlichen Verpflichtungen und den Grundsätzen des internationalen Verständnisses (comity) rechtswidrig ist. Der Datenimporteur muss unter den gleichen Bedingungen Rechtsmittel einlegen können. Bei Anfechtung eines Ersuchens beantragt der Datenimporteur einstweilige Maßnahmen mit dem Ziel, die Wirkungen des Ersuchens auszusetzen, bis die zuständige Justizbehörde über die Begründetheit des Ersuchens entschieden hat. Er gibt die angeforderten personenbezogenen Daten erst dann weiter, wenn er nach den geltenden Verfahrensvorschriften dazu verpflichtet ist. Diese Anforderungen gelten unbeschadet der Verpflichtungen des Datenimporteurs nach Klausel 14 Buchstabe e).

(b) Der Datenimporteur erklärt sich bereit, seine rechtliche Bewertung und etwaige Einwände gegen den Antrag auf Weitergabe zu dokumentieren und die Dokumentation, soweit nach den Rechtsvorschriften des Bestimmungslandes zulässig, dem Datenexporteur zur Verfügung zu stellen. Er stellt sie auch der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung.

(c) Der Datenimporteur erklärt sich bereit, bei der Beantwortung eines Auskunftsersuchens das zulässige Mindestmaß an Informationen auf der Grundlage einer angemessenen Auslegung des Ersuchens zur Verfügung zu stellen.

ABSCHNITT IV - SCHLUSSBESTIMMUNGEN

Klausel 16

Nichteinhaltung der Klauseln und Kündigung

(a) Der Datenimporteur informiert den Datenexporteur unverzüglich, wenn er diese Klauseln - aus welchen Gründen auch immer - nicht einhalten kann.

(b) Verstößt der Datenimporteur gegen diese Klauseln oder ist er nicht in der Lage, diese Klauseln einzuhalten, so setzt der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aus, bis die Einhaltung der Klauseln wieder gewährleistet ist oder der Vertrag beendet wird. Dies gilt unbeschadet der Klausel 14 Buchstabe f).

(c) Der Datenexporteur ist berechtigt, den Vertrag, soweit er die Verarbeitung personenbezogener Daten nach diesen Klauseln betrifft, zu kündigen, wenn:

(i) der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Buchstabe b) ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wird;

(ii) der Datenimporteur in erheblichem Maße oder anhaltend gegen diese Klauseln verstößt; oder

(iii) der Datenimporteur einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer Aufsichtsbehörde in Bezug auf seine Verpflichtungen nach diesen Klauseln nicht nachkommt.

In diesen Fällen unterrichtet er die zuständige Aufsichtsbehörde über diese Nichteinhaltung. Sind an dem Vertrag mehr als zwei Parteien beteiligt, so kann der Datenexporteur dieses Kündigungsrecht nur gegenüber der betreffenden Partei ausüben, es sei denn, die Parteien haben etwas anderes vereinbart.

(d) Personenbezogene Daten, die vor der Beendigung des Vertrags gemäß Absatz c) übermittelt wurden, sind nach Wahl des Datenexporteurs unverzüglich an diesen zurückzugeben oder vollständig zu löschen. Gleiches gilt für etwaige Kopien der Daten. Der Datenimporteur hat dem Datenexporteur die Löschung der Daten zu bescheinigen. Bis zur Löschung oder Rückgabe der Daten sorgt der Datenimporteur weiterhin für die Einhaltung dieser Klauseln. Für den Fall, dass die für den Datenimporteur geltenden lokalen Gesetze die Rückgabe oder Löschung der übermittelten personenbezogenen Daten verbieten, garantiert der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln gewährleistet und die Daten nur in dem Umfang und so lange verarbeitet, wie es die lokalen Gesetze vorschreiben.

(e) Jede Vertragspartei kann ihr Einverständnis, an diese Klauseln gebunden zu sein, widerrufen, wenn (i) die Europäische Kommission einen Beschluss gemäß Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 erlässt, der die Übermittlung personenbezogener Daten, für die diese Klauseln gelten, abdeckt, oder (ii) die Verordnung (EU) 2016/679 Teil des Rechtsrahmens des Landes wird, in das die personenbezogenen Daten übermittelt werden. Dies gilt unbeschadet anderer Verpflichtungen, die für die betreffende Verarbeitung gemäß der Verordnung (EU) 2016/679 gelten.

Klausel 17

Geltendes Recht

Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, sofern dieses Recht das Recht des Drittbegünstigten zulässt. Die Parteien vereinbaren, dass dies das Recht Irlands sein soll.

Klausel 18

Wahl des Gerichtsstands und Gerichtsbarkeit

(a) Alle Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten eines EU-Mitgliedstaates beigelegt.

(b) Die Parteien vereinbaren, dass dies die Gerichte Irlands sein sollen.

(c) Eine betroffene Person kann den Datenexporteur und/oder Datenimporteur auch vor den Gerichten des Mitgliedstaats verklagen, in dem sie ihren gewöhnlichen Aufenthalt hat.

(d) Die Vertragsparteien vereinbaren, sich der Zuständigkeit dieser Gerichte zu unterwerfen.

ANHANG I

A. LISTE DER PARTEIEN

Datenexporteur(e):

1.

Name: ...

Adresse: ...

Name, Position und Kontaktdaten der Kontaktperson: ...

Tätigkeiten im Zusammenhang mit den gemäß diesen Klauseln übermittelten Daten: ...

Unterschrift und Datum: ...

Rolle (Verantwortlicher/Verarbeiter): ...für die Verarbeitung Verantwortlicher

Datenimporteur(en):

1.

Name: ...Origins Technology Ltd.

Adresse: ...

Name, Position und Kontaktdaten der Kontaktperson: ...

Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Bereitstellung von Lösungseinblicken für berechtigte Benutzer.

Unterschrift und Datum: ...

Rolle (Verantwortlicher/Verarbeiter): ...Bearbeiter

B. BESCHREIBUNG DER ÜBERTRAGUNG

Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden

Ansprechpartner des Kunden und andere Endnutzer, die vom Kunden zur Nutzung der Kaiterra Produkte ermächtigt wurden, einschließlich der Mitarbeiter und Auftragnehmer des Kunden sowie der Mitarbeiter und Besucher der Büros des Kunden.

Kategorien der übermittelten personenbezogenen Daten

Identifizierungs- und Kontaktdaten (Name, E-Mail, Titel, Kontaktinformationen usw.); Beschäftigungsdaten (Arbeitgeber, Mitarbeiter-ID, Berufsbezeichnung, Abteilung usw.); nutzungsbezogene Daten für die Kaiterra Produkte und die Systeme, die zur Bereitstellung und Unterstützung der Kaiterra Produkte verwendet werden; und andere elektronische Daten, die von den Kaiterra Produkten übermittelt, gespeichert, gesendet oder empfangen werden.

Übermittelte sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Schutzmaßnahmen, die der Art der Daten und den damit verbundenen Risiken in vollem Umfang Rechnung tragen, wie z. B. strikte Zweckbindung, Zugangsbeschränkungen (einschließlich des Zugangs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnung des Zugangs zu den Daten, Beschränkungen für die Weiterübermittlung oder zusätzliche Sicherheitsmaßnahmen.

Keine.

Häufigkeit der Übermittlung (z. B. ob die Daten einmalig oder kontinuierlich übermittelt werden).

Art der Verarbeitung

...

Zweck(e) der Datenübermittlung und Weiterverarbeitung

Personenbezogene Daten werden zum Zweck der Bereitstellung der Kaiterra Produkte verarbeitet, die im Vertrag und in allen anwendbaren Bestellformularen oder Leistungsbeschreibungen beschrieben und anderweitig vereinbart sind.

Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, nach denen dieser Zeitraum bestimmt wird

...

Bei Übermittlungen an (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben

...

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

Irischer Datenschutzbeauftragter.

ANHANG II

TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MASSNAHMEN ZUR GEWÄHRLEISTUNG DER DATENSICHERHEIT

Kaiterra wendet derzeit die in diesem Anhang 2 beschriebenen Sicherheitspraktiken an. Ungeachtet anders lautender Bestimmungen, denen der Datenexporteur zugestimmt hat, kann Kaiterra diese Praktiken nach eigenem Ermessen ändern oder aktualisieren, sofern eine solche Änderung und Aktualisierung keine wesentliche Verschlechterung des durch diese Praktiken gebotenen Schutzes zur Folge hat. Alle in Großbuchstaben geschriebenen Begriffe, die hier nicht anderweitig definiert sind, haben die Bedeutung, die in den Kaiterra-Dienstbedingungen festgelegt ist.

Kaiterra wird die folgenden Arten von Sicherheitsmaßnahmen ergreifen:

1. Physische Zugangskontrolle

Zu den technischen und organisatorischen Maßnahmen, die verhindern sollen, dass Unbefugte Zugang zu den Datenverarbeitungssystemen in den Räumlichkeiten und Einrichtungen (einschließlich Datenbanken, Anwendungsservern und zugehöriger Hardware) erhalten, in denen personenbezogene Daten verarbeitet werden, gehören:

  • Einrichtung von Sicherheitsbereichen, Beschränkung der Zugangswege;
  • Festlegung von Zugangsberechtigungen für Mitarbeiter und Dritte;
  • Zugangskontrollsystem (Ausweisleser);
  • Schlüsselverwaltung, Schlüsselkartenverfahren;
  • Türverriegelung (elektrische Türöffner etc.);
  • Sicherheitspersonal, Hausmeister;
  • Überwachungseinrichtungen, Video/CCTV-Monitor, Alarmanlage;
  • Sicherung von dezentralen Datenverarbeitungsanlagen und Personalcomputern;
  • Einhaltung des Prinzips der geringsten Berechtigung und des zeitlich begrenzten Zugangs für befugtes Personal;
  • Clean-Desk-Richtlinie; und
  • WiFi- und LAN-Zugangsrichtlinien.



2. Virtuelle Zugangskontrolle

Zu den technischen und organisatorischen Maßnahmen, die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden, gehören:

  • Verfahren zur Identifizierung und Authentifizierung der Benutzer;
  • ID/Passwort-Sicherheitsverfahren (Sonderzeichen, Mindestlänge, Passwortrotation);
  • 2FA und/oder gleichwertige Verfahren für sichere Systeme;
  • Kurzfristiger Ablauf von Sitzungen;
  • Überwachung von Einbruchsversuchen und automatische Sperrung von Benutzerkonten nach mehreren fehlerhaften Anmeldeversuchen; und
  • Verschlüsselung von archivierten Datenträgern.

3. Kontrolle des Datenzugriffs

Zu den technischen und organisatorischen Maßnahmen, die sicherstellen, dass Personen, die zur Nutzung eines Datenverarbeitungssystems berechtigt sind, nur entsprechend ihren Zugriffsrechten Zugang zu den personenbezogenen Daten erhalten und dass personenbezogene Daten nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können, gehören:

  • Interne Richtlinien und Verfahren;
  • Kontrollierte Autorisierungssysteme;
  • Differenzierte Zugriffsrechte (Profile, Rollen, Transaktionen und Objekte);
  • Überwachung und Protokollierung von Zugriffen;
  • Disziplinarmaßnahmen gegen Mitarbeiter, die unbefugt auf personenbezogene Daten zugreifen;
  • Berichte über Zugriffe;
  • Zugriffsverfahren;
  • Änderungsverfahren;
  • Verfahren zur Löschung; und
  • Verschlüsselung.

4. Offenlegungskontrolle

Technische und organisatorische Maßnahmen, die sicherstellen, dass personenbezogene Daten während der elektronischen Übertragung, des Transports oder der Speicherung auf Speichermedien (manuell oder elektronisch) nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können und dass überprüft werden kann, an welche Unternehmen oder andere juristische Personen personenbezogene Daten weitergegeben werden, umfassen:

  • Begrenzter Zugang zu Entschlüsselungsschlüsseln;
  • Verschlüsselung/Tunneling;
  • Protokollierung / regelmäßige Überprüfung; und
  • Transportsicherheit.


5. Zugangskontrolle

Zu den technischen und organisatorischen Maßnahmen zur Überwachung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, geändert oder entfernt (gelöscht) wurden, gehören:

  • Protokollierungs- und Berichtssysteme; und
  • Prüfpfade und Dokumentation.

6. Kontrolle der Anweisungen

Zu den technischen und organisatorischen Maßnahmen, mit denen sichergestellt werden soll, dass personenbezogene Daten ausschließlich gemäß den Anweisungen des für die Verarbeitung Verantwortlichen verarbeitet werden, gehören:

  • Unmissverständliche Formulierung des Vertrags:
  • Förmliche Beauftragung; und
  • Kriterien für die Auswahl von Auftragsverarbeitern.


7. Kontrolle der Verfügbarkeit

Zu den technischen und organisatorischen Maßnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust (physisch/logisch) geschützt sind, gehören:

  • Backup-Verfahren;
  • Unterbrechungsfreie Stromversorgung (USV);
  • Fernspeicherung;
  • Verfügbarkeit über mehrere Regionen hinweg;
  • Antivirus-/Firewall-Systeme; und
  • Plan zur Wiederherstellung im Katastrophenfall.


8. Trennungssteuerung

Zu den technischen und organisatorischen Maßnahmen, die sicherstellen, dass personenbezogene Daten, die für unterschiedliche Zwecke erhoben wurden, getrennt verarbeitet werden können, gehören:

  • Trennung von Datenbanken;
  • Trennung von Funktionen (Produktion/Tests); und
  • Verfahren zur Speicherung, Änderung, Löschung und Übermittlung von Daten für unterschiedliche Zwecke.

ANHANG III

Unterauftragsverarbeiter

  • Amazon Webdienste
  • Google Analytics
  • Google BigQuery
  • Mixpanel
  • Hubspot
  • Katalysator

ANHANG 2

UK SCCs Controller an Verarbeiter

Parteien:

Name der datenexportierenden Organisation: .....................

Adresse: ............................................................

Land: ............................................................

Telefon: .........................................................

Fax: ..................................................................

E-Mail: ...............................................................

Weitere Informationen zur Identifizierung der Organisation

(der "Datenexporteur")

Und

Name der datenimportierenden Organisation: .........Origins Technology Ltd..........

Adresse: ......603 6/F Laws Commercial Plaza, 788 Cheung Sha Wan Road

Cheung Sha Wan, Kowlooon

..............................................

Land: ............Hongkong..............................................

Telefon: .......................................................

Fax: ...............................................................

E-Mail: ............................................................

Weitere Informationen zur Identifizierung der Organisation

(der "Datenimporteur")

Klausel 1. Begriffsbestimmungen

Für die Zwecke der Klauseln:

(a) Die Begriffe "personenbezogene Daten", "besondere Datenkategorien", "Verarbeitung", "für die Verarbeitung Verantwortlicher", "Auftragsverarbeiter", "betroffene Person" und "Beauftragter" haben die gleiche Bedeutung wie in der britischen Datenschutz-Grundverordnung;

(b) "der Datenexporteur" ist der für die Verarbeitung Verantwortliche, der die personenbezogenen Daten übermittelt;

(c) "Datenimporteur" bezeichnet den Auftragsverarbeiter, der sich bereit erklärt, vom Datenexporteur personenbezogene Daten zu erhalten, die nach der Übermittlung in seinem Namen gemäß seinen Anweisungen und den Bedingungen der Klauseln verarbeitet werden sollen, und der nicht einem Drittlandssystem unterliegt, das unter die Angemessenheitsvorschriften des Vereinigten Königreichs fällt, die gemäß Abschnitt 17A des Data Protection Act 2018 oder den Absätzen 4 und 5 von Schedule 21 des Data Protection Act 2018 erlassen wurden;

(d) "Unterauftragsverarbeiter" ist jeder vom Datenimporteur oder von einem anderen Unterauftragsverarbeiter des Datenimporteurs beauftragte Auftragsverarbeiter, der sich bereit erklärt, vom Datenimporteur oder von einem anderen Unterauftragsverarbeiter des Datenimporteurs personenbezogene Daten zu erhalten, die ausschließlich für Verarbeitungstätigkeiten bestimmt sind, die nach der Übermittlung im Auftrag des Datenexporteurs gemäß seinen Anweisungen, den Bedingungen der Klauseln und den Bedingungen des schriftlichen Untervertrags durchgeführt werden;

(e) "das anwendbare Datenschutzrecht" die Rechtsvorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihres Rechts auf Schutz der Privatsphäre bei der Verarbeitung personenbezogener Daten, die für einen für die Verarbeitung Verantwortlichen im Vereinigten Königreich gelten;

(f) "technische und organisatorische Sicherheitsmaßnahmen" die Maßnahmen zum Schutz personenbezogener Daten gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung von Daten über ein Netz umfasst, sowie gegen jede andere Form der unrechtmäßigen Verarbeitung.

Klausel 2. Einzelheiten der Übermittlung

Die Einzelheiten der Übermittlung und insbesondere die besonderen Kategorien personenbezogener Daten, sofern zutreffend, sind in Anlage 1 aufgeführt, die Bestandteil der Klauseln ist.

Klausel 3. Klausel über den Drittbegünstigten

(1) Die betroffene Person kann diese Klausel, Klausel 4 Buchstaben b) bis i), Klausel 5 Buchstaben a) bis e) und g) bis j), Klausel 6 Absätze 1 und 2, Klausel 7, Klausel 8 Absatz 2 und die Klauseln 9 bis 12 als Drittbegünstigter gegenüber dem Datenexporteur geltend machen.

(2) Die betroffene Person kann diese Klausel, Klausel 5 Buchstaben a bis e und g, Klausel 6, Klausel 7, Klausel 8 Absatz 2 und die Klauseln 9 bis 12 gegenüber dem Datenimporteur geltend machen, wenn der Datenexporteur faktisch oder rechtlich nicht mehr existiert, es sei denn, ein Nachfolgeunternehmen hat die gesamten rechtlichen Verpflichtungen des Datenexporteurs vertraglich oder kraft Gesetzes übernommen, wodurch es in die Rechte und Pflichten des Datenexporteurs eintritt; in diesem Fall kann die betroffene Person sie gegenüber diesem Unternehmen geltend machen.

(3) Die betroffene Person kann diese Klausel, Klausel 5 Buchstaben a) bis e) und g), Klausel 6, Klausel 7, Klausel 8 Absatz 2 und die Klauseln 9 bis 12 gegenüber dem Unterauftragsverarbeiter geltend machen, wenn sowohl der Datenexporteur als auch der Datenimporteur faktisch oder rechtlich nicht mehr existieren oder zahlungsunfähig geworden sind, es sei denn, eine Nachfolgeeinrichtung ist vertraglich oder kraft Gesetzes in alle rechtlichen Verpflichtungen des Datenexporteurs eingetreten, wodurch sie die Rechte und Pflichten des Datenexporteurs übernimmt; in diesem Fall kann die betroffene Person sie gegenüber dieser Einrichtung geltend machen. Die Haftung des Unterauftragsverarbeiters gegenüber Dritten ist auf seine eigenen Verarbeitungen gemäß den Klauseln beschränkt.

(4) Die Parteien haben keine Einwände dagegen, dass eine betroffene Person durch einen Verband oder eine andere Einrichtung vertreten wird, wenn die betroffene Person dies ausdrücklich wünscht und das nationale Recht dies zulässt.

Klausel 4. Pflichten des Datenexporteurs

Der Datenexporteur erklärt sich einverstanden und garantiert:

(a) dass die Verarbeitung der personenbezogenen Daten, einschließlich der Übermittlung selbst, in Übereinstimmung mit den einschlägigen Bestimmungen des geltenden Datenschutzrechts erfolgt ist und weiterhin erfolgen wird (und gegebenenfalls dem Datenschutzbeauftragten gemeldet wurde) und nicht gegen das geltende Datenschutzrecht verstößt;

(b) dass er den Datenimporteur angewiesen hat und während der gesamten Dauer der Verarbeitung personenbezogener Daten anweisen wird, die übermittelten personenbezogenen Daten nur im Namen des Datenexporteurs und in Übereinstimmung mit dem geltenden Datenschutzrecht und den Klauseln zu verarbeiten;

(c) dass der Datenimporteur ausreichende Garantien hinsichtlich der in Anlage 2 zu diesem Vertrag aufgeführten technischen und organisatorischen Sicherheitsmaßnahmen bietet;

(d) dass die Sicherheitsmaßnahmen nach Prüfung der Anforderungen des anwendbaren Datenschutzrechts geeignet sind, personenbezogene Daten gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung von Daten über ein Netz umfasst, und gegen jede andere Form der unrechtmäßigen Verarbeitung zu schützen, und dass diese Maßnahmen unter Berücksichtigung des Stands der Technik und der Kosten ihrer Durchführung ein Sicherheitsniveau gewährleisten, das den mit der Verarbeitung verbundenen Risiken und der Art der zu schützenden Daten angemessen ist;

(e) dass sie die Einhaltung der Sicherheitsmaßnahmen gewährleisten wird;

(f) dass die betroffene Person, falls die Übermittlung besondere Datenkategorien betrifft, vor oder so bald wie möglich nach der Übermittlung darüber informiert wurde oder wird, dass ihre Daten in ein Drittland übermittelt werden könnten, das nicht unter die Angemessenheitsregelungen gemäß Section 17A Data Protection Act 2018 oder Absätze 4 und 5 von Schedule 21 Data Protection Act 2018 fällt;

(g) jede vom Datenimporteur oder einem Unterauftragsverarbeiter gemäß Paragraf 5 Buchstabe b und Paragraf 8 Absatz 3 erhaltene Meldung an den Datenschutzbeauftragten weiterzuleiten, wenn der Datenexporteur beschließt, die Übermittlung fortzusetzen oder die Aussetzung aufzuheben;

(h) den betroffenen Personen auf Anfrage ein Exemplar der Klauseln, mit Ausnahme von Anhang 2, und eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen sowie ein Exemplar jedes Vertrags über Unterverarbeitungsdienste, der gemäß den Klauseln geschlossen werden muss, zur Verfügung zu stellen, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall kann er diese Geschäftsinformationen entfernen;

(i) dass im Falle einer Unterverarbeitung die Verarbeitungstätigkeit gemäß Klausel 11 von einem Unterauftragsverarbeiter durchgeführt wird, der mindestens das gleiche Maß an Schutz für die personenbezogenen Daten und die Rechte der betroffenen Person bietet wie der Datenimporteur gemäß den Klauseln;

(j) dass er die Einhaltung von Klausel 4 Buchstaben a) bis i) gewährleistet.

Klausel 5. Pflichten des Datenimporteurs

Der Datenimporteur erklärt sich damit einverstanden und sichert zu:

(a) die personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dessen Weisungen und den Klauseln zu verarbeiten; kann er dies, aus welchen Gründen auch immer, nicht leisten, so verpflichtet er sich, den Datenexporteur unverzüglich darüber zu informieren, dass er dazu nicht in der Lage ist; in diesem Fall ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder den Vertrag zu kündigen;

(b) dass er keinen Grund zu der Annahme hat, dass die für ihn geltenden Rechtsvorschriften ihn daran hindern, die vom Datenexporteur erhaltenen Anweisungen und seine Verpflichtungen aus dem Vertrag zu erfüllen, und dass er im Falle einer Änderung dieser Rechtsvorschriften, die erhebliche nachteilige Auswirkungen auf die in den Klauseln vorgesehenen Garantien und Verpflichtungen haben könnte, den Datenexporteur unverzüglich über die Änderung informieren wird, sobald er davon Kenntnis hat; in diesem Fall ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder den Vertrag zu kündigen;

(c) dass er vor der Verarbeitung der übermittelten personenbezogenen Daten die in Anlage 2 genannten technischen und organisatorischen Sicherheitsmaßnahmen ergriffen hat;

(d) dass er den Datenexporteur unverzüglich über den Fall informiert:

(i) jedes rechtsverbindliche Ersuchen einer Strafverfolgungsbehörde um Offenlegung der personenbezogenen Daten, sofern dies nicht anderweitig untersagt ist, wie z. B. ein strafrechtliches Verbot zur Wahrung der Vertraulichkeit einer strafrechtlichen Untersuchung;

(ii) jeden versehentlichen oder unbefugten Zugriff; und

(iii) jede Anfrage, die direkt von den betroffenen Personen eingeht, ohne dass sie dieser Anfrage nachkommt, sofern sie nicht anderweitig dazu ermächtigt wurde;

(e) alle Anfragen des Datenexporteurs in Bezug auf die Verarbeitung der personenbezogenen Daten, die Gegenstand der Übermittlung sind, unverzüglich und ordnungsgemäß zu bearbeiten und den Rat des Beauftragten in Bezug auf die Verarbeitung der übermittelten Daten zu befolgen;

(f) auf Ersuchen des Datenexporteurs seine Datenverarbeitungseinrichtungen zur Prüfung der unter die Klauseln fallenden Verarbeitungstätigkeiten zur Verfügung zu stellen; diese Prüfung wird vom Datenexporteur oder von einer Kontrollstelle durchgeführt, die sich aus unabhängigen und zur Verschwiegenheit verpflichteten Mitgliedern zusammensetzt und vom Datenexporteur gegebenenfalls im Einvernehmen mit dem Beauftragten ausgewählt wird;

(g) der betroffenen Person auf Verlangen eine Kopie der Klauseln oder eines bestehenden Vertrags über die Unterauftragsverarbeitung zur Verfügung zu stellen, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall kann er diese Geschäftsinformationen entfernen, mit Ausnahme von Anhang 2, der in den Fällen, in denen die betroffene Person keine Kopie vom Datenexporteur erhalten kann, durch eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen ersetzt wird;

(h) dass sie im Falle einer Unterverarbeitung den Datenexporteur zuvor unterrichtet und dessen vorherige schriftliche Zustimmung eingeholt hat;

(i) dass die Verarbeitungsdienste des Unterauftragsverarbeiters im Einklang mit Klausel 11 durchgeführt werden;

(j) dem Datenexporteur unverzüglich eine Kopie der von ihm im Rahmen der Klauseln geschlossenen Unterauftragsverarbeitungsverträge zu übermitteln.

Klausel 6. Haftung

(1) Die Parteien vereinbaren, dass jede betroffene Person, die infolge einer Verletzung der in Klausel 3 oder in Klausel 11 genannten Pflichten durch eine Partei oder einen Unterauftragsverarbeiter einen Schaden erlitten hat, Anspruch auf Ersatz des erlittenen Schadens durch den Datenexporteur hat.

(2) Ist eine betroffene Person nicht in der Lage, einen Schadensersatzanspruch gemäß Absatz 1 gegen den Datenexporteur geltend zu machen, der sich aus einem Verstoß des Datenimporteurs oder seines Unterauftragsverarbeiters gegen eine der in Klausel 3 oder in Klausel 11 genannten Verpflichtungen ergibt, weil der Datenexporteur faktisch oder rechtlich nicht mehr existiert oder zahlungsunfähig geworden ist, so der Datenimporteur erklärt sich damit einverstanden, dass die betroffene Person den Datenimporteur so in Anspruch nehmen kann, als wäre er der Datenexporteur, es sei denn, ein Nachfolgeunternehmen hat die gesamten rechtlichen Verpflichtungen des Datenexporteurs vertraglich oder von Rechts wegen übernommen; in diesem Fall kann die betroffene Person ihre Rechte gegenüber diesem Unternehmen geltend machen. Der Datenimporteur kann sich nicht darauf berufen, dass ein Unterauftragsverarbeiter gegen seine Verpflichtungen verstoßen hat, um sich seiner eigenen Haftung zu entziehen.

(3) Ist eine betroffene Person nicht in der Lage, einen Anspruch gegen den Datenexporteur oder den Datenimporteur gemäß den Absätzen 1 und 2 geltend zu machen, der sich aus einem Verstoß des Unterauftragsverarbeiters gegen eine ihrer Verpflichtungen gemäß Klausel 3 oder Klausel 11 ergibt, weil sowohl der Datenexporteur als auch der Datenimporteur faktisch oder rechtlich nicht mehr existieren oder zahlungsunfähig geworden sind, so der Unterauftragsverarbeiter erklärt sich damit einverstanden, dass die betroffene Person den Unterauftragsverarbeiter in Bezug auf seine eigenen Verarbeitungen gemäß den Klauseln so in Anspruch nehmen kann, als wäre er der Datenexporteur oder der Datenimporteur, es sei denn, ein Nachfolgeunternehmen hat die gesamten rechtlichen Verpflichtungen des Datenexporteurs oder des Datenimporteurs vertraglich oder von Rechts wegen übernommen; in diesem Fall kann die betroffene Person ihre Rechte gegenüber diesem Unternehmen geltend machen. Die Haftung des Unterauftragsverarbeiters ist auf seine eigenen Verarbeitungen gemäß den Klauseln beschränkt.

Klausel 7. Schlichtung und Gerichtsbarkeit

(1) Der Datenimporteur erklärt sich damit einverstanden, dass der Datenimporteur die Entscheidung der betroffenen Person akzeptiert, wenn die betroffene Person ihm gegenüber die Rechte eines Drittbegünstigten geltend macht und/oder Schadensersatz nach den Klauseln verlangt:

(a) den Streitfall der Schlichtung durch eine unabhängige Person oder gegebenenfalls durch den Beauftragten zu unterstellen;

(b) die Streitigkeit an die Gerichte des Vereinigten Königreichs zu verweisen.

(2) Die Parteien vereinbaren, dass die Wahl der betroffenen Person ihre materiell- oder verfahrensrechtlichen Rechte, Rechtsbehelfe nach anderen Bestimmungen des nationalen oder internationalen Rechts einzulegen, nicht beeinträchtigt.

Klausel 8. Zusammenarbeit mit den Aufsichtsbehörden

(1) Der Datenexporteur erklärt sich bereit, eine Kopie dieses Vertrages beim Datenschutzbeauftragten zu hinterlegen, wenn er darum ersucht oder wenn eine solche Hinterlegung nach dem geltenden Datenschutzrecht erforderlich ist.

(2) Die Parteien vereinbaren, dass der Beauftragte das Recht hat, beim Datenimporteur und bei allen Unterauftragsverarbeitern eine Prüfung durchzuführen, die den gleichen Umfang hat und den gleichen Bedingungen unterliegt, wie sie für eine Prüfung des Datenexporteurs nach dem geltenden Datenschutzrecht gelten würden.

(3) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich über das Bestehen von Rechtsvorschriften, die auf ihn oder einen Unterauftragsverarbeiter anwendbar sind und die die Durchführung eines Audits beim Datenimporteur oder einem Unterauftragsverarbeiter gemäß Absatz 2 verhindern. In einem solchen Fall ist der Datenexporteur berechtigt, die in Klausel 5 Buchstabe b) vorgesehenen Maßnahmen zu ergreifen.

Klausel 9. Geltendes Recht

Die Klauseln unterliegen dem Recht des Landes des Vereinigten Königreichs, in dem der Datenexporteur niedergelassen ist.

Klausel 10. Änderung des Vertrages

Die Parteien verpflichten sich, die Klauseln nicht zu ändern oder zu modifizieren. Dies schließt nicht aus, dass die Parteien (i) Änderungen vornehmen, die gemäß Absatz 7(3) & (4) von Schedule 21 Data Protection Act 2018 zulässig sind, oder (ii) bei Bedarf Klauseln zu geschäftsbezogenen Fragen hinzufügen, solange sie nicht im Widerspruch zu den Klauseln stehen.

Klausel 11. Unterverarbeitungen

(1) Der Datenimporteur darf ohne vorherige schriftliche Zustimmung des Datenexporteurs keine seiner im Namen des Datenexporteurs gemäß den Klauseln durchgeführten Verarbeitungsvorgänge an Unterauftragnehmer vergeben. Vergibt der Datenimporteur mit Zustimmung des Datenexporteurs Unteraufträge im Rahmen der Klauseln, so darf er dies nur im Wege einer schriftlichen Vereinbarung mit dem Unterauftragsverarbeiter tun, in der dem Unterauftragsverarbeiter dieselben Verpflichtungen auferlegt werden, die dem Datenimporteur gemäß den Klauseln auferlegt sind. Kommt der Unterauftragsverarbeiter seinen datenschutzrechtlichen Verpflichtungen aus einer solchen schriftlichen Vereinbarung nicht nach, so bleibt der Datenimporteur dem Datenexporteur gegenüber in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters aus dieser Vereinbarung haftbar.

(2) Der vorherige schriftliche Vertrag zwischen dem Datenimporteur und dem Unterauftragsverarbeiter muss auch eine Drittbegünstigungsklausel gemäß Klausel 3 für den Fall vorsehen, dass die betroffene Person nicht in der Lage ist, den in Klausel 6 Absatz 1 genannten Schadensersatzanspruch gegen den Datenexporteur oder den Datenimporteur geltend zu machen, weil diese faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig geworden sind und kein Nachfolgeunternehmen die gesamten rechtlichen Verpflichtungen des Datenexporteurs oder des Datenimporteurs vertraglich oder von Rechts wegen übernommen hat. Die Drittschuldnerhaftung des Unterauftragsverarbeiters ist auf seine eigenen Verarbeitungen gemäß den Klauseln beschränkt.

(3) Die Bestimmungen über die datenschutzrechtlichen Aspekte der Unterauftragsverarbeitung des in Absatz 1 genannten Vertrags unterliegen dem Recht des Landes des Vereinigten Königreichs, in dem der Exporteur niedergelassen ist.

(4) Der Datenexporteur führt ein Verzeichnis der gemäß den Klauseln geschlossenen und vom Datenimporteur gemäß Klausel 5 Buchstabe j) gemeldeten Unterverarbeitungsverträge, das mindestens einmal jährlich zu aktualisieren ist. Die Liste ist dem Beauftragten zur Verfügung zu stellen.

Klausel 12. Verpflichtung nach Beendigung

(1) Die Parteien vereinbaren, dass der Datenimporteur und der Unterauftragsverarbeiter bei Beendigung der Erbringung von Datenverarbeitungsdiensten nach Wahl des Datenexporteurs alle übermittelten personenbezogenen Daten und die Kopien davon an den Datenexporteur zurückgeben oder alle personenbezogenen Daten vernichten und dies dem Datenexporteur gegenüber bescheinigen, es sei denn, der Datenimporteur ist aufgrund von Rechtsvorschriften daran gehindert, alle oder einen Teil der übermittelten personenbezogenen Daten zurückzugeben oder zu vernichten. In diesem Fall garantiert der Datenimporteur, dass er die Vertraulichkeit der übermittelten personenbezogenen Daten gewährleisten und die übermittelten personenbezogenen Daten nicht mehr aktiv verarbeiten wird.

(2) Der Datenimporteur und der Unterauftragsverarbeiter garantieren, dass sie auf Verlangen des Datenexporteurs und/oder des Beauftragten ihre Datenverarbeitungsanlagen für ein Audit der in Absatz 1 genannten Maßnahmen zur Verfügung stellen.

Im Namen des Datenexporteurs:

Name (vollständig ausgeschrieben): ..............................

Position: .........Kontrolleur..........................................

Adresse: ...................................................

Sonstige für die Verbindlichkeit des Vertrags erforderliche Angaben (falls zutreffend):

Unterschrift:

Im Namen des Datenimporteurs:

Name (vollständig ausgeschrieben): ...Origins Technology Ltd............................

Position: ............Prozessor.......................................

Adresse: .........603 6/F Laws Commercial Plaza, 788 Cheung Sha Wan Road

Cheung Sha Wan, Kowlooon

Sonstige Angaben, die für die Verbindlichkeit des Vertrags erforderlich sind (falls zutreffend):

Unterschrift:

Datum der Standardvertragsklauseln:

Anhang 1

Datenexporter

Der Datenexporteur ist (bitte geben Sie kurz Ihre für die Übertragung relevanten Tätigkeiten an): Kunde, der die Lösung des Datenimporteurs nutzt.

Datenimporteur

Der Datenimporteur ist (bitte geben Sie kurz die für die Übertragung relevanten Tätigkeiten an): Lösungsanbieter für Datenexporteur.

Betroffene Personen

Die übermittelten personenbezogenen Daten betreffen die folgenden Kategorien von betroffenen Personen (bitte angeben):

Ansprechpartner des Kunden und andere Endnutzer, die vom Kunden zur Nutzung der Kaiterra Produkte ermächtigt wurden, einschließlich der Mitarbeiter und Auftragnehmer des Kunden sowie der Mitarbeiter und Besucher in den Geschäftsräumen des Kunden.

Kategorien von Daten

Die übermittelten personenbezogenen Daten betreffen die folgenden Datenkategorien (bitte angeben):

Identifikations- und Kontaktdaten (Name, E-Mail, Titel, Kontaktinformationen usw.); Beschäftigungsdaten (Arbeitgeber, Mitarbeiter-ID, Berufsbezeichnung, Abteilung usw.); nutzungsbezogene Daten für die Kaiterra-Produkte und die Systeme, die zur Bereitstellung und Unterstützung der Kaiterra-Produkte verwendet werden, sowie andere elektronische Daten, die von den Kaiterra-Produkten übermittelt, gespeichert, gesendet oder empfangen werden.

Besondere Kategorien von Daten (falls zutreffend)

Die übermittelten personenbezogenen Daten betreffen die folgenden besonderen Datenkategorien (bitte angeben):

Keine.

Verarbeitungen

Die übermittelten personenbezogenen Daten werden den folgenden grundlegenden Verarbeitungsvorgängen unterzogen (bitte angeben):

Gegenstand und Art der Verarbeitung:

Der Gegenstand der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter ist die Bereitstellung der Kaiterra Produkte an den für die Verarbeitung Verantwortlichen, die die Verarbeitung personenbezogener Daten beinhaltet. Die personenbezogenen Daten unterliegen den Verarbeitungstätigkeiten, die im Vertrag und in den entsprechenden Bestellformularen oder Arbeitsanweisungen festgelegt sind.

Zweck der Verarbeitung:

Personenbezogene Daten werden zum Zweck der Bereitstellung der Kaiterra Produkte verarbeitet, die im Vertrag und in allen anwendbaren Bestellformularen oder Leistungsbeschreibungen festgelegt und anderweitig vereinbart sind.

Dauer der Verarbeitung:

Die personenbezogenen Daten werden für die Dauer der Vereinbarung verarbeitet, vorbehaltlich Abschnitt 3 dieser DSGVO.

DATENEXPORTEUR

Name: ...

Bevollmächtigte Unterschrift ...

DATENIMPORTEUR

Name: ... Origins Technology Ltd.

Autorisierte Unterschrift ...

Anhang 2

Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, die der Datenimporteur gemäß Klausel 4 Buchstabe d) und 5 Buchstabe c) umgesetzt hat (oder beigefügtes Dokument/Rechtsvorschrift):

Kaiterra wendet derzeit die in dieser Anlage 2 beschriebenen Sicherheitspraktiken an. Ungeachtet anders lautender Bestimmungen, denen der Datenexporteur zugestimmt hat, kann Kaiterra diese Praktiken nach eigenem Ermessen ändern oder aktualisieren, sofern eine solche Änderung und Aktualisierung nicht zu einer wesentlichen Verschlechterung des durch diese Praktiken gebotenen Schutzes führt. Alle in Großbuchstaben geschriebenen Begriffe, die hier nicht anderweitig definiert sind, haben die Bedeutung, die in den Kaiterra-Dienstbedingungen festgelegt ist.

Kaiterra wird die folgenden Arten von Sicherheitsmaßnahmen ergreifen:

1. Physische Zugangskontrolle

Zu den technischen und organisatorischen Maßnahmen, die verhindern sollen, dass Unbefugte Zugang zu den Datenverarbeitungssystemen in den Räumlichkeiten und Einrichtungen (einschließlich Datenbanken, Anwendungsservern und zugehöriger Hardware), in denen personenbezogene Daten verarbeitet werden, erhalten, gehören:

  • Einrichtung von Sicherheitsbereichen, Beschränkung der Zugangswege;
  • Festlegung von Zugangsberechtigungen für Mitarbeiter und Dritte;
  • Zugangskontrollsystem (Ausweisleser);
  • Schlüsselverwaltung, Schlüsselkartenverfahren;
  • Türverriegelung (elektrische Türöffner etc.);
  • Sicherheitspersonal, Hausmeister;
  • Überwachungseinrichtungen, Video/CCTV-Monitor, Alarmanlage;
  • Sicherung von dezentralen Datenverarbeitungsanlagen und Personalcomputern;
  • Einhaltung des Prinzips der geringsten Berechtigung und des zeitlich begrenzten Zugangs für befugtes Personal;
  • Clean-Desk-Richtlinie; und
  • WiFi- und LAN-Zugangsrichtlinien.


2. Virtuelle Zugangskontrolle

Zu den technischen und organisatorischen Maßnahmen, die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden, gehören:

  • Verfahren zur Identifizierung und Authentifizierung der Benutzer;
  • ID/Passwort-Sicherheitsverfahren (Sonderzeichen, Mindestlänge, Passwortrotation);
  • 2FA und/oder gleichwertige Verfahren für sichere Systeme;
  • Kurzfristiger Ablauf von Sitzungen;
  • Überwachung von Einbruchsversuchen und automatische Sperrung von Benutzerkonten nach mehreren fehlerhaften Anmeldeversuchen; und
  • Verschlüsselung von archivierten Datenträgern.


3. Kontrolle des Datenzugriffs

Technische und organisatorische Maßnahmen, die sicherstellen, dass Personen, die berechtigt sind, ein Datenverarbeitungssystem zu nutzen, nur entsprechend ihrer Zugriffsrechte Zugang zu diesen personenbezogenen Daten erhalten und dass personenbezogene Daten nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können, umfassen:

  • Interne Richtlinien und Verfahren;
  • Kontrollierte Autorisierungssysteme;
  • Differenzierte Zugriffsrechte (Profile, Rollen, Transaktionen und Objekte);
  • Überwachung und Protokollierung von Zugriffen;
  • Disziplinarmaßnahmen gegen Mitarbeiter, die unbefugt auf personenbezogene Daten zugreifen;
  • Berichte über Zugriffe;
  • Zugriffsverfahren;
  • Änderungsverfahren;
  • Verfahren zur Löschung; und
  • Verschlüsselung.


4. Offenlegungskontrolle

Zu den technischen und organisatorischen Maßnahmen, die sicherstellen, dass personenbezogene Daten während der elektronischen Übertragung, des Transports oder der Speicherung auf Speichermedien (manuell oder elektronisch) nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können und dass überprüft werden kann, an welche Unternehmen oder andere juristische Personen personenbezogene Daten weitergegeben werden, gehören:

  • Begrenzter Zugang zu Entschlüsselungsschlüsseln;
  • Verschlüsselung/Tunneling;
  • Protokollierung / regelmäßige Überprüfung; und
  • Transportsicherheit.


5. Zugangskontrolle

Zu den technischen und organisatorischen Maßnahmen zur Überwachung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, geändert oder entfernt (gelöscht) wurden, gehören:

  • Protokollierungs- und Berichtssysteme; und
  • Prüfpfade und Dokumentation.


6. Kontrolle von Anweisungen

Zu den technischen und organisatorischen Maßnahmen, die sicherstellen sollen, dass personenbezogene Daten ausschließlich gemäß den Anweisungen des für die Verarbeitung Verantwortlichen verarbeitet werden, gehören:

  • Unmissverständliche Formulierung des Vertrags:
  • Förmliche Beauftragung; und
  • Kriterien für die Auswahl von Auftragsverarbeitern


7. Kontrolle der Verfügbarkeit

Zu den technischen und organisatorischen Maßnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust (physisch/logisch) geschützt sind, gehören:

  • Backup-Verfahren;
  • Unterbrechungsfreie Stromversorgung (USV);
  • Fernspeicherung;
  • Verfügbarkeit über mehrere Regionen hinweg;
  • Antivirus-/Firewall-Systeme; und
  • Plan zur Wiederherstellung im Katastrophenfall.


8. Trennungssteuerung

Zu den technischen und organisatorischen Maßnahmen, die sicherstellen, dass personenbezogene Daten, die für unterschiedliche Zwecke erhoben wurden, getrennt verarbeitet werden können, gehören:

  • Trennung von Datenbanken;
  • Trennung von Funktionen (Produktion/Test); und

Verfahren zur Speicherung, Änderung, Löschung und Übermittlung von Daten für unterschiedliche Zwecke.