SCC2021 Controller zu Controller

ABSCHNITT I.

Klausel 1

Zweck und Umfang

1. Der Zweck dieser Standardvertragsklauseln besteht darin, die Einhaltung der Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten usw. sicherzustellen den freien Datenverkehr (Datenschutz-Grundverordnung) (1) für die Übermittlung personenbezogener Daten in ein Drittland.
2. Die Parteien:

(i) die natürliche(n) oder juristischen Person(en), Behörde(n), Agentur(en) oder andere Stelle(n) (im Folgenden „Organisation(en“)), die die personenbezogenen Daten übermittelt, wie in Anhang IA aufgeführt (im Folgenden jeder „Datenexporteur“) ), und

die Stelle(n) in einem Drittland, die die personenbezogenen Daten direkt oder indirekt über eine andere Stelle, die ebenfalls Vertragspartei dieser Klauseln ist, vom Datenexporteur erhält, wie in Anhang IA aufgeführt (im Folgenden jeweils „Datenimporteur“)

diesen Standardvertragsklauseln (im Folgenden: „Klauseln“) zugestimmt haben.

3. Diese Klauseln gelten in Bezug auf die Übermittlung personenbezogener Daten gemäß Anhang IB
4. Der Anhang zu diesen Klauseln mit den darin genannten Anhängen bildet einen integralen Bestandteil dieser Klauseln.

Klausel 2

Wirkung und Unveränderlichkeit der Klauseln

1. Diese Klauseln legen geeignete Garantien fest, einschließlich durchsetzbarer Rechte betroffener Personen und wirksamer Rechtsbehelfe, gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 und in Bezug auf Datenübermittlungen von Verantwortlichen an Auftragsverarbeiter und/oder Auftragsverarbeiter an Auftragsverarbeiter, Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679, sofern sie nicht geändert werden, außer um die entsprechenden Module auszuwählen oder Informationen hinzuzufügen oder zu aktualisieren der Anhang. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfassenderen Vertrag aufzunehmen und/oder andere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern sie diesen Klauseln nicht direkt oder indirekt widersprechen oder die Grundrechte beeinträchtigen oder Freiheiten der betroffenen Personen.
2. Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Datenexporteur aufgrund der Verordnung (EU) 2016/679 unterliegt.

Klausel 2

Wirkung und Unveränderlichkeit der Klauseln

1. Diese Klauseln legen geeignete Garantien fest, einschließlich durchsetzbarer Rechte betroffener Personen und wirksamer Rechtsbehelfe, gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 und in Bezug auf Datenübermittlungen von Verantwortlichen an Auftragsverarbeiter und/oder Auftragsverarbeiter an Auftragsverarbeiter, Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679, sofern sie nicht geändert werden, außer um die entsprechenden Module auszuwählen oder Informationen hinzuzufügen oder zu aktualisieren der Anhang. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfassenderen Vertrag aufzunehmen und/oder andere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern sie diesen Klauseln nicht direkt oder indirekt widersprechen oder die Grundrechte beeinträchtigen oder Freiheiten der betroffenen Personen.
2. Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Datenexporteur aufgrund der Verordnung (EU) 2016/679 unterliegt.

Klausel 3

Drittbegünstigte

1. Betroffene Personen können diese Klauseln als Drittbegünstigte gegenüber dem Datenexporteur und/oder Datenimporteur geltend machen und durchsetzen, mit den folgenden Ausnahmen:

(i) Klausel 1, Klausel 2, Klausel 3, Klausel 6, Klausel 7;

(ii) Klausel 8 – Modul Eins: Klausel 8.5 (e) und Klausel 8.9(b); Modul Zwei: Klausel 8.1(b), 8.9(a), (c), (d) und (e); Modul Drei: Klausel 8.1(a), (c) und (d) und Klausel 8.9(a), (c), (d), (e), (f) und (g); Modul 8.1: Abschnitt 8.3 (b) und Abschnitt XNUMX(b);

(iii) Klausel 9 – Modul 9: Klausel 9(a), (c), (d) und (e); Modul Drei: Abschnitt XNUMX(a), (c), (d) und (e);

(iv) Klausel 12 – Modul Eins: Klausel 12(a) und (d); Module zwei und drei: Klausel 12(a), (d) und (f);

(v) Ziffer 13;

(vi) Ziffer 15.1(c), (d) und (e);

(vii) Klausel 16(e);

(viii) Klausel 18 – Module eins, zwei und drei: Klausel 18(a) und (b); Modul 18: Klausel XNUMX.

2. Absatz (a) berührt nicht die Rechte der betroffenen Personen gemäß der Verordnung (EU) 2016/679.

Klausel 4

Dolmetschen

1. Wenn in diesen Klauseln Begriffe verwendet werden, die in der Verordnung (EU) 2016/679 definiert sind, haben diese Begriffe die gleiche Bedeutung wie in dieser Verordnung.
2. Diese Klauseln müssen gelesen und interpim Lichte der Bestimmungen der Verordnung (EU) 2016/679 geändert.
3. Diese Klauseln gelten nichterpin einer Weise geändert werden, die im Widerspruch zu den in der Verordnung (EU) 2016/679 vorgesehenen Rechten und Pflichten steht.

Klausel 5

Hierarchie

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen verwandter Vereinbarungen zwischen den Parteien, die zum Zeitpunkt der Vereinbarung oder des Abschlusses dieser Klauseln bestehen, haben diese Klauseln Vorrang.

Klausel 6

Beschreibung der Übertragung(en)

Die Einzelheiten der Übermittlung(en) und insbesondere die Kategorien personenbezogener Daten, die übermittelt werden, und der/die Zweck(e), zu dem/denen sie übermittelt werden, sind in Anhang IB aufgeführt

Klausel 7 – Optional

Andockklausel

1. Ein Unternehmen, das keine Vertragspartei dieser Klauseln ist, kann diesen Klauseln mit Zustimmung der Parteien jederzeit entweder als Datenexporteur oder als Datenimporteur beitreten, indem es den Anhang ausfüllt und Anhang IA unterzeichnet
2. Sobald es den Anhang ausgefüllt und Anhang IA unterzeichnet hat, wird das beitretende Unternehmen Vertragspartei dieser Klauseln und hat die Rechte und Pflichten eines Datenexporteurs oder Datenimporteurs gemäß seiner Bezeichnung in Anhang IA
3. Das beitretende Unternehmen hat keine Rechte oder Pflichten aus diesen Klauseln aus der Zeit, bevor es Partei wurde.

ABSCHNITT II – PFLICHTEN DER PARTEIEN

Klausel 8

Datenschutzvorkehrungen

Der Datenexporteur garantiert, dass er angemessene Anstrengungen unternommen hat, um festzustellen, dass der Datenimporteur in der Lage ist, durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen seinen Verpflichtungen gemäß diesen Klauseln nachzukommen.

8.1 Zweckbindung

Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den/die bestimmten Zweck(e) der Übermittlung gemäß Anhang IB. Er darf die personenbezogenen Daten nur für andere Zwecke verarbeiten:

(i) wenn es die vorherige Einwilligung der betroffenen Person eingeholt hat;
(ii) wenn dies für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit bestimmten Verwaltungs-, Regulierungs- oder Gerichtsverfahren erforderlich ist; oder
(iii) sofern dies zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ist.

8.2 Transparenz

1. Damit betroffene Personen ihre Rechte gemäß Ziffer 10 wirksam ausüben können, muss der Datenimporteur sie entweder direkt oder über den Datenexporteur informieren:

(i) seiner Identität und Kontaktdaten;

(ii) der Kategorien der verarbeiteten personenbezogenen Daten;

(iii) des Rechts, eine Kopie dieser Klauseln zu erhalten;

(iv) wenn beabsichtigt ist, die personenbezogenen Daten an Dritte weiterzugeben, den Empfänger oder die Kategorien von Empfängern (je nach Bedarf im Hinblick auf die Bereitstellung aussagekräftiger Informationen), den Zweck dieser Weiterleitung und den Grund dafür gemäß Klausel 8.7.

2. Absatz (a) gilt nicht, wenn die betroffene Person bereits über die Informationen verfügt, auch wenn diese Informationen bereits vom Datenexporteur bereitgestellt wurden oder die Bereitstellung der Informationen sich als unmöglich erweist oder mit Werbung verbunden wäreispverhältnismäßiger Aufwand für den Datenimporteur. Im letzteren Fall macht der Datenimporteur die Informationen soweit möglich öffentlich zugänglich.
3. Auf Anfrage stellen die Parteien der betroffenen Person kostenlos eine Kopie dieser Klauseln einschließlich des von ihnen ausgefüllten Anhangs zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, können die Parteien einen Teil des Textes des Anhangs schwärzen, bevor sie eine Kopie teilen, müssen jedoch eine aussagekräftige Zusammenfassung bereitstellen, wenn die betroffene Person dies sonst nicht könnte seinen Inhalt verstehen oder seine Rechte ausüben. Auf Anfrage teilen die Parteien der betroffenen Person die Gründe für die Schwärzungen mit, soweit dies möglich ist, ohne die geschwärzten Informationen preiszugeben.
4. Die Absätze (a) bis (c) gelten unbeschadet der Pflichten des Datenexporteurs gemäß den Artikeln 13 und 14 der Verordnung (EU) 2016/679.

8.3 Genauigkeit und Datenminimierung

1. Jede Vertragspartei stellt sicher, dass die personenbezogenen Daten korrekt sind und erforderlichenfalls auf dem neuesten Stand gehalten werden. Der Datenimporteur ergreift alle angemessenen Maßnahmen, um sicherzustellen, dass personenbezogene Daten, die im Hinblick auf den/die Zweck(e) der Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.
2. Wenn eine der Parteien feststellt, dass die von ihr übermittelten oder erhaltenen personenbezogenen Daten unrichtig oder veraltet sind, wird sie die andere Partei unverzüglich informieren.
3. Der Datenimporteur stellt sicher, dass die personenbezogenen Daten angemessen, relevant und auf das für den/die Zweck(e) der Verarbeitung erforderliche Maß beschränkt sind.

8.4 Speicherbeschränkung

Der Datenimporteur bewahrt die personenbezogenen Daten nicht länger auf, als es für den/die Zweck(e), für den/die sie verarbeitet werden, erforderlich ist. Sie trifft geeignete technische oder organisatorische Maßnahmen, um die Einhaltung dieser Verpflichtung sicherzustellen, einschließlich der Löschung oder Anonymisierung (2) der Daten und aller Sicherungen am Ende der Aufbewahrungsfrist.

8.5 Sicherheit der Verarbeitung

1. Der Datenimporteur und bei der Übermittlung auch der Datenexporteur müssen geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit der personenbezogenen Daten zu gewährleisten, einschließlich des Schutzes vor Sicherheitsverletzungen, die zu versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Änderung, unbefugter Offenlegung oder unbefugtem Zugriff führen (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Sicherheitsniveaus berücksichtigen sie den Stand der Technik, die Implementierungskosten, die Art, den Umfang, den Kontext und den Zweck der Verarbeitung sowie die mit der Verarbeitung verbundenen Risiken für die betroffene Person. Die Parteien erwägen insbesondere den Einsatz einer Verschlüsselung oder Pseudonymisierung auch bei der Übermittlung, soweit der Zweck der Verarbeitung auf diese Weise erfüllt werden kann.
2. Die Vertragsparteien haben sich auf die in Anhang II aufgeführten technischen und organisatorischen Maßnahmen geeinigt. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Sicherheitsniveau bieten.
3. Der Datenimporteur stellt sicher, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
4. Im Falle einer Verletzung des Schutzes personenbezogener Daten in Bezug auf personenbezogene Daten, die vom Datenimporteur gemäß diesen Klauseln verarbeitet werden, ergreift der Datenimporteur geeignete Maßnahmen, um die Verletzung des Schutzes personenbezogener Daten zu beheben, einschließlich Maßnahmen zur Minderung möglicher nachteiliger Auswirkungen.
5. Im Falle einer Verletzung des Schutzes personenbezogener Daten, die wahrscheinlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, benachrichtigt der Datenimporteur unverzüglich sowohl den Datenexporteur als auch die zuständige Aufsichtsbehörde gemäß Abschnitt 13. Diese Benachrichtigung muss enthalten i) eine Beschreibung der Art des Verstoßes (einschließlich, wenn möglich, Kategorien und ungefährer Anzahl der betroffenen Personen und personenbezogenen Datensätze), ii) seiner voraussichtlichen Folgen, iii) der getroffenen oder vorgeschlagenen Maßnahmen zur Behebung des Verstoßes und iv ) Angaben zu einer Kontaktstelle, bei der weitere Informationen erhältlich sind. Soweit es dem Datenimporteur nicht möglich ist, alle Informationen gleichzeitig bereitzustellen, kann er dies phasenweise ohne unangemessene weitere Verzögerung tun.
6. Im Falle einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, muss der Datenimporteur die betroffenen Personen außerdem unverzüglich über die Verletzung des Schutzes personenbezogener Daten und deren Art informieren, gegebenenfalls in Zusammenarbeit mit dem Datenexporteur, zusammen mit den in Absatz (e), Ziffern ii) bis iv) genannten Informationen, es sei denn, der Datenimporteur hat Maßnahmen ergriffen, um das Risiko für die Rechte oder Freiheiten natürlicher Personen erheblich zu verringern, oder eine Benachrichtigung würde dies erfordern Dispangemessene Anstrengungen. Im letzteren Fall muss der Datenimporteur stattdessen eine öffentliche Mitteilung herausgeben oder eine ähnliche Maßnahme ergreifen, um die Öffentlichkeit über die Verletzung des Schutzes personenbezogener Daten zu informieren.
7. Der Datenimporteur dokumentiert alle relevanten Fakten im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten, einschließlich ihrer Auswirkungen und ergriffenen Abhilfemaßnahmen, und führt darüber Aufzeichnungen.

8.6 Sensible Daten

Sofern es sich bei der Übermittlung um personenbezogene Daten handelt, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetische Daten oder biometrische Daten zum Zwecke der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit oder das Sexualleben einer Person oder B. der sexuellen Orientierung oder Daten im Zusammenhang mit strafrechtlichen Verurteilungen oder Straftaten (im Folgenden „sensible Daten“), wendet der Datenimporteur spezifische Beschränkungen und/oder zusätzliche Schutzmaßnahmen an, die an die spezifische Art der Daten und die damit verbundenen Risiken angepasst sind. Dies kann eine Einschränkung des Zugriffsberechtigten auf die personenbezogenen Daten, zusätzliche Sicherheitsmaßnahmen (z. B. Pseudonymisierung) und/oder zusätzliche Einschränkungen hinsichtlich der weiteren Offenlegung umfassen.

8.7 Weiterleitung

Der Datenimporteur darf die personenbezogenen Daten nicht an Dritte mit Sitz außerhalb der Europäischen Union (3) (im selben Land wie der Datenimporteur oder in einem anderen Drittland, im Folgenden „Weiterübermittlung“) weitergeben, es sei denn, der Dritte ist dazu bereit oder stimmt zu sind an diese Klauseln im entsprechenden Modul gebunden. Ansonsten darf eine Weiterübermittlung durch den Datenimporteur nur erfolgen, wenn:

(i) es erfolgt in ein Land, für das gemäß Artikel 45 der Verordnung (EU) 2016/679 ein Angemessenheitsbeschluss vorliegt, der die Weiterübermittlung abdeckt;

(ii) der Dritte sorgt anderweitig für angemessene Garantien gemäß Artikel 46 oder 47 der Verordnung (EU) 2016/679 in Bezug auf die betreffende Verarbeitung;

(iii) der Dritte schließt mit dem Datenimporteur eine verbindliche Vereinbarung ab, die das gleiche Datenschutzniveau wie in diesen Klauseln gewährleistet, und der Datenimporteur stellt dem Datenexporteur eine Kopie dieser Garantien zur Verfügung;

(iv) es ist für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen spezifischer Verwaltungs-, Regulierungs- oder Gerichtsverfahren erforderlich;

(v) es ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich; oder

(vi) wenn keine der anderen Bedingungen zutrifft, hat der Datenimporteur die ausdrückliche Einwilligung der betroffenen Person für eine Weiterübermittlung in einer bestimmten Situation eingeholt, nachdem er diese über den/die Zweck(e) und die Identität des Empfängers informiert hat und die möglichen Risiken einer solchen Übermittlung für ihn aufgrund des Fehlens angemessener Datenschutzgarantien. In diesem Fall informiert der Datenimporteur den Datenexporteur und übermittelt ihm auf dessen Verlangen eine Kopie der der betroffenen Person übermittelten Informationen.

Jede Weiterleitung unterliegt der Einhaltung aller anderen Garantien gemäß diesen Klauseln durch den Datenimporteur, insbesondere der Zweckbindung.

8.8 Verarbeitung unter der Aufsicht des Datenimporteurs

Der Datenimporteur stellt sicher, dass jede ihm unterstellte Person, einschließlich eines Auftragsverarbeiters, die Daten nur auf seine Weisung verarbeitet.

8.9 Dokumentation und Einhaltung

1. Jede Partei kann die Einhaltung ihrer Verpflichtungen aus diesen Klauseln nachweisen. Insbesondere hat der Datenimporteur eine angemessene Dokumentation der unter seiner Verantwortung durchgeführten Verarbeitungstätigkeiten zu führen.
2. Der Datenimporteur stellt diese Dokumentation der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung.

Klausel 9 [nicht anwendbar]

Klausel 10

Betroffenenrechte

1. Der Datenimporteur wird, gegebenenfalls mit Unterstützung des Datenexporteurs, alle Anfragen und Anfragen, die er von einer betroffenen Person im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten und der Ausübung ihrer Rechte gemäß diesen Klauseln erhält, ohne unangemessene Umstände bearbeiten spätestens jedoch innerhalb eines Monats nach Eingang der Anfrage bzw. des Verlangens. (10) Der Datenimporteur ergreift geeignete Maßnahmen, um solche Anfragen, Anträge und die Ausübung der Rechte der betroffenen Person zu erleichtern. Alle der betroffenen Person zur Verfügung gestellten Informationen müssen in einer verständlichen und leicht zugänglichen Form sowie in einer klaren und einfachen Sprache bereitgestellt werden.
2. Insbesondere wird der Datenimporteur auf Anfrage der betroffenen Person kostenlos:

(i) der betroffenen Person eine Bestätigung darüber zu übermitteln, ob personenbezogene Daten, die sie betreffen, verarbeitet werden, und, wenn dies der Fall ist, eine Kopie der sie betreffenden Daten und der Informationen in Anhang I; Wenn personenbezogene Daten weitergegeben wurden oder werden, machen Sie Angaben zu den Empfängern oder Kategorien von Empfängern (je nach Bedarf im Hinblick auf die Bereitstellung aussagekräftiger Informationen), an die die personenbezogenen Daten weitergegeben wurden oder werden, sowie zum Zweck der Weiterübermittlung ihr Gelände gemäß Ziffer 8.7; und Bereitstellung von Informationen über das Recht, eine Beschwerde bei einer Aufsichtsbehörde gemäß Klausel 12(c)(i) einzureichen;

(ii) unrichtige oder unvollständige Daten über die betroffene Person berichtigen;

(iii) personenbezogene Daten der betroffenen Person löschen, wenn diese Daten unter Verstoß gegen eine dieser Klauseln zur Gewährleistung der Rechte Dritter verarbeitet werden oder verarbeitet werden oder wenn die betroffene Person die Einwilligung, auf der die Verarbeitung beruht, widerruft.

3. Wenn der Datenimporteur die personenbezogenen Daten für Direktmarketingzwecke verarbeitet, stellt er die Verarbeitung für diese Zwecke ein, wenn die betroffene Person dagegen Widerspruch einlegt.
4. Der Datenimporteur darf keine Entscheidung allein auf der Grundlage der automatisierten Verarbeitung der übermittelten personenbezogenen Daten (im Folgenden „automatisierte Entscheidung“) treffen, die für die betroffene Person rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen würde, es sei denn, es liegt eine ausdrückliche Einwilligung von vor der betroffenen Person oder wenn die Gesetze des Ziellandes dazu berechtigt sind, sofern diese Gesetze geeignete Maßnahmen zum Schutz der Rechte und berechtigten Interessen der betroffenen Person vorsehen. In diesem Fall muss der Datenimporteur, gegebenenfalls in Zusammenarbeit mit dem Datenexporteur:

(i) die betroffene Person über die geplante automatisierte Entscheidung, die vorgesehenen Konsequenzen und die dahinterstehende Logik informieren; Und

(ii) geeignete Sicherheitsvorkehrungen treffen, indem es der betroffenen Person zumindest ermöglicht wird, die Entscheidung anzufechten, ihren Standpunkt darzulegen und eine Überprüfung durch einen Menschen zu erhalten.

5. Wenn Anträge einer betroffenen Person übermäßig sind, insbesondere wegen ihres sich wiederholenden Charakters, kann der Datenimporteur entweder eine angemessene Gebühr unter Berücksichtigung der Verwaltungskosten für die Erfüllung des Antrags erheben oder sich weigern, dem Antrag Folge zu leisten.
6. Der Datenimporteur kann den Antrag einer betroffenen Person ablehnen, wenn eine solche Ablehnung nach den Gesetzen des Bestimmungslandes zulässig und in einer demokratischen Gesellschaft erforderlich und verhältnismäßig ist, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016 aufgeführten Ziele zu schützen /679.
7. Beabsichtigt der Datenimporteur, den Antrag einer betroffenen Person abzulehnen, informiert er die betroffene Person über die Gründe für die Ablehnung und die Möglichkeit, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen und/oder einen gerichtlichen Rechtsbehelf einzulegen.

Klausel 11

Wiedergutmachung

1. Der Datenimporteur informiert die betroffenen Personen in einem transparenten und leicht zugänglichen Format durch eine individuelle Mitteilung oder auf seiner Website über eine Kontaktstelle, die zur Bearbeitung von Beschwerden befugt ist. Sie befasst sich unverzüglich mit allen Beschwerden, die sie von einer betroffenen Person erhält.

   [OPTION: Der Datenimporteur stimmt zu, dass betroffene Personen eine Beschwerde auch bei einem unabhängigen dispDie Datenübermittlung an die Schlichtungsstelle (11) erfolgt für die betroffene Person kostenfrei. Sie informiert die betroffenen Personen in der in Absatz (a) dargelegten Weise über diesen Rechtsbehelfsmechanismus und darüber, dass sie nicht verpflichtet sind, ihn zu nutzen oder eine bestimmte Reihenfolge bei der Geltendmachung von Rechtsbehelfen einzuhalten.]

2. Im Falle einer AnzeigeispKommt es zwischen einer betroffenen Person und einer der Parteien zu einer Vereinbarung über die Einhaltung dieser Klauseln, so wird sich diese Partei nach besten Kräften bemühen, das Problem zeitnah gütlich zu lösen. Die Vertragsparteien halten sich gegenseitig darüber auf dem Laufenden. dispund gegebenenfalls an deren Lösung mitzuwirken.
3. Wenn sich die betroffene Person auf ein Drittbegünstigungsrecht gemäß Ziffer 3 beruft, akzeptiert der Datenimporteur die Entscheidung der betroffenen Person:

   (i) eine Beschwerde bei der Aufsichtsbehörde in dem Mitgliedstaat seines Aufenthaltsorts oder Arbeitsplatzes oder der zuständigen Aufsichtsbehörde gemäß Ziffer 13 einreichen;

   (ii) verweisen Sie auf dispDie zuständigen Gerichte im Sinne von Ziffer 18 sind zuständig.

4. Die Vertragsparteien akzeptieren, dass die betroffene Person unter den in Artikel 80 Absatz 1 der Verordnung (EU) 2016/679 festgelegten Bedingungen von einer gemeinnützigen Einrichtung, Organisation oder Vereinigung vertreten werden kann.
5. Der Datenimporteur muss sich an eine Entscheidung halten, die nach geltendem Recht der EU oder der Mitgliedstaaten verbindlich ist.
6. Der Datenimporteur erklärt sich damit einverstanden, dass die von der betroffenen Person getroffene Entscheidung ihre materiellen und verfahrensrechtlichen Rechte auf Rechtsbehelfe gemäß den geltenden Gesetzen nicht beeinträchtigt.

Klausel 12

Haftung

1. Jede Partei haftet gegenüber der/den anderen Partei/en für alle Schäden, die sie der/den anderen Partei/en durch einen Verstoß gegen diese Klauseln zufügt.
2. Jede Partei haftet gegenüber der betroffenen Person, und die betroffene Person hat Anspruch auf Entschädigung für alle materiellen oder immateriellen Schäden, die die Partei der betroffenen Person durch Verletzung der Rechte Dritter gemäß diesen Klauseln zufügt. Dies gilt unbeschadet der Haftung des Datenexporteurs gemäß Verordnung (EU) 2016/679.
3. Wenn mehr als eine Partei für Schäden verantwortlich ist, die der betroffenen Person durch einen Verstoß gegen diese Klauseln entstehen, haften alle verantwortlichen Parteien gesamtschuldnerisch und die betroffene Person ist berechtigt, gegen jede dieser Parteien gerichtliche Schritte einzuleiten Parteien.
4. Die Parteien vereinbaren, dass, wenn eine Partei gemäß Absatz (c) haftbar gemacht wird, sie berechtigt ist, von der anderen Partei/den anderen Parteien den Teil der Entschädigung zurückzufordern, der ihrer Verantwortung für den Schaden entspricht.
5. Der Datenimporteur darf sich nicht auf das Verhalten eines Auftragsverarbeiters oder Unterauftragsverarbeiters berufen, um seine eigene Haftung zu vermeiden.

Klausel 13

Aufsicht

1. [Wenn der Datenexporteur in einem EU-Mitgliedstaat niedergelassen ist:] Die Aufsichtsbehörde, die dafür zuständig ist, sicherzustellen, dass der Datenexporteur die Verordnung (EU) 2016/679 in Bezug auf die Datenübertragung einhält, wie in Anhang IC angegeben, handelt als zuständig Aufsichtsbehörde.

   [Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat ansässig ist, aber in den räumlichen Anwendungsbereich der Verordnung (EU) 2016/679 gemäß Artikel 3 Absatz 2 fällt und einen Vertreter gemäß Artikel 27 Absatz 1 bestellt hat ) der Verordnung (EU) 2016/679:] Die Aufsichtsbehörde des Mitgliedstaats, in dem der Vertreter im Sinne von Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 niedergelassen ist, wie in Anhang IC angegeben, wird tätig als zuständige Aufsichtsbehörde.

   [Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat ansässig ist, aber in den räumlichen Anwendungsbereich der Verordnung (EU) 2016/679 gemäß Artikel 3 Absatz 2 fällt, ohne jedoch einen Vertreter gemäß Artikel 27 benennen zu müssen (2) der Verordnung (EU) 2016/679:] Die Aufsichtsbehörde eines der Mitgliedstaaten, in die die betroffenen Personen, deren personenbezogene Daten gemäß diesen Klauseln im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an sie übermittelt werden, oder deren Verhalten übertragen werden überwacht wird, sich wie in Anhang IC angegeben befindet, fungiert als zuständige Aufsichtsbehörde.

2. Der Datenimporteur verpflichtet sich, sich der Gerichtsbarkeit der zuständigen Aufsichtsbehörde zu unterwerfen und mit ihr in allen Verfahren zusammenzuarbeiten, die darauf abzielen, die Einhaltung dieser Klauseln sicherzustellen. Insbesondere verpflichtet sich der Datenimporteur, Anfragen zu beantworten, sich Audits zu unterziehen und die von der Aufsichtsbehörde getroffenen Maßnahmen einschliesslich Abhilfe- und Ausgleichsmassnahmen einzuhalten. Sie bestätigt der Aufsichtsbehörde schriftlich, dass die erforderlichen Massnahmen getroffen wurden.

ABSCHNITT III – LOKALE GESETZE UND PFLICHTEN IM FALLE DES ZUGRIFFS DURCH ÖFFENTLICHE BEHÖRDEN

Klausel 14

Lokale Gesetze und Praktiken, die die Einhaltung der Klauseln betreffen

1. Die Parteien garantieren, dass sie keinen Grund zu der Annahme haben, dass die Gesetze und Praktiken im Bestimmungsdrittland, die für die Verarbeitung der personenbezogenen Daten durch den Datenimporteur gelten, einschließlich etwaiger Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen zur Genehmigung des Zugriffs durch Behörden, dies verhindern den Datenimporteur an der Erfüllung seiner Pflichten aus diesen Klauseln. Dies basiert auf dem Verständnis, dass Gesetze und Praktiken, die den Wesensgehalt der Grundrechte und Grundfreiheiten achten und nicht über das hinausgehen, was in einer demokratischen Gesellschaft erforderlich und verhältnismäßig ist, um eines der in Artikel 23 Absatz 1 der Verordnung (EU ) 2016/679, stehen diesen Klauseln nicht entgegen.
2. Die Parteien erklären, dass sie bei der Bereitstellung der Garantie in Absatz (a) insbesondere die folgenden Elemente gebührend berücksichtigt haben:

(i) die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungswege; beabsichtigte Weiterleitung; die Art des Empfängers; den Zweck der Verarbeitung; die Kategorien und das Format der übermittelten personenbezogenen Daten; der Wirtschaftssektor, in dem die Übertragung erfolgt; den Speicherort der übermittelten Daten;

(ii) die Gesetze und Praktiken des Bestimmungsdrittlandes – einschließlich derjenigen, die die Offenlegung von Daten gegenüber Behörden erfordern oder den Zugriff durch diese Behörden genehmigen – relevant im Hinblick auf die spezifischen Umstände der Übermittlung und die geltenden Beschränkungen und Garantien (12 );

(iii) alle relevanten vertraglichen, technischen oder organisatorischen Sicherheitsvorkehrungen, die zur Ergänzung der Sicherheitsvorkehrungen gemäß diesen Klauseln getroffen wurden, einschließlich Maßnahmen, die während der Übermittlung und Verarbeitung der personenbezogenen Daten im Bestimmungsland angewendet werden.

3. Der Datenimporteur garantiert, dass er sich bei der Durchführung der Bewertung nach Absatz (b) nach besten Kräften bemüht hat, dem Datenexporteur relevante Informationen zur Verfügung zu stellen, und stimmt zu, weiterhin mit dem Datenexporteur zusammenzuarbeiten, um die Einhaltung dieser Klauseln sicherzustellen.
4. Die Vertragsparteien vereinbaren, die Bewertung nach Absatz (b) zu dokumentieren und der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
5. Der Datenimporteur verpflichtet sich, den Datenexporteur unverzüglich zu benachrichtigen, wenn er nach Zustimmung zu diesen Klauseln und für die Dauer des Vertrags Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder geworden ist, die nicht den Anforderungen von Absatz entsprechen (a), einschließlich nach einer Änderung der Gesetze des Drittlandes oder einer Maßnahme (wie einem Antrag auf Offenlegung), die auf eine Anwendung dieser Gesetze in der Praxis hinweist, die nicht den Anforderungen in Absatz (a) entspricht. [Für Modul XNUMX: Der Datenexporteur leitet die Meldung an den für die Verarbeitung Verantwortlichen weiter.]
6. Nach einer Benachrichtigung gemäß Absatz (e) oder wenn der Datenexporteur aus anderen Gründen Grund zu der Annahme hat, dass der Datenimporteur seinen Verpflichtungen aus diesen Klauseln nicht mehr nachkommen kann, muss der Datenexporteur unverzüglich geeignete Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung) ermitteln Sicherheit und Vertraulichkeit), die vom Datenexporteur und/oder Datenimporteur zur Bewältigung der Situation zu übernehmen sind [für Modul Drei: gegebenenfalls in Absprache mit dem Verantwortlichen]. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Ansicht ist, dass keine angemessenen Garantien für eine solche Übermittlung gewährleistet werden können, oder wenn er von [für Modul Drei: dem Verantwortlichen oder] der zuständigen Aufsichtsbehörde dazu angewiesen wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit es sich um die Verarbeitung personenbezogener Daten gemäß diesen Klauseln handelt. Sind an dem Vertrag mehr als zwei Parteien beteiligt, kann der Datenexporteur dieses Kündigungsrecht nur gegenüber der betreffenden Partei ausüben, sofern die Parteien nichts anderes vereinbart haben. Wenn der Vertrag gemäß dieser Klausel gekündigt wird, gelten Klausel 16(d) und (e).

Klausel 15

Pflichten des Datenimporteurs bei Zugriff durch Behörden

15.1 Benachrichtigung

1. Der Datenimporteur verpflichtet sich, den Datenexporteur und nach Möglichkeit die betroffene Person unverzüglich (ggf. mit Hilfe des Datenexporteurs) zu benachrichtigen, wenn:

eine rechtsverbindliche Aufforderung einer Behörde, einschließlich Justizbehörden, nach den Gesetzen des Bestimmungslandes zur Offenlegung personenbezogener Daten erhält, die gemäß diesen Klauseln übermittelt werden; diese Benachrichtigung muss Informationen über die angeforderten personenbezogenen Daten, die ersuchende Behörde, die Rechtsgrundlage für die Anfrage und die bereitgestellte Antwort enthalten; oder

Kenntnis von einem direkten Zugriff durch Behörden auf personenbezogene Daten erhält, die gemäß diesen Klauseln gemäß den Gesetzen des Bestimmungslandes übermittelt werden; diese Mitteilung muss alle dem Importeur zur Verfügung stehenden Informationen enthalten.

[Für Modul XNUMX: Der Datenexporteur leitet die Meldung an den für die Verarbeitung Verantwortlichen weiter.]

2. Wenn es dem Datenimporteur nach den Gesetzen des Bestimmungslandes untersagt ist, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, verpflichtet sich der Datenimporteur, sich nach besten Kräften zu bemühen, eine Aufhebung des Verbots zu erreichen, um so viel zu kommunizieren Informationen so schnell wie möglich. Der Datenimporteur verpflichtet sich, seine Bemühungen zu dokumentieren, um diese auf Anfrage des Datenexporteurs nachweisen zu können.
3. Soweit nach den Gesetzen des Bestimmungslandes zulässig, verpflichtet sich der Datenimporteur, dem Datenexporteur während der Vertragsdauer in regelmäßigen Abständen möglichst viele relevante Informationen über die eingegangenen Anfragen (insbesondere Anzahl der Anfragen, Art der angeforderten Daten, anfragende Behörde(n), ob Anfragen angefochten wurden und die Person, die Sie benötigentcomich über solche Herausforderungen usw. informieren).
4. Der Datenimporteur verpflichtet sich, die Informationen gemäß den Absätzen (a) bis (c) für die Dauer des Vertrages aufzubewahren und der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
5. Die Absätze (a) bis (c) berühren nicht die Verpflichtung des Datenimporteurs gemäß Klausel 14(e) und Klausel 16, den Datenexporteur unverzüglich zu informieren, wenn er diese Klauseln nicht einhalten kann.

15.2 Prüfung auf Rechtmäßigkeit und Datenminimierung

1. Der Datenimporteur erklärt sich bereit, die Rechtmäßigkeit des Antrags auf Offenlegung zu überprüfen, insbesondere ob er im Rahmen der der ersuchenden Behörde eingeräumten Befugnisse bleibt, und den Antrag anzufechten, wenn er nach sorgfältiger Prüfung zu dem Schluss kommt, dass es berechtigte Gründe gibt, dies anzunehmen das Ersuchen nach den Gesetzen des Bestimmungslandes, den anwendbaren Verpflichtungen nach internationalem Recht und den Grundsätzen des internationalen Miteinanders rechtswidrig ist. Der Datenimporteur wird unter den gleichen Voraussetzungen Rechtsmittel einlegen. Bei Anfechtung eines Antrags ersucht der Datenimporteur vorläufige Maßnahmen, um die Wirkung des Antrags auszusetzen, bis die zuständige Justizbehörde über seine Begründetheit entschieden hat. Sie gibt die angeforderten personenbezogenen Daten erst dann weiter, wenn dies nach den geltenden Verfahrensvorschriften erforderlich ist. Diese Anforderungen gelten unbeschadet der Pflichten des Datenimporteurs gemäß Klausel 14(e).
2. Der Datenimporteur verpflichtet sich, seine rechtliche Beurteilung und etwaige Anfechtungen des Auskunftsersuchens zu dokumentieren und, soweit nach den Gesetzen des Bestimmungslandes zulässig, die Dokumentation dem Datenexporteur zur Verfügung zu stellen. Sie stellt sie auf Verlangen auch der zuständigen Aufsichtsbehörde zur Verfügung.
3. Der Datenimporteur verpflichtet sich, bei der Beantwortung eines Antrags auf Offenlegung auf der Grundlage einer angemessenen Absicht das zulässige Mindestmaß an Informationen bereitzustellenerpZurückweisung des Antrags.

ABSCHNITT IV – SCHLUSSBESTIMMUNGEN

Klausel 16

Nichteinhaltung der Klauseln und Kündigung

1. Der Datenimporteur muss den Datenexporteur unverzüglich informieren, wenn er diese Klauseln aus welchen Gründen auch immer nicht einhalten kann.
2. Für den Fall, dass der Datenimporteur gegen diese Klauseln verstößt oder diese Klauseln nicht einhalten kann, wird der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aussetzen, bis die Einhaltung wieder sichergestellt ist oder der Vertrag beendet wird. Dies gilt unbeschadet von Ziffer 14(f).
3. Der Datenexporteur ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn:

   (i) der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Absatz (b) ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Zeit und auf jeden Fall nicht innerhalb eines Monats nach der Aussetzung wiederhergestellt wird

   der Datenimporteur diese Klauseln erheblich oder anhaltend verletzt; oder

   (iii) der Datenimporteur einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer Aufsichtsbehörde bezüglich seiner Verpflichtungen aus diesen Klauseln nicht nachkommt.

   In diesen Fällen hat sie die zuständige Aufsichtsbehörde über die Nichteinhaltung zu informieren. Beteiligt sich der Vertrag an mehr als zwei Vertragsparteien, kann der Datenexporteur dieses Kündigungsrecht nur gegenüber der betreffenden Vertragspartei ausüben, sofern die Vertragsparteien nichts anderes vereinbart haben.

4. Personenbezogene Daten, die vor Vertragsbeendigung gemäß Absatz (c) übermittelt wurden, sind nach Wahl des Datenexporteurs unverzüglich an den Datenexporteur zurückzugeben oder vollständig zu löschen. Dasselbe gilt für etwaige Kopien der Daten. Der Datenimporteur muss dem Datenexporteur die Löschung der Daten bescheinigen. Bis zur Löschung oder Rückgabe der Daten stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Sollten für den Datenimporteur lokale Gesetze gelten, die die Rückgabe oder Löschung der übermittelten personenbezogenen Daten verbieten, gewährleistet der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln gewährleistet und die Daten nur in dem Umfang und für die Dauer verarbeitet, wie dies der Fall ist gemäß diesem örtlichen Gesetz erforderlich.
5. Jede Vertragspartei kann ihre Zustimmung zur Bindung an diese Klauseln widerrufen, wenn (i) die Europäische Kommission einen Beschluss gemäß Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 erlässt, der die Übermittlung personenbezogener Daten betrifft, für die diese Klauseln gelten; oder (ii) die Verordnung (EU) 2016/679 Teil des Rechtsrahmens des Landes wird, in das die personenbezogenen Daten übermittelt werden. Dies gilt unbeschadet anderer Verpflichtungen, die für die betreffende Verarbeitung gemäß der Verordnung (EU) 2016/679 gelten.

Klausel 17

Geltendes Recht

OPTION 1: Diese Klauseln unterliegen dem Recht eines EU-Mitgliedstaats, sofern dieses Recht die Rechte Dritter zulässt. Die Parteien vereinbaren, dass dies das Recht von ist Germany.

Klausel 18

Gerichtsstands- und Gerichtsstandswahl

1. Irgendein DispStreitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten eines EU-Mitgliedstaats entschieden.
2. Die Parteien vereinbaren, dass dies die Gerichte von sind Germany.
3. Eine betroffene Person kann den Datenexporteur und/oder Datenimporteur auch vor den Gerichten des Mitgliedstaats verklagen, in dem sie ihren gewöhnlichen Aufenthalt hat.
4. Die Parteien vereinbaren, sich der Gerichtsbarkeit dieser Gerichte zu unterwerfen.

(1) Handelt es sich bei dem Datenexporteur um einen Auftragsverarbeiter, der der Verordnung (EU) 2016/679 unterliegt und im Namen eines Organs oder einer Einrichtung der Union als Verantwortlicher handelt, ist die Berufung auf diese Klauseln bei der Beauftragung eines anderen Auftragsverarbeiters (Unterverarbeitung), der nicht der Verordnung (EU) 2016/679 unterliegt, erforderlich ) 29/4 gewährleistet auch die Einhaltung von Artikel 2018 Absatz 1725 der Verordnung (EU) 23/2018 des Europäischen Parlaments und des Rates vom 45. Oktober 2001 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Union Organe, Einrichtungen, Ämter und Agenturen sowie zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 1247/2002 und des Beschlusses Nr. 295/21.11.2018/EG (ABl. L 39 vom 29, S. 3). inwieweit diese Klauseln und die Datenschutzverpflichtungen gemäß dem Vertrag oder einem anderen Rechtsakt zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Artikel 2018 Absatz 1725 der Verordnung (EU) 2021/915 im Einklang stehen. Dies wird insbesondere dann der Fall sein, wenn sich der Verantwortliche und der Auftragsverarbeiter auf die im Beschluss XNUMX/XNUMX enthaltenen Standardvertragsklauseln berufen.
(2) Dies erfordert eine Anonymisierung der Daten in der Weise, dass die Person im Sinne des Erwägungsgrundes 26 der Verordnung (EU) 2016/679 für niemanden mehr identifizierbar ist und dieser Vorgang unumkehrbar ist.
(3) Das Abkommen über den Europäischen Wirtschaftsraum (EWR-Abkommen) sieht die Ausdehnung des Binnenmarktes der Europäischen Union auf die drei EWR-Staaten Island, Liechtenstein und Norwegen vor. Der Datenschutzbeauftragte der UnionslaDie Verordnung, einschließlich der Verordnung (EU) 2016/679, fällt unter das EWR-Abkommen und wurde in dessen Anhang XI aufgenommen. Daher gilt eine Offenlegung durch den Datenimporteur gegenüber einem im EWR ansässigen Dritten nicht als Weiterübermittlung im Sinne dieser Klauseln.
(4) Das Abkommen über den Europäischen Wirtschaftsraum (EWR-Abkommen) sieht die Ausdehnung des Binnenmarktes der Europäischen Union auf die drei EWR-Staaten Island, Liechtenstein und Norwegen vor. Der Datenschutzbeauftragte der UnionslaDie Verordnung, einschließlich der Verordnung (EU) 2016/679, fällt unter das EWR-Abkommen und wurde in dessen Anhang XI aufgenommen. Daher gilt eine Offenlegung durch den Datenimporteur gegenüber einem im EWR ansässigen Dritten nicht als Weiterübermittlung im Sinne dieser Klauseln.
(5) Siehe Artikel 28 Absatz 4 der Verordnung (EU) 2016/679 und, wenn der Verantwortliche ein Organ oder eine Einrichtung der EU ist, Artikel 29 Absatz 4 der Verordnung (EU) 2018/1725.
(6) Das Abkommen über den Europäischen Wirtschaftsraum (EWR-Abkommen) sieht die Ausdehnung des Binnenmarktes der Europäischen Union auf die drei EWR-Staaten Island, Liechtenstein und Norwegen vor. Der Datenschutzbeauftragte der UnionslaDie Verordnung, einschließlich der Verordnung (EU) 2016/679, fällt unter das EWR-Abkommen und wurde in dessen Anhang XI aufgenommen. Daher gilt eine Offenlegung durch den Datenimporteur gegenüber einem im EWR ansässigen Dritten nicht als Weiterübermittlung im Sinne dieser Klauseln.
(7) Dazu zählt, ob es sich bei der Übermittlung und Weiterverarbeitung um personenbezogene Daten handelt, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über diese Gesundheit oder das Sexualleben oder die sexuelle Orientierung einer Person oder Daten im Zusammenhang mit strafrechtlichen Verurteilungen oder Straftaten.
(8) Diese Anforderung kann durch den Unterauftragsverarbeiter erfüllt werden, der diesen Klauseln im Rahmen des entsprechenden Moduls gemäß Klausel 7 beitritt.
(9) Diese Anforderung kann durch den Unterauftragsverarbeiter erfüllt werden, der diesen Klauseln im Rahmen des entsprechenden Moduls gemäß Klausel 7 beitritt.
(10) Diese Frist kann um höchstens zwei weitere Monate verlängert werden, soweit dies unter Berücksichtigung der Komplexität und Anzahl der Anfragen erforderlich ist. Der Datenimporteur informiert die betroffene Person ordnungsgemäß und unverzüglich über eine solche Verlängerung.
(11) Der Datenimporteur kann unabhängige d. anbietenispEine Schlichtung durch ein Schiedsgericht ist nur möglich, wenn dieses seinen Sitz in einem Land hat, das das New Yorker Übereinkommen zur Durchsetzung von Schiedssprüchen ratifiziert hat.
(12) Hinsichtlich der Auswirkungen solcher Gesetze und Praktiken auf die Einhaltung dieser Klauseln können im Rahmen einer Gesamtbewertung verschiedene Elemente berücksichtigt werden. Zu diesen Elementen können relevante und dokumentierte praktische Erfahrungen mit früheren Offenlegungsanfragen von Behörden oder das Fehlen solcher Anfragen gehören, die einen ausreichend repräsentativen Zeitraum abdecken. Hierbei handelt es sich insbesondere um interne Aufzeichnungen oder andere Dokumentationen, die laufend nach Maßgabe der gebotenen Sorgfalt erstellt und auf der Ebene der Geschäftsleitung zertifiziert werden, sofern diese Informationen rechtmäßig an Dritte weitergegeben werden dürfen. Wenn diese praktische Erfahrung zu dem Schluss führt, dass der Datenimporteur nicht an der Einhaltung dieser Klauseln gehindert wird, muss sie durch andere relevante, objektive Elemente gestützt werden, und es obliegt den Parteien, sorgfältig zu prüfen, ob diese Elemente zusammengenommen ausreichend sind Gewicht hinsichtlich ihrer Zuverlässigkeit und Repräsentativität, um diese Schlussfolgerung zu stützen. Insbesondere müssen die Parteien berücksichtigen, ob ihre praktischen Erfahrungen durch öffentlich zugängliche oder anderweitig zugängliche, verlässliche Informationen über das Vorliegen oder Nichtvorhandensein von Anfragen innerhalb desselben Sektors und/oder die Anwendung des Rechts in der Praxis bestätigt werden und nicht im Widerspruch dazu stehen. B. Rechtsprechung und Berichte unabhängiger Aufsichtsbehörden.

ANHANG

ERLÄUTERUNGEN:
Es muss möglich sein, die für jede Übermittlung oder Übermittlungskategorie geltenden Informationen klar zu unterscheiden und in diesem Zusammenhang die jeweilige(n) Rolle(n) der Parteien als Datenexporteur(en) und/oder Datenimporteur(en) zu bestimmen. Dies erfordert nicht unbedingt das Ausfüllen und Unterzeichnen separater Anhänge für jede Übertragung/Übertragungskategorie und/oder jedes Vertragsverhältnis, wobei diese Transparenz durch einen Anhang erreicht werden kann. Wo es jedoch zur Gewährleistung ausreichender Klarheit erforderlich ist, sollten separate Anhänge verwendet werden.

ANHANG I.

A. LISTE DER PARTEIEN

Datenexporteur(e): [Identität und Kontaktdaten des/der Datenexporteur(s) und gegebenenfalls seines/ihres Datenschutzbeauftragten und/oder Vertreters in der Europäischen Union]

• Name: …
  Adresse: …
  Name, Position und Kontaktdaten des Ansprechpartners: …
  Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: …
  Unterschrift und Datum: …
  Rolle (Verantwortlicher/Auftragsverarbeiter): …
• ......

Datenimporteur(e): [Identität und Kontaktdaten des Datenimporteurs/der Datenimporteur(en), einschließlich etwaiger Ansprechpartner, die für den Datenschutz verantwortlich sind]

• Name: …
  Adresse: …
  Name, Position und Kontaktdaten des Ansprechpartners: …
  Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: …
  Unterschrift und Datum: …
  Rolle (Verantwortlicher/Auftragsverarbeiter): …
• .....

B. BESCHREIBUNG DER ÜBERTRAGUNG

Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden
...
Kategorien der übermittelten personenbezogenen Daten
...
Sensible Daten werden übermittelt (falls zutreffend) und angewendete Beschränkungen oder Sicherheitsvorkehrungen, die die Art der Daten und die damit verbundenen Risiken vollständig berücksichtigen, wie z eine Aufzeichnung des Zugriffs auf die Daten, Einschränkungen für die Weiterleitung oder zusätzliche Sicherheitsmaßnahmen.
...
Die Häufigkeit der Übertragung (z. B. ob die Daten einmalig oder kontinuierlich übertragen werden).
...
Art der Verarbeitung
...
Zweck(e) der Datenübermittlung und Weiterverarbeitung
...
Der Zeitraum, für den die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien, die zur Bestimmung dieses Zeitraums verwendet werden
...
Bei Übermittlungen an (Unter-)Auftragsverarbeiter bitte auch den Betreff angeben mattArt und Dauer der Verarbeitung
...

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

Identifizieren Sie die zuständige(n) Aufsichtsbehörde(n) gemäß Ziffer 13
...