Einleitung
Diese Zusatzvereinbarung zur Datenverarbeitung („Zusatzvereinbarung“) ist integraler Bestandteil der Kooperationsvereinbarung, der Allgemeinen Geschäftsbedingungen für Partner („AGB“) oder einer sonstigen Vereinbarung („AGB oder sonstige Vereinbarung“, nachfolgend auch „Vereinbarung“), die zwischen dem verbundenen Unternehmen der NOOVY Systems im Sinne der jeweiligen Vereinbarung („NOOVY Systems“) und Ihnen („Partner“) geschlossen wird. Diese Zusatzvereinbarung ergänzt die Bestimmungen der zwischen NOOVY Systems und dem Partner geschlossenen Vereinbarung; im Falle widersprüchlicher Bestimmungen zwischen der Vereinbarung und dieser Zusatzvereinbarung hat diese Zusatzvereinbarung Vorrang, es sei denn, die Parteien vereinbaren in der Vereinbarung ausdrücklich schriftlich bestimmte Abweichungen von dieser Zusatzvereinbarung.
- Begriffsbestimmungen
Im Sinne dieser Zusatzvereinbarung haben die nachstehenden Begriffe folgende Bedeutung. Begriffe, die in dieser Zusatzvereinbarung nicht anders definiert sind, haben die ihnen in der Hauptvereinbarung zugewiesene Bedeutung.
„Verbundenes Unternehmen“ ist jede Person oder Rechtspersönlichkeit, die direkt oder indirekt ein solches Unternehmen kontrolliert, von einem solchen Unternehmen kontrolliert wird oder unter gemeinsamer Kontrolle mit einem solchen Unternehmen steht. Für die Zwecke dieser Definition bedeutet „Kontrolle“ eines Unternehmens die Befugnis, direkt oder indirekt entweder: (a) 10 % oder mehr der Wertpapiere, die mit einem normalen Stimmrecht verbunden sind, bei der Wahl der Mitglieder des Vorstands eines solchen Unternehmens zu halten oder (b) die Leitung und Richtlinien eines solchen anderen Unternehmens durch einen Vertrag oder auf andere Weise zu bestimmen oder zu beeinflussen.
„Autorisierter Benutzer“ bezeichnet eine Person, die vom Partner autorisiert wurde, auf die NOOVY-Plattform und/oder das NOOVY-Konto zuzugreifen und Anweisungen an die NOOVY-Systeme zu erteilen sowie Mitteilungen von den NOOVY-Systemen zu erhalten, sei es über die NOOVY-Plattform, das NOOVY-Konto, per E-Mail oder auf andere Weise.
„Verantwortlicher“ bezeichnet eine natürliche oder juristische Person, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt.
„Datenschutzgesetzgebung“ bezeichnet die DSGVO und/oder andere anwendbare Datenschutzgesetze des Landes, in dem das verbundene Unternehmen von NOOVY Systems registriert ist, wie in der Vereinbarung definiert.
„Betroffene Person“ bezeichnet die identifizierte oder identifizierbare Person, auf die sich personenbezogene Daten beziehen.
„DSGVO“ bedeutet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.
„Personenbezogene Daten“ sind alle Informationen, die sich auf (i) eine identifizierte oder identifizierbare natürliche Person und/oder (ii) eine identifizierte oder identifizierbare juristische Person beziehen (wenn diese Informationen durch Datenschutzgesetze in ähnlicher Weise geschützt sind wie Daten, die eine lebende Person identifizieren); für die Zwecke dieser Zusatzvereinbarung schließt dies auch personenbezogene Daten von Gästen ein, d. h. Daten in Kontaktformularen, Kontakt- und Identifizierungsinformationen, einschließlich Name, Titel, E-Mail-Adresse und Adresse, Personalausweis- und/oder Reisepassnummer, Zahlungsdetails, Gästepräferenzen und Details zu den Dienstleistungen des Partners sowie begrenzte Verbindungs- und Standortdaten (Stadt). Besondere Kategorien personenbezogener Daten sind nicht enthalten.
„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie zum Beispiel das Erheben, das Speichern, die Organisation, die Strukturierung, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, die Verknüpfung oder Kombination, die Einschränkung, das Löschen oder die Vernichtung; zur Vermeidung von Zweifeln fällt die Verarbeitung von Informationen, die keine personenbezogenen Daten sind (z. B. anonymisierte Daten), zum Zwecke der Verbesserung der Dienstleistungen von NOOVY Systems nicht in den Anwendungsbereich dieser Zusatzvereinbarung.
„Auftragsverarbeiter“ oder „Unterauftragsverarbeiter“ ist eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag eines Verantwortlichen und/oder eines Datenverarbeiters verarbeitet.
„Dienstleistungen“ im Sinne dieser Zusatzvereinbarung sind die Dienstleistungen, die NOOVY Systems dem Partner vertragsgemäß zur Verfügung stellt.
„Standardvertragsklauseln“ sind die Standardvertragsklauseln (Auftragsverarbeiter) für die Übermittlung personenbezogener Daten, die im Beschluss der Europäischen Kommission vom 5. Februar 2010 (2010/87/EG) festgelegt sind und in Anhang 1 dieser Vereinbarung wiedergegeben werden.
„Aufsichtsbehörde“ bezeichnet eine unabhängige Behörde, die von einem EU-Mitgliedstaat, den USA oder einem anderen Land gemäß der Datenschutz-Grundverordnung, dem EU-US-Datenschutzschild oder einem gleichwertigen Gesetz eingerichtet wurde.
- Datenverarbeitung
2.1. Verarbeitung personenbezogener Daten
NOOVY Systems und der Partner erkennen an, dass der Partner der Verantwortliche oder der Hauptverarbeiter für die Verarbeitung der betreffenden personenbezogenen Daten ist. NOOVY Systems verarbeitet personenbezogene Daten nur als Auftragsverarbeiter oder Unterauftragsverarbeiter (soweit dies für die Nutzung der Dienstleistungen durch den Partner erforderlich ist) im Auftrag des Partners und nur in dem Umfang und auf die Art und Weise, wie dies für die Zwecke erforderlich ist, die in und in Übereinstimmung mit dieser Zusatzvereinbarung, der Vereinbarung oder wie vom Partner von Zeit zu Zeit anderweitig festgelegt sind. Hat NOOVY Systems begründeten Anlass zu der Annahme, dass eine Anweisung des Partners gegen (i) anwendbare Gesetze und Vorschriften oder (ii) die Bestimmungen der Vereinbarung oder der Zusatzvereinbarung verstößt, wird NOOVY Systems alle angemessenen Anstrengungen unternehmen, um den Partner zu informieren und ist berechtigt, die Ausführung der betreffenden Anweisung aufzuschieben, bis sie vom Partner in dem Umfang geändert wurde, der für NOOVY Systems erforderlich ist, um sicherzustellen, dass die Anweisung rechtmäßig ist, oder bis sie vom Partner und NOOVY Systems einvernehmlich als rechtmäßig erachtet wird.
- Verarbeitung durch Noovy Systems
3.1 Verarbeitung personenbezogener Daten durch NOOVY Systems
NOOVY Systems behandelt personenbezogene Daten vertraulich und verarbeitet personenbezogene Daten nur im Auftrag und gemäß den dokumentierten Anweisungen des Partners für folgende Zwecke: (i) Verarbeitung in Übereinstimmung mit der Vereinbarung; (ii) Verarbeitungen, die von autorisierten Benutzern bei der Nutzung der Dienstleistungen veranlasst werden, und (iii) Verarbeitung zur Befolgung anderer dokumentierter und angemessener Anweisungen des Partners (z. B. per E-Mail), sofern diese Anweisungen mit den Bedingungen der Vereinbarung übereinstimmen. Der Partner beauftragt NOOVY Systems hiermit, die betroffenen Personen über die Verarbeitung ihrer personenbezogenen Daten im Namen des Partners per E-Mail zu informieren und über die Möglichkeit, die Dienste von NOOVY Systems zur Verwaltung der Daten, Buchungen und damit verbundenen Dienstleistungen der betroffenen Personen zu nutzen. NOOVY Systems führt ein Protokoll über die tatsächlich durchgeführten Verarbeitungen.
3.2 Technisch-organisatorische Maßnahmen
NOOVY Systems unterhält und implementiert angemessene und geeignete technische und organisatorische Maßnahmen, um personenbezogene Daten gegen unbeabsichtigte oder rechtmäßige Vernichtung oder unbeabsichtigten Verlust, Veränderung, unberechtigte Weitergabe oder unberechtigten Zugriff zu schützen und die Sicherheit personenbezogener Daten und der für die Erbringung der Dienstleistungen genutzten Plattformen gemäß den Datenschutzgesetzen zu gewährleisten. Bei der Umsetzung solcher Maßnahmen ist NOOVY Systems berechtigt, die aktuelle Standardpraxis bei der Bestimmung dessen, was angemessen ist, sowie die Verhältnismäßigkeit der Kosten für die Umsetzung solcher Maßnahmen in Abwägung mit dem potenziellen Schaden für die betroffenen Personen, vor dem die Umsetzung solcher Maßnahmen schützen soll, zu berücksichtigen.
3.3 Personal
NOOVY Systems stellt sicher, dass seine Mitarbeiter, die an der Verarbeitung personenbezogener Daten beteiligt sind, über ihre Pflichten und Verantwortlichkeiten informiert sind, eine angemessene Schulung erhalten haben und über die Vertraulichkeit personenbezogener Daten aufgeklärt wurden. Unter „Personal“ sind die Mitarbeiter und/oder Vertreter, Berater, Subunternehmer oder sonstige Dritte zu verstehen: (i) die von NOOVY Systems beauftragt werden, um ihre Verpflichtungen gegenüber dem Partner aus dem Vertrag oder der Zusatzvereinbarung zu erfüllen, und (ii) die im Wesentlichen im gleichen Umfang Vertraulichkeitsverpflichtungen unterliegen, wie sie in dem Vertrag und der Zusatzvereinbarung festgelegt sind. NOOVY Systems stellt sicher, dass der Zugang des Personals zu personenbezogenen Daten auf die Personen beschränkt ist, die die Dienstleistungen vertragsgemäß erbringen, und dass die Geheimhaltungspflichten der Mitarbeiter auch nach Beendigung des Arbeitsverhältnisses fortbestehen.
3.4 Benachrichtigungen
NOOVY Systems informiert den Partner schriftlich so schnell wie wirtschaftlich vertretbar über:
3.4.1. jede von einer Person erhaltene Mitteilung in Bezug auf (i) das Recht einer Person auf Zugang, Änderung, Berichtigung, Löschung oder Sperrung ihrer personenbezogenen Daten; (ii) das Recht einer Person auf Berichtigung, Einschränkung oder Löschung ihrer personenbezogenen Daten, auf Datenübertragbarkeit, auf Widerspruch gegen die Verarbeitung und darauf, nicht einer automatisierten Entscheidungsfindung unterworfen zu werden und (iii) jede Beschwerde über die Verarbeitung personenbezogener Daten durch den Partner; soweit nicht gesetzlich verboten, jede Vorladung oder andere gerichtliche oder behördliche Anordnung oder jedes Verfahren, das den Zugang zu oder die Offenlegung von personenbezogenen Daten erfordert;
3.4.2 sofern dies nicht gesetzlich verboten ist, jede Beschwerde, Mitteilung oder andere Kommunikation im Zusammenhang mit der Einhaltung der Datenschutzgesetze und der Verarbeitung personenbezogener Daten durch den Partner. NOOVY Systems wird dem Partner wirtschaftlich angemessene Kooperation und Unterstützung (auf Kosten des Partners) in Bezug auf eine solche Beschwerde, Mitteilung oder Kommunikation gewähren; und
3.4.3 bei einer wesentlichen Verletzung der Sicherheit der Dienstleistungen, die zu einem unbefugten Zugriff auf Partnerdaten führt, von der wir Kenntnis erlangen, in Übereinstimmung mit dem anwendbaren Recht („Sicherheitsverletzung“). NOOVY Systems unternimmt alle zumutbaren Anstrengungen, um die Ursache einer solchen Sicherheitsverletzung zu ermitteln, und ergreift alle erforderlichen und angemessenen Maßnahmen, die für den Partner zumutbar sind, um die Ursache einer solchen Sicherheitsverletzung zu beheben, soweit die Behebung innerhalb der zumutbaren Kontrolle von NOOVY Systems liegt. Die Verpflichtungen aus dieser Vereinbarung gelten nicht für Vorfälle, die vom Partner verursacht werden.
3.5 Keine Anerkennung
Der Partner stimmt zu, dass die Verpflichtung von NOOVY Systems, die Sicherheitsverletzung zu melden, nicht als Anerkennung eines Fehlers oder einer Haftung von NOOVY Systems in Bezug auf eine solche Sicherheitsverletzung ausgelegt werden kann.
3.6 Datenrückgabe und -löschung
Vorbehaltlich der Einschränkungen durch geltendes Recht gibt NOOVY Systems alle dauerhaften Daten des Partners (sofern sie nicht bereits gemäß geltendem Recht gelöscht wurden) in standardisierten Verfahren und innerhalb wirtschaftlich angemessener Fristen an den Partner zurück.
3.7 Konformität von NOOVY Systems
NOOVY Systems hält die Datenschutzgesetze ein, die für ihre eigenen Tätigkeiten und die Erbringung von Dienstleistungen im Rahmen der Vereinbarung und seiner Verpflichtungen aus dieser Zusatzvereinbarung gelten.
3.8 Audit
Der Partner hat das Recht, ein Audit durchzuführen, um die Einhaltung der Verpflichtungen von NOOVY Systems gemäß Art. 28 DSGVO und gemäß dieser Zusatzvereinbarung zu überprüfen. NOOVY Systems ermöglicht dem Partner die Durchführung des Audits unter folgenden Bedingungen:
(i) der Partner ersucht NOOVY Systems mindestens 30 (dreißig) Tage im Voraus schriftlich um die Durchführung des Audits;
(ii) der Partner gibt die Tagesordnung für eine solche Prüfung in der Mitteilung nach (i) an;
(iii) das Audit darf nicht öfter als einmal im Jahr stattfinden;
(iv) alle damit verbundenen Kosten und Aufwendungen werden vom Partner getragen und NOOVY Systems auf Verlangen erstattet; und
(v) das Audit darf nicht länger als 1 Arbeitstag (8 Stunden) des Vertreters von NOOVY Systems in Anspruch nehmen.
Verlangt der Partner ein Audit durch einen unabhängigen Dritten – einen externen zugelassenen Wirtschaftsprüfer – kann NOOVY Systems einen vom Partner mit dem Audit beauftragten externen zugelassenen Wirtschaftsprüfer ablehnen, wenn dieser nach billigem Ermessen von NOOVY Systems nicht hinreichend qualifiziert oder unabhängig ist, ein Wettbewerber von NOOVY Systems ist oder sonst offensichtlich ungeeignet ist. Ein solcher Widerspruch erfordert die Bestellung eines anderen Wirtschaftsprüfers durch den Partner. Für den Fall, dass der Partner mehr als ein Audit innerhalb eines Kalenderjahres verlangt, hat der Partner die vorherige schriftliche Zustimmung von NOOVY Systems einzuholen und die mit diesen Audits verbundenen Kosten zu tragen und NOOVY Systems alle angemessenen Auslagen für diese Audits zu erstatten. Auf Anfrage des Partners wird NOOVY Systems dem Partner die geschätzten Kosten, die dem Partner während eines solchen Audits entstehen, in dem Umfang zur Verfügung stellen, der in der vom Partner zur Verfügung gestellten Tagesordnung angegeben ist.
- Verarbeitung durch den Partner
4.1 Verarbeitung personenbezogener Daten durch den Partner
Der Partner verarbeitet personenbezogene Daten im Rahmen der Nutzung der Dienstleistungen unter Beachtung der datenschutzrechtlichen Bestimmungen. Zur Vermeidung von Zweifeln garantiert der Partner, dass seine Anweisungen zur Verarbeitung personenbezogener Daten den Datenschutzgesetzen entsprechen und dass er keine Anweisungen oder Weisungen erteilt, die NOOVY Systems zu Maßnahmen oder Handlungen verpflichten, die rechtswidrig sind oder anderweitig nicht den Datenschutzgesetzen entsprechen. Der Partner trägt die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit personenbezogener Daten sowie für die Mittel, mit denen der Partner personenbezogene Daten erfasst hat.
4.2 Compliance des Partners
Zusätzlich zu den in der Vereinbarung genannten Verpflichtungen des Partners ist der Partner verantwortlich für (i) die Integrität, Sicherheit, Pflege und den angemessenen Schutz der personenbezogenen Daten und (ii) die Einhaltung aller anwendbaren Gesetze und Vorschriften zum Schutz der Privatsphäre, zum Datenschutz und zur Datensicherheit in Bezug auf: (a) seine Verarbeitung der personenbezogenen Daten; (b) seine Nutzung der Dienstleistungen; und (c) alle Registrierungs- oder Meldepflichten in Bezug auf die Datenverarbeitung, denen der Partner nach anwendbarem Recht unterliegt.
4.3 Benachrichtigungen
Der Partner verpflichtet sich, im Zusammenhang mit der Erbringung von Dienstleistungen für den Partner durch NOOVY Systems alle erforderlichen Benachrichtigungen an Personen vorzunehmen und die erforderlichen Zustimmungen und Rechte von diesen Personen einzuholen. Erhält NOOVY Systems eine Mitteilung gemäß den Abschnitten 3.4.1 oder 3.4.3 und informiert den Partner über eine solche Mitteilung, ist der Partner dafür verantwortlich, auf die Mitteilung zu reagieren und alle anderen angemessenen Maßnahmen in Bezug auf die Mitteilung zu ergreifen. Der Partner verpflichtet sich, NOOVY Systems unverzüglich über jede unbefugte Nutzung der Dienstleistungen oder des Partner-Kontos oder jede andere Sicherheitsverletzung im Zusammenhang mit den Dienstleistungen zu informieren.
4.4 Technisch-organisatorische Maßnahmen
Der Partner ist allein verantwortlich für die Umsetzung und Aufrechterhaltung von Sicherheitsmaßnahmen und anderen technischen und organisatorischen Maßnahmen, die der Art und dem Umfang der personenbezogenen Daten entsprechen, die der Partner über die Dienstleistungen speichert oder anderweitig verarbeitet. Der Partner ist auch verantwortlich für die Nutzung der Dienstleistungen durch seine Mitarbeiter, durch Personen, denen der Partner den Zugang zu den Dienstleistungen oder deren Nutzung gestattet, und durch Personen, die aufgrund des Versäumnisses, angemessene Sicherheitsvorkehrungen zu treffen, Zugang zu den personenbezogenen Daten des Partners oder zu den Dienstleistungen erhalten, auch wenn eine solche Nutzung nicht durch den Partner gestattet wurde.
- Kooperation
5.1 Kooperation zwischen dem Partner und NOOVY Systems
Der Partner und NOOVY Systems vereinbaren, in wirtschaftlich vertretbarer Weise zusammenzuarbeiten, soweit dies zum Schutz personenbezogener Daten gemäß den anwendbaren Gesetzen, Art. 35 und 36 DSGVO und dem EU-US Privacy Shield erforderlich ist, um eine Datenschutz-Folgenabschätzung in Bezug auf die Nutzung der Dienstleistungen durch den Partner durchzuführen, soweit der Partner nicht anderweitig Zugang zu den relevanten Informationen hat und soweit diese Informationen NOOVY Systems zur Verfügung stehen. Der Partner wird bei der angemessenen Untersuchung von Serviceausfällen, Sicherheitsproblemen und vermuteten Sicherheitsverletzungen durch NOOVY Systems kooperieren. Der Partner unterstützt NOOVY Systems in angemessener Weise bei der Zusammenarbeit oder vorherigen Abstimmung mit der Aufsichtsbehörde bei der Erfüllung seiner Aufgaben im Zusammenhang mit diesem Abschnitt, soweit dies nach der DSGVO oder dem anwendbaren Recht erforderlich ist.
5.2 Unterstützung von NOOVY Systems bei der Erfüllung der Compliance-Anforderungen des Partners
Während der Laufzeit der Vereinbarung des Partners mit NOOVY Systems kann der Partner verlangen, dass NOOVY Systems den Partner bei seinen Bemühungen unterstützt, die Verpflichtungen des Partners gemäß den anwendbaren Datenschutzgesetzen und -vorschriften zu erfüllen, vorausgesetzt, (i) eine solche angeforderte Unterstützung ist relevant für Dienstleistungen, die die Verarbeitung personenbezogener Daten unterstützen, (ii) die erbetene Unterstützung ist wirtschaftlich vertretbar und steht in einem angemessenen Verhältnis zum Zweck der Aufgabe, bei der NOOVY Systems um Unterstützung gebeten wird, und (iii) wenn NOOVY Systems die Unterstützung gewährt, werden alle damit verbundenen Kosten und Aufwendungen (einschließlich der Kosten für die Arbeitszeit seiner Mitarbeiter) vom Partner getragen und NOOVY Systems auf Anforderung erstattet.
- Unterauftragsverarbeitung
6.1 In Bezug auf Dritte oder die Vergabe von Unteraufträgen für die Verarbeitung personenbezogener Daten darf NOOVY Systems nur mit vorheriger Zustimmung des Partners einen Dritten (Unterauftragsverarbeiter) mit der Verarbeitung personenbezogener Daten beauftragen, vorausgesetzt, dass die Bestimmungen zur Datenverarbeitung und zum Datenschutz im Vertrag des Unterauftragsverarbeiters in Bezug auf die personenbezogenen Daten im Wesentlichen den Bestimmungen dieses Nachtrags entsprechen, und vorausgesetzt, dass der Vertrag des Unterauftragsverarbeiters in Bezug auf die personenbezogenen Daten automatisch endet, wenn die Vereinbarung aus irgendeinem Grund beendet wird. Für die Zwecke dieser Zusatzvereinbarung werden die folgenden Personen vom Partner durch Unterzeichnung dieser Zusatzvereinbarung autorisiert: (i) die in Anhang 2 aufgeführten Unterauftragsverarbeiter, (ii) die verbundenen Unternehmen von NOOVY Systems und (iii) alle Unterauftragsverarbeiter, die vom Partner über seinen autorisierten Benutzer durch Genehmigung einer Integration mit den Dienstleistungen von NOOVY Systems über das NOOVY-Konto oder anderweitig genehmigt wurden. NOOVY Systems kann während der Laufzeit der Vereinbarung neue Unterauftragsverarbeiter in die Verarbeitung einbeziehen, vorausgesetzt, dass diese Unterauftragsverarbeiter nur insoweit auf personenbezogene Daten zugreifen und diese verwenden, als dies für die Erfüllung der an sie ausgelagerten Verpflichtungen erforderlich ist.
6.2 Widerspruchsrecht bei neuen Unterauftragsverarbeitern
Der Partner kann dem Einsatz eines neuen Unterauftragsverarbeiters durch NOOVY Systems widersprechen, indem er dies NOOVY Systems unverzüglich innerhalb von zehn (10) Werktagen nach Zugang der Mitteilung von NOOVY Systems schriftlich unter Angabe der Gründe mitteilt. Für den Fall, dass der Partner Einwände gegen einen neuen Unterauftragsverarbeiter erhebt, wird NOOVY Systems sich bemühen, zusätzliche Sicherheitsmaßnahmen zu ergreifen (um die genannten Mängel abzudecken) oder den Unterauftragsverarbeiter zu wechseln (gegenüber dem Unterauftragsverarbeiter). Sollte NOOVY Systems hierzu nicht in der Lage sein, wird NOOVY Systems angemessene Anstrengungen unternehmen, um dem Partner eine Änderung der Dienstleistungen zur Verfügung zu stellen oder eine wirtschaftlich angemessene Änderung der Konfiguration oder Nutzung der Dienstleistungen durch den Partner zu empfehlen, um die Verarbeitung personenbezogener Daten durch den beanstandeten neuen Unterauftragsverarbeiter zu vermeiden, ohne den Partner unangemessen zu belasten. Ist NOOVY Systems nicht in der Lage, eine solche Änderung innerhalb einer angemessenen Frist von höchstens dreißig (30) Tagen vorzunehmen, kann der Partner durch schriftliche Mitteilung an NOOVY Systems nur den Teil der Dienstleistungen kündigen, der von NOOVY Systems ohne den Einsatz des beanstandeten neuen Unterauftragsverarbeiters nicht erbracht werden kann. NOOVY Systems erstattet dem Partner alle im Voraus gezahlten Gebühren für den Rest der Vertragslaufzeit nach dem Datum des Wirksamwerdens der Kündigung in Bezug auf den gekündigten Teil der Dienstleistungen, der das einzige und ausschließliche Rechtsmittel des Partners im Zusammenhang mit der Einführung eines neuen Unterauftragsverarbeiters darstellt.
6.3 Haftung
NOOVY Systems haftet für die Handlungen und Unterlassungen seiner Unterauftragsverarbeiter in demselben Umfang, in dem NOOVY Systems haften würde, wenn die Dienstleistungen jedes Unterauftragsverarbeiters direkt gemäß den Bedingungen dieser Zusatzvereinbarung erbracht würden, es sei denn, in der Vereinbarung ist etwas anderes festgelegt.
- Datenübermittlung
7.1 Datenübermittlung
Die Parteien sind sich darüber einig, dass personenbezogene Daten nur dann aus der Europäischen Union/dem Europäischen Wirtschaftsraum in ein Drittland übermittelt werden dürfen, wenn eine der folgenden Bedingungen erfüllt ist: (a) es liegt eine gültige Entscheidung der Europäischen Kommission vor, wonach das Drittland ein angemessenes Schutzniveau gewährleistet, oder (b) die Übermittlung darf erfolgen, weil NOOVY Systems angemessene Garantien gemäß Art. 46 DSGVO bietet und unter der Bedingung, dass durchsetzbare Rechte der betroffenen Person und wirksame Rechtsbehelfe für die betroffene Person verfügbar sind; oder (c) es gelten die Ausnahmeregelungen für bestimmte Fälle nach Art. 49 DSGVO. Für die Zwecke des Artikels 7.1 dieser Zusatzvereinbarung gelten die in Anhang 1 (Standardvertragsklauseln) dieser Zusatzvereinbarung enthaltenen Standardvertragsklauseln als angemessene Garantien. Der Kunde ermächtigt NOOVY Systems hiermit, die Standardvertragsklauseln zur Übermittlung personenbezogener Daten in Drittstaaten zu vereinbaren.
7.2 Standardvertragsklauseln
Um die Datenübermittlung von/in Drittländer in/aus der Europäischen Union/dem Europäischen Wirtschaftsraum zu ermöglichen, werden die Standardvertragsklauseln (Anhang 1 zu dieser Zusatzvereinbarung) hiermit in diese Zusatzvereinbarung aufgenommen und bilden einen untrennbaren Bestandteil dieser Zusatzvereinbarung.
- Kommunikation
8.1 Der Partner erklärt sich damit einverstanden, dass jeder autorisierte Benutzer des Partners kontaktiert werden kann und berechtigt ist, Mitteilungen im Zusammenhang mit dieser Zusatzvereinbarung zu erhalten.
- Schlussbestimmungen
9.1 Drittbegünstigte
Die betroffenen Personen sind die einzigen Drittbegünstigten der Standardvertragsklauseln, und es gibt keine anderen Drittbegünstigten der Vereinbarung und dieser Zusatzvereinbarung. Ungeachtet des Vorstehenden gelten die Vereinbarung und die Bedingungen dieser Zusatzvereinbarung nur zwischen den Parteien und gewähren dem verbundenen Unternehmen des Partners, dem Endnutzer des Partners oder betroffenen Dritten keinerlei Rechte.
9.2 Geltendes Recht
Nichts in dieser Zusatzvereinbarung ändert den Abschnitt über das anwendbare Recht der Vereinbarung, der zur Vermeidung von Zweifeln alle Ansprüche aus der Vereinbarung und dieser Zusatzvereinbarung regelt. Soweit die Standardvertragsklauseln anwendbar sind und eine betroffene Person einen Anspruch gemäß Klausel 3.2 der Standardvertragsklauseln in Bezug auf die Verarbeitung personenbezogener Daten durch NOOVY Systems geltend macht, unterliegen die Standardvertragsklauseln Klausel 9 (Anwendbares Recht) der Standardvertragsklauseln und sind entsprechend auszulegen.
9.3 Haftungsbeschränkung
Die Rechtsbehelfe des Partners, einschließlich derer seiner verbundenen Unternehmen, und die Haftung von NOOVY Systems aus oder im Zusammenhang mit dieser Zusatzvereinbarung und den Standardvertragsklauseln unterliegen den in der Vereinbarung festgelegten Haftungsbeschränkungen und -ausschlüssen. Für den Fall, dass in der Vereinbarung keine Haftungsbeschränkungen enthalten sind, vereinbaren und erklären die Parteien, dass der Gesamtschaden, der sich aus einer Verletzung dieser Zusatzvereinbarung und/oder der Standardvertragsklauseln ergeben kann, zehntausend Euro nicht übersteigen darf.
9.4 Laufzeit
Diese Zusatzvereinbarung wird für einen Zeitraum geschlossen, der der Laufzeit der Vereinbarung entspricht. Diese Zusatzvereinbarung endet gleichzeitig und automatisch mit der Beendigung der Vereinbarung.
9.5 Kündigung
NOOVY Systems kann diese Zusatzvereinbarung kündigen, wenn NOOVY Systems dem Partner alternative Mechanismen anbietet, die den Verpflichtungen der geltenden Datenschutzgesetze entsprechen.
9.6 Ausfertigungen
Diese Zusatzvereinbarung kann in mehreren Ausfertigungen unterzeichnet werden, die zusammen als ein Original gelten.
Anlage 1 Standardvertragsklauseln (Auftragsverarbeiter)
Gemäß Artikel 26 Absatz 2 der Richtlinie 95/46/EG für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern, die kein angemessenes Schutzniveau gewährleisten
Das Partnerunternehmen, das Partei der Zusatzvereinbarung ist, der diese Standardvertragsklauseln beigefügt sind.
Name der datenexportierenden Organisation:
Adresse:
Tel. …; Fax …; E-Mail: …
Sonstige Angaben zur Identifizierung der Organisation
…
(der Datenexporteur)
Und
Name der datenimportierenden Organisation:
Adresse:
Tel. …; Fax …; E-Mail: …
Weitere Angaben zur Identifizierung der Organisation:
…
(der Datenimporteur oder Datenunterauftragsverarbeiter (falls zutreffend))
beide nachstehend einzeln als „Partei“, zusammen als „Parteien“ bezeichnet,
haben die folgenden Vertragsklauseln (die Klauseln) vereinbart, um angemessene Garantien in Bezug auf den Schutz der Privatsphäre und der Grundrechte und Freiheiten des Einzelnen für die Übermittlung der in Anhang 1 aufgeführten personenbezogener Daten durch den Datenexporteur an den Datenimporteur zu gewährleisten.
Klausel 1
Begriffsbestimmungen
Für die Zwecke der Klauseln gelten die folgenden Definitionen:
- Die Begriffe „personenbezogene Daten“, „besondere Kategorien personenbezogener Daten“, „Verarbeitung“, „Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Aufsichtsbehörde“ haben dieselbe Bedeutung wie in der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.
- Der „Datenexporteur“ ist der für Verantwortliche, der die personenbezogenen Daten übermittelt.
- Der „Datenimporteur“ der Datenverarbeiter, der sich bereit erklärt, personenbezogene Daten vom Datenexporteur entgegenzunehmen und sie nach der Übermittlung gemäß den Anweisungen des Datenexporteurs und den Klauseln in dessen Auftrag zu verarbeiten, und der nicht einer Rechtsordnung eines Drittlandes unterliegt, die ein angemessenes Schutzniveau im Sinne von Artikel 25 Absatz 1 der Richtlinie 95/46/EG gewährleistet.
- Ein „Unterauftragsverarbeiter“ ist ein vom Datenimporteur oder vom Unterauftragsverarbeiter beauftragter Datenverarbeiter, der sich bereit erklärt, vom Datenimporteur oder von einem anderen Unterauftragsverarbeiter personenbezogene Daten ausschließlich zur Verarbeitung im Auftrag des Datenexporteurs nach der Übermittlung und gemäß den Anweisungen des Datenexporteurs, den Klauseln und den Bedingungen des schriftlichen Unterauftrags zu erhalten.
- Das „anwendbare Datenschutzrecht“ bezieht sich auf die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere des Rechts auf Schutz der Privatsphäre, bei der Verarbeitung personenbezogener Daten, die in dem Mitgliedstaat, in dem der Datenexporteur ansässig ist, auf den Verantwortlichen anzuwenden sind.
„Technisch-organisatorische Sicherheitsmaßnahmen“ sind Maßnahmen zum Schutz personenbezogener Daten gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang, insbesondere wenn im Rahmen der Verarbeitung Daten in einem Netz übertragen werden, und gegen jede andere Form der unrechtmäßigen Verarbeitung.
Klausel 2
Einzelheiten zur Übertragung
Die Einzelheiten der Übertragung und insbesondere die besonderen Kategorien persönlicher Daten, sofern vorhanden, sind in Appendix 1 aufgeführt, der wesentlicher Bestandteil der Klauseln ist.
Klausel 3
Klausel zu Drittbegünstigten
- Der Betroffene kann diese Klausel sowie Klausel 4(b) bis (i), Klausel 5(a) bis (e) und (g) bis (j), Klausel 6(1) und (2), Klausel 7, Klausel 8(2) sowie die Klauseln 9 bis 12 gegenüber dem Datenexporteur als Drittbegünstigter geltend machen.
- Die betroffene Person kann diese Klausel, Klausel 5(a) bis (e) und (g), die Klauseln 6 und 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Datenimporteur geltend machen, wenn das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht, es sei denn, ein Rechtsnachfolger hat durch einen Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in letzterem Fall kann die betroffene Person die Klauseln gegenüber dem Rechtsnachfolger als Träger sämtlicher Rechte und Pflichten des Datenexporteurs geltend machen.
- Der Betroffene kann diese Klausel, Klausel 5(a) bis (e) und (g), Klauseln 6 und 7, Klausel 8(2) sowie Klauseln 9 bis 12 gegenüber dem Unterauftragsverarbeiter geltend machen, wenn sowohl der Datenexporteur als auch der Datenimporteur faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind, es sei denn, ein Rechtsnachfolger hat durch einen Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen, in welchem Fall der Betroffene die Klauseln gegenüber diesem geltend machen kann. Eine solche Haftpflicht des Unterauftragsverarbeiters ist auf dessen eigene Verarbeitungstätigkeiten gemäß den Klauseln beschränkt.
- Die Parteien erheben keine Einwände dagegen, dass ein Betroffener, sofern er dies ausdrücklich wünscht und das nationale Recht dies zulässt, durch eine Vereinigung oder sonstige Einrichtung vertreten wird.
Klausel 4
Pflichten des Datenexporteurs
Der Datenexporteur erklärt sich bereit und garantiert:
- Dass die Verarbeitung der persönlichen Daten einschließlich der Übertragung gemäß den maßgeblichen Bestimmungen der geltenden Datenschutzgesetze durchgeführt wurde und auch weiterhin so durchgeführt wird (und gegebenenfalls den zuständigen Behörden des Mitgliedstaates mitgeteilt wurde, in dem der Datenexporteur ansässig ist) und nicht gegen die maßgeblichen Bestimmungen dieses Staates verstößt;
- dass er den Datenimporteur angewiesen hat und während der gesamten Dauer der Datenverarbeitungsdienste anweisen wird, die übertragenen personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit den geltenden Datenschutzgesetzen und den Klauseln zu verarbeiten;
- dass der Datenimporteur hinreichende Garantien in Bezug auf die in Appendix 2 zu diesem Vertrag beschriebenen technischen und organisatorischen Sicherheitsvorkehrungen bietet;
- dass die Sicherheitsvorkehrungen nach einer Einschätzung der Anforderungen der geltenden Datenschutzgesetze hinreichend gewährleisten, dass persönliche Daten vor der unbeabsichtigten oder rechtswidrigen Zerstörung oder dem unbeabsichtigten Verlust, der unbeabsichtigten Änderung, der unbefugten Offenlegung oder dem unbefugten Zugriff, insbesondere, wenn die Daten im Rahmen ihrer Verarbeitung über ein Netzwerk übertragen werden, sowie vor allen anderen rechtswidrigen Formen der Verarbeitung geschützt sind und dass diese Vorkehrungen ein ausreichendes Sicherheitsniveau gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten im Hinblick auf den Stand der Technik und die bei ihrer Umsetzung entstehenden Kosten gerecht wird;
- dass er für die Einhaltung dieser Sicherheitsvorkehrungen sorgt;
- dass der Betroffene, sofern die Übertragung besondere Datenkategorien beinhaltet, vor oder so bald wie möglich nach der Übertragung davon in Kenntnis gesetzt wurde oder wird, dass seine Daten in ein Drittland übertragen werden könnten, das kein angemessenes Schutzniveau im Sinne der Richtlinie 95/46/EG bietet;
- dass er die gemäß Klausel 5(b) sowie Klausel 8(3) vom Datenimporteur oder von einem Unterauftragsverarbeiter erhaltene Mitteilung an die Datenschutz-Aufsichtsbehörde weiterleitet, wenn der Datenexporteur beschließt, die Übertragung fortzusetzen oder die Aussetzung aufzuheben;
- dass er den Betroffenen auf Anfrage eine Kopie der Klauseln mit Ausnahme von Appendix 2 sowie eine allgemeine Beschreibung der Sicherheitsvorkehrungen zur Verfügung stellt und außerdem ihnen gegebenenfalls eine Kopie des Vertrags über Datenverarbeitungsdienste zur Verfügung stellt, der gemäß den Klauseln an einen Unterauftragsverarbeiter vergeben wurde, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall können solche Geschäftsinformationen herausgenommen werden;
- dass im Falle einer Unterauftragsverarbeitung die Verarbeitungstätigkeit gemäß Klausel 11 von einem Unterauftragsverarbeiter durchgeführt wird, der mindestens entsprechenden den Klauseln mindestens den gleichen Schutz für die personenbezogenen Daten und die Rechte des Betroffenen wie der Datenimporteur bietet; j) dass er für die Einhaltung von Klausel 4(a) bis (i) sorgt.
Klausel 5
Pflichten des Datenimporteurs
Der Datenimporteur erklärt sich bereit und garantiert, dass:
- er die persönlichen Daten nur im Auftrag des Datenexporteurs und gemäß dessen Anweisungen und den Klauseln verarbeitet und dass er sich, falls er dies aus irgendwelchen Gründen nicht einhalten kann, bereit erklärt, den Datenexporteur unverzüglich davon in Kenntnis zu setzen, der unter diesen Umständen berechtigt ist, die Datenübertragung auszusetzen und/oder den Vertrag zu kündigen;
- er seines Wissens keinen Rechtsvorschriften unterliegt, die ihn an der Befolgung der Weisungen des Datenexporteurs und an der Erfüllung seiner vertraglichen Pflichten hindern, und dass er den Datenexporteur über jede Änderung der Rechtsvorschriften, die die in den Klauseln enthaltenen Garantien und Pflichten wesentlich beeinträchtigen könnte, unterrichten wird, sobald er davon Kenntnis erlangt; in diesem Fall ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten;
- er vor der Verarbeitung der übertragenen persönlichen Daten die in Anhang 2 beschriebenen technischen und organisatorischen Sicherheitsvorkehrungen ergriffen hat;
- er den Datenexporteur unverzüglich informiert über:
- alle rechtsverbindlichen Aufforderungen einer Strafverfolgungsbehörde zur Offenlegung der persönlichen Daten, sofern dem nicht ein Verbot entgegensteht, z. B. ein strafrechtliches Verbot zur Wahrung des Untersuchungsgeheimnisses in einer Strafsache,
- jeden zufälligen oder unberechtigten Zugang und
- alle Anfragen, die direkt von Betroffenen an ihn gerichtet werden, ohne diese zu beantworten, es sei denn, er wäre anderweitig dazu berechtigt;
- er alle Anfragen des Datenexporteurs bezüglich seiner Verarbeitung der übertragenen personenbezogenen Daten unverzüglich und ordnungsgemäss bearbeitet und die Ratschläge der Aufsichtsbehörde im Hinblick auf die Verarbeitung der übertragenen Daten befolgt;
- er auf Verlangen des Datenexporteurs seine Datenverarbeitungseinrichtungen zur Prüfung der unter die Klauseln fallenden Verarbeitungstätigkeiten zur Verfügung stellt, wobei das Audit vom Datenexporteur oder einer vom Datenexporteur ggf. in Absprache mit der Aufsichtsbehörde ausgewählten Prüfstelle, deren Mitglieder unabhängig sind, über die erforderlichen Qualifikationen verfügen und zur Vertraulichkeit verpflichtet sind, durchgeführt werden kann;
- er den betroffenen Personen auf Anfrage eine Kopie der Klauseln und gegebenenfalls einen bestehenden Vertrag über die Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter zur Verfügung stellt, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall können solche Geschäftsinformationen herausgenommen werden; Anhang 2 wird durch eine allgemeine Beschreibung der Sicherheitsmaßnahmen ersetzt, wenn die betroffene Person vom Datenexporteur keine solche Kopie erhalten kann;
- er den Datenexporteur im Falle einer Unterauftragsverarbeitung im Voraus informiert und seine vorherige schriftliche Zustimmung eingeholt hat;
- die Verarbeitungsdienste durch den Unterverarbeiter gemäß Klausel 11 durchgeführt werden;
- sofort eine Kopie der im Rahmen dieser Klauseln mit einem Unterverarbeiter geschlossenen Verträge an den Datenexporteur gesendet werden.
Klausel 6
Haftung
- Die Parteien vereinbaren, dass jeder Betroffene, der infolge einer Verletzung der in Klausel 3 oder 11 genannten Pflichten durch eine Partei oder den Unterauftragsverarbeiter Schaden erlitten hat, berechtigt ist, vom Datenexporteur Schadenersatz für den erlittenen Schaden zu erhalten.
- Wenn ein Betroffener nicht in der Lage ist, Schadenersatzansprüche gemäß Absatz 1 gegenüber dem Datenexporteur wegen eines Verstoßes des Datenimporteurs oder seines Unterauftragsverarbeiters gegen in den Klauseln 3 oder 11 genannten Pflichten geltend zu machen, weil der Datenexporteur faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist, ist der Datenimporteur damit einverstanden, dass der Betroffene seine Ansprüche ihm gegenüber anstelle des Datenexporteurs geltend macht, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in diesem Fall kann der Betroffene seine Ansprüche gegenüber diesem Rechtsnachfolger geltend machen. Der Datenimporteur kann sich seiner Haftung nicht entziehen, indem er sich auf die Verantwortung des Unterauftragsverarbeiters für einen Verstoß gegen seine Verpflichtungen beruft.
- Wenn ein Betroffener nicht in der Lage ist, einen Anspruch gemäß den Absätzen 1 und 2 gegenüber dem Datenexporteur oder dem Datenimporteur wegen eines Verstoßes des Unterauftragsverarbeiters der in Klauseln 3 oder 11 aufgeführten Pflichten geltend zu machen, weil sowohl der Datenexporteur als auch der Datenimporteur faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind, ist der Unterauftragsverarbeiter damit einverstanden, dass der Betroffene im Zusammenhang mit seinen Datenverarbeitungstätigkeiten gemäß den Klauseln gegenüber ihm anstelle des Datenexporteurs oder des Datenimporteurs einen Anspruch geltend machen kann, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs oder des Datenimporteurs übernommen; in diesem Fall kann der Betroffene seine Ansprüche gegenüber dem Rechtsnachfolger geltend machen. Die Haftung des Unterauftragsverarbeiters ist auf dessen eigene Datenverarbeitungstätigkeiten gemäß diesen Klauseln beschränkt.
Klausel 7
Schlichtungsverfahren und Gerichtsbarkeit
- Für den Fall, dass ein Betroffener gegenüber dem Datenimporteur Rechte als Drittbegünstigter und/oder Schadenersatzansprüche für Schäden aus den Klauseln geltend macht, erklärt sich der Datenimporteur bereit, die Entscheidung der betroffenen Person zu akzeptieren und:
- die Angelegenheit in einem Schlichtungsverfahren durch eine unabhängige Person oder gegebenenfalls durch die Aufsichtsbehörde beizulegen oder
- den Streitfall den Gerichten des Mitgliedstaates, in dem der Datenexporteur ansässig ist, vorzulegen.
- Die Parteien vereinbaren, dass die Entscheidung des Betroffenen nicht die materiellen Rechte oder Verfahrensrechte dieser Person, nach anderen Bestimmungen des nationalen oder internationalen Rechts Rechtsbehelfe einzulegen, berührt.
Klausel 8
Zusammenarbeit mit Aufsichtsbehörden
- Der Datenexporteur erklärt sich bereit, eine Kopie dieses Vertrags bei der Kontrollstelle zu hinterlegen, wenn diese es verlangt oder das anwendbare Datenschutzrecht es so vorsieht.
- Die Parteien vereinbaren, dass die Aufsichtsbehörde befugt ist, den Datenimporteur und etwaige Unterauftragsverarbeiter im gleichen Maße und unter denselben Bedingungen einer Prüfung zu unterziehen, unter denen sie gemäß den geltenden Datenschutzgesetzen auch den Datenexporteur prüfen würde.
- Der Datenimporteur setzt den Datenexporteur unverzüglich über Rechtsvorschriften in Kenntnis, die für ihn oder etwaige Unterauftragsverarbeiter gelten und der Durchführung einer Prüfung des Datenimporteurs oder von Unterauftragsverarbeitern gemäß Absatz 2 entgegenstehen. In diesem Fall ist der Datenexporteur berechtigt, die in Klausel 5(b) vorgesehenen Maßnahmen zu ergreifen.
Klausel 9
Geltendes Recht
Diese Klauseln unterliegen dem Recht des Mitgliedstaates, in dem der Datenexporteur ansässig ist.
Klausel 10
Änderung des Vertrags
Die Parteien verpflichten sich, die Klauseln nicht zu verändern. Es steht den Parteien allerdings frei, bei Bedarf weitere, geschäftsbezogene Klauseln aufzunehmen, solange diese nicht im Widerspruch zu der Klausel stehen.
Klausel 11
Unterauftragsverarbeitung
- Der Datenimporteur darf ohne die vorherige schriftliche Einwilligung des Datenexporteurs keinen nach den Klauseln auszuführenden Verarbeitungsauftrag dieses Datenexporteurs an einen Unterauftragsverarbeiter vergeben. Vergibt der Datenimporteur mit Einwilligung des Datenexporteurs Unteraufträge, die den Pflichten der Klauseln unterliegen, ist dies nur durch eine schriftliche Vereinbarung mit dem Unterauftragsverarbeiter möglich, die diesem die gleichen Pflichten auferlegt, die auch der Datenimporteur nach den Klauseln erfüllen muss. Sollte der Unterauftragsverarbeiter seinen Datenschutzpflichten nach der schriftlichen Vereinbarung nicht nachkommen, bleibt der Datenimporteur gegenüber dem Datenexporteur für die Erfüllung der Pflichten des Unterauftragsverarbeiters nach der Vereinbarung uneingeschränkt verantwortlich.
- Der vorherige schriftliche Vertrag zwischen dem Datenimporteur und dem Unterauftragsverarbeiter muss gemäß Klausel 3 auch eine Klausel zu Drittbegünstigten für Fälle enthalten, in denen der Betroffene nicht in der Lage ist, einen Schadenersatzanspruch gemäß Klausel 6 Absatz 1 gegenüber dem Datenexporteur oder dem Datenimporteur geltend zu machen, weil diese faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind und kein Rechtsnachfolger durch Vertrag oder kraft Gesetzes sämtliche rechtliche Pflichten des Datenexporteurs oder des Datenimporteurs übernommen hat. Eine solche Haftpflicht des Unterauftragsverarbeiters ist auf dessen eigene Verarbeitungstätigkeiten gemäß den Klauseln beschränkt.
- Für Datenschutzbestimmungen im Zusammenhang mit der Unterauftragsverarbeitung des Vertrags gemäß Absatz 1 gilt das Recht des Mitgliedstaates, in dem der Datenexporteur ansässig ist.
- Der Datenexporteur führt ein mindestens einmal jährlich zu aktualisierendes Verzeichnis der entsprechend den Klauseln mit Unterauftragsverarbeitern geschlossenen Verträgen, die vom Datenimporteur gemäß Klausel 5(j) übermittelt wurden. Das Verzeichnis wird der Aufsichtsbehörde des Datenexporteurs zur Verfügung gestellt.
Klausel 12
Pflichten nach Beendigung der Datenverarbeitungsdienste
- Die Parteien vereinbaren, dass der Datenimporteur und der Unterauftragsverarbeiter bei Beendigung der Datenverarbeitungsdienste je nach Wunsch des Datenexporteurs alle übertragenen personenbezogenen Daten und deren Kopien an den Datenexporteur zurücksenden oder alle personenbezogenen Daten zerstören und dem Datenexporteur bescheinigen muss, dass dies erfolgt ist, sofern dem Datenimporteur die teilweise oder vollständige Rückübermittlung oder Zerstörung der übertragenen personenbezogenen Daten nicht durch die für ihn geltenden Gesetze untersagt ist. In diesem Fall garantiert der Datenimporteur, dass er die Vertraulichkeit der übertragenen personenbezogenen Daten gewährleistet und diese übertragenen personenbezogenen Daten nicht mehr aktiv weiterverarbeitet.
- Der Datenimporteur und der Unterauftragsverarbeiter garantieren, dass sie auf Verlangen des Datenexporteurs und/oder der Aufsichtsbehörde ihre Datenverarbeitungseinrichtungen zur Prüfung nach den in Absatz 1 genannten Maßnahmen zur Verfügung stellen.
Für den Datenexporteur:
Name (ausgeschrieben):
Position: Adresse:
Gegebenenfalls weitere Angaben, die für die Erreichung der Verbindlichkeit des Vertrags notwendig sind:
Unterschrift……………………………………….
(Stempel der Organisation)
Für den Datenimporteur:
Name (ausgeschrieben):
Position: Adresse:
Gegebenenfalls weitere Angaben, die für die Erreichung der Verbindlichkeit des Vertrags notwendig sind:
Unterschrift……………………………………….
(Stempel der Organisation)
Anhang 1 zu den Standardvertragsklauseln
- Datenexporteur
Der Datenexporteur ist NOOVY Systems, ein Anbieter von Dienstleistungen, wie in der Vereinbarung angegeben (falls zutreffend).
- Datenimporteur
Der Datenimporteur ist das Unternehmen (ein Unterauftragsverarbeiter), das personenbezogene Daten außerhalb des EWR erhält und NOOVY Systems im Zusammenhang mit Dienstleistungen für den Partner bestimmte Dienstleistungen erbringt.
- Betroffene
Die übermittelten personenbezogenen Daten können Personen betreffen, über die personenbezogene Daten vom Datenexporteur über das von NOOVY Systems gehostete System und/oder die Dienste übertragen oder gespeichert werden, zu denen in der Regel Personen (Gäste oder potenzielle Kunden) gehören, die die Dienste des Partners nutzen.
- Datenkategorien
Die übermittelten personenbezogenen Daten betreffen die folgenden Datenkategorien: Daten der Gäste, die in den Kontaktformularen enthalten sind, Kontakt- und Identifikationsinformationen, einschließlich Name, Titel, E-Mail-Adresse und Adresse, Ausweis- und/oder Reisepassnummern, Zahlungsdaten, Präferenzen der Gäste und Leistungsdetails des Partners sowie eingeschränkte Verbindungs- und Standortdaten (Stadt) in elektronischer Form, die im Rahmen der Dienstleistungen von NOOVY Systems an den Datenimporteur übertragen werden (vom jeweiligen Unterauftragsverarbeiter/Importeur bereitgestellt)
- Verarbeitungsprozesse
Die personenbezogenen Daten unterliegen den folgenden grundlegenden Verarbeitungsvorgängen:
Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Veränderung, Abruf, Abfrage, Nutzung, Weitergabe durch Übermittlung, Verbreitung oder sonstige Zurverfügungstellung, Ausrichtung oder Kombination, Einschränkung, Löschung oder Vernichtung.
Der Partner muss im Zusammenhang mit seiner Nutzung der Dienste angemessene Sicherheitsvorkehrungen treffen, einschließlich einer angemessenen Verschlüsselung aller personenbezogenen Daten, die auf dem gehosteten System gespeichert oder von diesem übertragen werden.
Anhang 2 zu den Standardvertragsklauseln
Dieser Anhang ist Bestandteil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden.
Beschreibung der technischen oder organisatorischen Sicherheitsmaßnahmen, die der Datenimporteur gemäß Klausel 4(d) und Klausel 5(c) (oder beigefügtes Dokument/Rechtsvorschrift) eingeführt hat:
Der Datenimporteur hat Sicherheitsmaßnahmen zu ergreifen, die denen entsprechen, die gemäß der Vereinbarung, der Zusatzvereinbarung und allen gemäß der Vereinbarung abgeschlossenen Zusatzdokumenten erforderlich sind.