Aryaka Startet ein Programm zur Migrationsbeschleunigung, um Organisationen dabei zu helfen, veraltete Netzwerksicherheitsprodukte zu ersetzen

Pressemitteilung lesen > X
aryaka aryaka

Haftungsausschluss: Dieses Dokument wurde auf der Grundlage des unter verfügbaren Textes erstellt https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX%3A32021D0914&locale=en#ntc12-L_2021199EN.01003701-E0012 und dient der Bequemlichkeit. Es sollte nicht als maßgeblicher Text oder Rechtshinweis betrachtet werden.

STANDARDVERTRAGSKLAUSELN

Prozessor zu Prozessor

ABSCHNITT I.

Klausel 1

Zweck und Umfang

    1. Der Zweck dieser Standardvertragsklauseln besteht darin, die Einhaltung der Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten usw. sicherzustellen der freie Datenverkehr (Datenschutz-Grundverordnung) ([1]) für die Übermittlung personenbezogener Daten in ein Drittland.
    2. Die Parteien:
      1. die natürliche oder juristische(n) Person(en), Behörde(n), Agentur(en) oder andere Stelle(n) (im Folgenden „Entität(en“)), die die personenbezogenen Daten übermitteln, wie in Anhang IA aufgeführt (im Folgenden jeweils „Datenexporteur“), und
      2. Das/die Unternehmen in einem Drittland, das/die die personenbezogenen Daten vom Datenexporteur direkt oder indirekt über ein anderes Unternehmen erhalten, das ebenfalls Vertragspartei dieser Klauseln ist und in Anhang IA aufgeführt ist (im Folgenden „Datenimporteur“), haben diesen Standardvertragsklauseln zugestimmt ( im Folgenden: „Klauseln“).
    3. Diese Klauseln gelten in Bezug auf die Übermittlung personenbezogener Daten gemäß Anhang IB
    4. Der Anhang zu diesen Klauseln mit den darin genannten Anhängen bildet einen integralen Bestandteil dieser Klauseln.

Klausel 2

Wirkung und Unveränderlichkeit der Klauseln

  1. Diese Klauseln legen geeignete Garantien fest, einschließlich durchsetzbarer Rechte betroffener Personen und wirksamer Rechtsbehelfe, gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 und in Bezug auf Datenübermittlungen von Verantwortlichen an Auftragsverarbeiter und/oder Auftragsverarbeiter an Auftragsverarbeiter, Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679, sofern sie nicht geändert werden, außer um die entsprechenden Module auszuwählen oder Informationen hinzuzufügen oder zu aktualisieren der Anhang. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfassenderen Vertrag aufzunehmen und/oder andere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern sie diesen Klauseln nicht direkt oder indirekt widersprechen oder die Grundrechte beeinträchtigen oder Freiheiten der betroffenen Personen.
  2. Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Datenexporteur aufgrund der Verordnung (EU) 2016/679 unterliegt.

Klausel 3

Drittbegünstigte

  1. Betroffene Personen können diese Klauseln als Drittbegünstigte gegenüber dem Datenexporteur und/oder Datenimporteur geltend machen und durchsetzen, mit den folgenden Ausnahmen:

      2. (i) Klausel 1, Klausel 2, Klausel 3, Klausel 6, Klausel 7;

      (ii) Klausel 8.1(a), (c) und (d) und Klausel 8.9(a), (c), (d), (e), (f) und (g);

      (iii) Klausel 9(a), (c), (d) und (e);

      (iv) Klausel 12(a), (d) und (f);

      (v) Ziffer 13;

      (vi) Ziffer 15.1(c), (d) und (e);

      (vii) Klausel 16(e);

      (viii) Klausel 18(a) und (b).

  2. Absatz (a) berührt nicht die Rechte der betroffenen Personen gemäß der Verordnung (EU) 2016/679.

Klausel 4

Dolmetschen

  1. Wenn in diesen Klauseln Begriffe verwendet werden, die in der Verordnung (EU) 2016/679 definiert sind, haben diese Begriffe die gleiche Bedeutung wie in dieser Verordnung.
  2. Diese Klauseln müssen gelesen und interpim Lichte der Bestimmungen der Verordnung (EU) 2016/679 geändert.
  3. Diese Klauseln gelten nichterpin einer Weise geändert werden, die im Widerspruch zu den in der Verordnung (EU) 2016/679 vorgesehenen Rechten und Pflichten steht.

Klausel 5

Hierarchie

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen verwandter Vereinbarungen zwischen den Parteien, die zum Zeitpunkt der Vereinbarung oder des Abschlusses dieser Klauseln bestehen, haben diese Klauseln Vorrang.

Klausel 6

Beschreibung der Übertragung(en)

Die Einzelheiten der Übermittlung(en) und insbesondere die Kategorien personenbezogener Daten, die übermittelt werden, und der/die Zweck(e), zu dem/denen sie übermittelt werden, sind in Anhang IB aufgeführt

Klausel 7 – Optional

Andockklausel

  1. Ein Unternehmen, das keine Vertragspartei dieser Klauseln ist, kann diesen Klauseln mit Zustimmung der Parteien jederzeit entweder als Datenexporteur oder als Datenimporteur beitreten, indem es den Anhang ausfüllt und Anhang IA unterzeichnet
  2. Sobald es den Anhang ausgefüllt und Anhang IA unterzeichnet hat, wird das beitretende Unternehmen Vertragspartei dieser Klauseln und hat die Rechte und Pflichten eines Datenexporteurs oder Datenimporteurs gemäß seiner Bezeichnung in Anhang IA
  3. Das beitretende Unternehmen hat keine Rechte oder Pflichten aus diesen Klauseln aus der Zeit, bevor es Partei wurde.

ABSCHNITT II – PFLICHTEN DER PARTEIEN

Klausel 8

Datenschutzvorkehrungen

Der Datenexporteur garantiert, dass er angemessene Anstrengungen unternommen hat, um festzustellen, dass der Datenimporteur in der Lage ist, durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen seinen Verpflichtungen gemäß diesen Klauseln nachzukommen.

8.1 Anweisungen

  1. Der Datenexporteur hat den Datenimporteur darüber informiert, dass er als Auftragsverarbeiter gemäß den Anweisungen seines/ihrer Verantwortlichen handelt, die der Datenexporteur dem Datenimporteur vor der Verarbeitung zur Verfügung stellt.
  2. Der Datenimporteur verarbeitet die personenbezogenen Daten nur auf dokumentierte Weisungen des für die Verarbeitung Verantwortlichen, wie sie dem Datenimporteur vom Datenexporteur mitgeteilt wurden, und auf weitere dokumentierte Weisungen des Datenexporteurs. Solche zusätzlichen Weisungen dürfen den Weisungen des für die Verarbeitung Verantwortlichen nicht widersprechen. Der für die Verarbeitung Verantwortliche oder Datenexporteur kann während der gesamten Vertragsdauer weitere dokumentierte Weisungen zur Datenverarbeitung erteilen.
  3. Der Datenimporteur informiert den Datenexporteur unverzüglich, wenn er diesen Anweisungen nicht Folge leisten kann. Kann der Datenimporteur die Anweisungen des für die Verarbeitung Verantwortlichen nicht befolgen, muss der Datenexporteur den für die Verarbeitung Verantwortlichen unverzüglich benachrichtigen.
  4. Der Datenexporteur gewährleistet, dass er dem Datenimporteur die gleichen Datenschutzpflichten auferlegt hat, die im Vertrag oder einem anderen Rechtsakt nach Unionsrecht oder dem Recht der Mitgliedstaaten zwischen dem Verantwortlichen und dem Datenexporteur festgelegt sind ([2]).

8.2 Zweckbindung

Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den/die spezifischen Zweck(e) der Übermittlung gemäß Anhang IB, es sei denn, es liegen weitere Anweisungen des für die Verarbeitung Verantwortlichen vor, die dem Datenimporteur vom Datenexporteur mitgeteilt wurden, oder von den Daten Exporteur.

8.3 Transparenz

Auf Anfrage stellt der Datenexporteur der betroffenen Person kostenlos eine Kopie dieser Klauseln einschließlich des von den Parteien ausgefüllten Anhangs zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Datenexporteur einen Teil des Textes des Anhangs schwärzen, bevor er eine Kopie weitergibt, muss jedoch eine aussagekräftige Zusammenfassung bereitstellen, wenn die betroffene Person andernfalls nicht dazu in der Lage wäre seinen Inhalt zu verstehen oder seine Rechte auszuüben. Auf Anfrage teilen die Parteien der betroffenen Person die Gründe für die Schwärzungen mit, soweit dies möglich ist, ohne die geschwärzten Informationen preiszugeben.

8.4 Genauigkeit

Erkennt der Datenimporteur, dass die ihm übermittelten personenbezogenen Daten unrichtig oder veraltet sind, informiert er den Datenexporteur unverzüglich. In diesem Fall arbeitet der Datenimporteur mit dem Datenexporteur zusammen, um die Daten zu berichtigen oder zu löschen.

8.5 Dauer der Verarbeitung und Löschung bzw. Rückgabe der Daten

Die Verarbeitung durch den Datenimporteur erfolgt nur für die in Anhang IB angegebene Dauer. Nach Beendigung der Erbringung der Verarbeitungsdienste löscht der Datenimporteur nach Wahl des Datenexporteurs alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten und dem Datenexporteur bescheinigen, dass er dies getan hat, oder alle in seinem Auftrag verarbeiteten personenbezogenen Daten an den Datenexporteur zurückzugeben und vorhandene Kopien zu löschen. Bis zur Löschung oder Rückgabe der Daten stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Falls für den Datenimporteur geltende lokale Gesetze die Rückgabe oder Löschung der personenbezogenen Daten verbieten, garantiert der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln sicherstellt und sie nur in dem Umfang und so lange verarbeitet, wie dies erforderlich ist lokales Gesetz. Dies gilt unbeschadet von Ziffer 14, insbesondere der Verpflichtung des Datenimporteurs gemäß Ziffer 14(e), den Datenexporteur während der gesamten Vertragsdauer zu benachrichtigen, wenn er Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterliegt nicht im Einklang mit den Anforderungen von Abschnitt 14(a).

8.6 Sicherheit der Verarbeitung

  1. Der Datenimporteur und bei der Übermittlung auch der Datenexporteur müssen geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor Sicherheitsverletzungen, die zu versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Änderung, unbefugter Offenlegung oder unbefugtem Zugriff führen dieser Daten (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Sicherheitsniveaus berücksichtigen sie den Stand der Technik, die Implementierungskosten, die Art, den Umfang, den Kontext und den Zweck der Verarbeitung sowie die mit der Verarbeitung verbundenen Risiken für die betroffene Person. Die Parteien erwägen insbesondere den Einsatz einer Verschlüsselung oder Pseudonymisierung auch bei der Übermittlung, soweit der Zweck der Verarbeitung auf diese Weise erfüllt werden kann. Im Falle einer Pseudonymisierung bleiben die zusätzlichen Informationen zur Zuordnung der personenbezogenen Daten zu einer bestimmten betroffenen Person, soweit möglich, unter der ausschließlichen Kontrolle des Datenexporteurs oder des für die Verarbeitung Verantwortlichen. Bei der Erfüllung seiner Verpflichtungen aus diesem Absatz muss der Datenimporteur mindestens die in Anhang II genannten technischen und organisatorischen Maßnahmen umsetzen. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Sicherheitsniveau gewährleisten.
  2. Der Datenimporteur gewährt seinen Mitarbeitern nur Zugang zu den Daten, soweit dies für die Durchführung, Verwaltung und Überwachung des Vertrages unbedingt erforderlich ist. Sie stellt sicher, dass die zur Bearbeitung der Personendaten befugten Personen sich zur Verschwiegenheit verpflichtet haben oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen.
  3. Im Falle einer Verletzung des Schutzes personenbezogener Daten in Bezug auf personenbezogene Daten, die vom Datenimporteur gemäß diesen Klauseln verarbeitet werden, ergreift der Datenimporteur geeignete Maßnahmen, um den Verstoß zu beheben, einschließlich Maßnahmen zur Minderung seiner nachteiligen Auswirkungen. Der Datenimporteur benachrichtigt außerdem unverzüglich den Datenexporteur und, sofern angemessen und möglich, den für die Verarbeitung Verantwortlichen, nachdem er von der Verletzung Kenntnis erlangt hat. Eine solche Benachrichtigung enthält Angaben zu einer Kontaktstelle, bei der weitere Informationen eingeholt werden können, eine Beschreibung der Art des Verstoßes (einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen und personenbezogenen Datensätze), seiner wahrscheinlichen Folgen und der ergriffene oder vorgeschlagene Maßnahmen zur Behebung der Datenschutzverletzung, einschließlich Maßnahmen zur Minderung möglicher negativer Auswirkungen. Wenn und soweit es nicht möglich ist, alle Informationen gleichzeitig bereitzustellen, enthält die Erstmeldung die damals verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, unverzüglich nachgereicht.
  4. Der Datenimporteur arbeitet mit dem Datenexporteur zusammen und unterstützt ihn dabei, damit der Datenexporteur seinen Verpflichtungen gemäß der Verordnung (EU) 2016/679 nachkommen kann, insbesondere um seinen Verantwortlichen zu benachrichtigen, damit dieser seinerseits die zuständige Aufsichtsbehörde und die zuständige Aufsichtsbehörde benachrichtigen kann betroffene Personen unter Berücksichtigung der Art der Verarbeitung und der dem Datenimporteur zur Verfügung stehenden Informationen.

8.7 Sensible Daten

Wenn die Übermittlung personenbezogene Daten betrifft, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit oder das Sexualleben einer Person oder sexuelle Orientierung oder Daten über strafrechtliche Verurteilungen und Straftaten (im Folgenden „sensible Daten“), wendet der Datenimporteur die spezifischen Beschränkungen und/oder zusätzlichen Garantien gemäß Anhang IB an

8.8 Weiterübertragungen

Der Datenimporteur darf die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen an Dritte weitergeben, die der Datenexporteur dem Datenimporteur mitgeteilt hat. Darüber hinaus dürfen die Daten nur an Dritte mit Sitz außerhalb der Europäischen Union weitergegeben werden ([3]) (im selben Land wie der Datenimporteur oder in einem anderen Drittland, im Folgenden „Weiterübermittlung“), wenn der Dritte gemäß dem entsprechenden Modul an diese Klauseln gebunden ist oder sich damit einverstanden erklärt, oder wenn:

  1. die Weiterübermittlung in ein Land erfolgt, für das ein Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 vorliegt, der die Weiterübermittlung abdeckt;
  2. der Dritte stellt ansonsten angemessene Garantien gemäß Artikel 46 oder 47 der Verordnung (EU) 2016/679 sicher;
  3. die Weiterleitung ist für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen bestimmter Verwaltungs-, Regulierungs- oder Gerichtsverfahren erforderlich; oder
  4. die Weitergabe ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.

Jede Weiterleitung unterliegt der Einhaltung aller anderen Garantien gemäß diesen Klauseln durch den Datenimporteur, insbesondere der Zweckbindung.

8.9 Dokumentation und Compliance

  1. Der Datenimporteur muss Anfragen des Datenexporteurs oder des für die Verarbeitung Verantwortlichen, die sich auf die Verarbeitung gemäß diesen Klauseln beziehen, unverzüglich und angemessen bearbeiten.
  2. Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können. Insbesondere führt der Datenimporteur eine angemessene Dokumentation über die im Auftrag des Verantwortlichen durchgeführten Verarbeitungstätigkeiten.
  3. Der Datenimporteur stellt dem Datenexporteur alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in diesen Klauseln festgelegten Pflichten nachzuweisen, und der sie dem für die Verarbeitung Verantwortlichen zur Verfügung stellt.
  4. Der Datenimporteur muss Audits durch den Datenexporteur der unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen einer Nichteinhaltung zulassen und dazu beitragen. Gleiches gilt, wenn der Datenexporteur auf Weisung des Verantwortlichen eine Prüfung verlangt. Bei der Entscheidung über ein Audit kann der Datenexporteur relevante Zertifizierungen des Datenimporteurs berücksichtigen.
  5. Wird die Prüfung im Auftrag des für die Verarbeitung Verantwortlichen durchgeführt, stellt der Datenexporteur dem für die Verarbeitung Verantwortlichen die Ergebnisse zur Verfügung.
  6. Der Datenexporteur kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Audits können Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Datenimporteurs umfassen und müssen gegebenenfalls mit angemessener Vorankündigung durchgeführt werden.
  7. Die Vertragsparteien stellen der zuständigen Aufsichtsbehörde auf Anfrage die in den Absätzen (b) und (c) genannten Informationen, einschließlich der Ergebnisse etwaiger Audits, zur Verfügung.

Klausel 9

Einsatz von Unterauftragsverarbeitern

  1. OPTION 1: SPEZIFISCHE VORHERIGE GENEHMIGUNG Der Datenimporteur darf keine seiner im Auftrag des Datenexporteurs gemäß diesen Klauseln durchgeführten Verarbeitungstätigkeiten ohne vorherige ausdrückliche schriftliche Genehmigung des für die Verarbeitung Verantwortlichen an einen Unterauftragsverarbeiter weitervergeben. Der Datenimporteur reicht den Antrag auf Sondergenehmigung mindestens [Zeitraum angeben] vor der Beauftragung des Unterauftragsverarbeiters zusammen mit den Informationen, die erforderlich sind, damit der Verantwortliche über die Genehmigung entscheiden kann. Er informiert den Datenexporteur über die Beauftragung. Die Liste der vom Verantwortlichen bereits zugelassenen Unterauftragsverarbeiter finden Sie in Anhang III. Die Parteien halten Anhang III auf dem neuesten Stand. OPTION 2: ALLGEMEINE SCHRIFTLICHE GENEHMIGUNG Der Datenimporteur verfügt über die allgemeine Genehmigung des Verantwortlichen für die Beauftragung von Unterauftragsverarbeitern aus einer vereinbarten Liste. Der Datenimporteur muss den Verantwortlichen ausdrücklich schriftlich über alle beabsichtigten Änderungen dieser Liste durch die Hinzufügung oder Ersetzung von Unterauftragsverarbeitern informieren, und zwar mindestens [Zeitraum angeben] im Voraus, wodurch der Verantwortliche ausreichend Zeit hat, um solchen Änderungen vor der Beauftragung des/der Unterauftragsverarbeiter widersprechen zu können. Der Datenimporteur stellt dem Verantwortlichen die Informationen zur Verfügung, die erforderlich sind, damit der Verantwortliche sein Widerspruchsrecht ausüben kann. Der Datenimporteur informiert den Datenexporteur über die Beauftragung des/der Unterauftragsverarbeiter(s).
  2. Wenn der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen) beauftragt, muss er dies im Wege eines schriftlichen Vertrags tun, der im Wesentlichen dieselben Datenschutzverpflichtungen vorsieht wie diejenigen, die für die Daten bindend sind Importeur gemäß diesen Klauseln, auch im Hinblick auf die Rechte Dritter für betroffene Personen. ([4]) Die Parteien vereinbaren, dass der Datenimporteur durch die Einhaltung dieser Klausel seinen Pflichten gemäß Klausel 8.8 nachkommt. Der Datenimporteur stellt sicher, dass der Unterauftragsverarbeiter die Verpflichtungen einhält, denen der Datenimporteur gemäß diesen Klauseln unterliegt.
  3. Der Datenimporteur stellt auf Anfrage des Datenexporteurs oder des für die Verarbeitung Verantwortlichen eine Kopie einer solchen Unterauftragsverarbeitervereinbarung und aller nachfolgenden Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Datenimporteur den Vertragstext vor der Weitergabe einer Kopie schwärzen.
  4. Der Datenimporteur bleibt gegenüber dem Datenexporteur voll verantwortlich für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters aus seinem Vertrag mit dem Datenimporteur. Der Datenimporteur benachrichtigt den Datenexporteur über jedes Versäumnis des Unterauftragsverarbeiters, seinen Verpflichtungen aus diesem Vertrag nachzukommen.
  5. Der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach – für den Fall, dass der Datenimporteur faktisch verschwunden, rechtlich erloschen oder insolvent geworden ist – der Datenexporteur das Recht hat, die Unterauftragsvergabe zu kündigen. Auftragsverarbeitervertrag abzuschließen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

Klausel 10

Betroffenenrechte

  1. Der Datenimporteur benachrichtigt den Datenexporteur und gegebenenfalls den für die Verarbeitung Verantwortlichen unverzüglich über jede Anfrage, die er von einer betroffenen Person erhalten hat, ohne auf diese Anfrage zu antworten, es sei denn, er wurde vom für die Verarbeitung Verantwortlichen dazu ermächtigt.
  2. Der Datenimporteur unterstützt, gegebenenfalls in Zusammenarbeit mit dem Datenexporteur, den für die Verarbeitung Verantwortlichen bei der Erfüllung seiner Verpflichtungen zur Beantwortung von Anträgen betroffener Personen auf Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725 , soweit zutreffend. Diesbezüglich legen die Vertragsparteien in Anhang II die geeigneten technischen und organisatorischen Maßnahmen unter Berücksichtigung der Art der Verarbeitung, durch die die Unterstützung geleistet werden soll, sowie des Umfangs und Umfangs der erforderlichen Unterstützung fest.
  3. Bei der Erfüllung seiner Verpflichtungen gemäß den Absätzen (a) und (b) muss der Datenimporteur die Anweisungen des für die Verarbeitung Verantwortlichen befolgen, wie sie vom Datenexporteur mitgeteilt wurden.

Klausel 11

Wiedergutmachung

  1. Der Datenimporteur informiert die betroffenen Personen in einem transparenten und leicht zugänglichen Format durch individuelle Mitteilung oder auf seiner Website über eine für die Bearbeitung von Beschwerden zuständige Kontaktstelle. Er wird alle Beschwerden, die er von einer betroffenen Person erhält, umgehend bearbeiten. [OPTION: Der Datenimporteur stimmt zu, dass betroffene Personen eine Beschwerde auch bei einer unabhängigen Stelle einreichen könnenispute-Abwicklungsstelle ([5]) kostenlos für die betroffene Person. Sie informiert die betroffenen Personen in der in Absatz (a) dargelegten Weise über diesen Rechtsbehelfsmechanismus und darüber, dass sie nicht verpflichtet sind, ihn zu nutzen oder eine bestimmte Reihenfolge bei der Geltendmachung von Rechtsbehelfen einzuhalten.]
  2. Im Falle einer AnzeigeispKommt es zwischen einer betroffenen Person und einer der Parteien zu einer Vereinbarung über die Einhaltung dieser Klauseln, so wird sich diese Partei nach besten Kräften bemühen, das Problem zeitnah gütlich zu lösen. Die Vertragsparteien halten sich gegenseitig darüber auf dem Laufenden. dispund gegebenenfalls an deren Lösung mitzuwirken.
  3. Wenn sich die betroffene Person auf ein Drittbegünstigungsrecht gemäß Ziffer 3 beruft, akzeptiert der Datenimporteur die Entscheidung der betroffenen Person:
    1. eine Beschwerde bei der Aufsichtsbehörde in dem Mitgliedstaat seines Aufenthaltsorts oder Arbeitsplatzes oder der zuständigen Aufsichtsbehörde gemäß Ziffer 13 einreichen;
    2. verweisen Sie auf dispDie zuständigen Gerichte im Sinne von Ziffer 18 sind zuständig.
  4. Die Vertragsparteien akzeptieren, dass die betroffene Person unter den in Artikel 80 Absatz 1 der Verordnung (EU) 2016/679 festgelegten Bedingungen von einer gemeinnützigen Einrichtung, Organisation oder Vereinigung vertreten werden kann.
  5. Der Datenimporteur muss sich an eine Entscheidung halten, die nach geltendem Recht der EU oder der Mitgliedstaaten verbindlich ist.
  6. Der Datenimporteur erklärt sich damit einverstanden, dass die von der betroffenen Person getroffene Entscheidung ihre materiellen und verfahrensrechtlichen Rechte auf Rechtsbehelfe gemäß den geltenden Gesetzen nicht beeinträchtigt.

Klausel 12

Haftung

  1. Jede Partei haftet gegenüber der/den anderen Partei/en für alle Schäden, die sie der/den anderen Partei/en durch einen Verstoß gegen diese Klauseln zufügt.
  2. Der Datenimporteur haftet gegenüber der betroffenen Person, und die betroffene Person hat Anspruch auf Entschädigung für alle materiellen oder immateriellen Schäden, die der Datenimporteur oder sein Unterauftragsverarbeiter der betroffenen Person durch die Verletzung der Rechte Dritter zufügt unter diesen Klauseln.
  3. Ungeachtet des Absatzes (b) haftet der Datenexporteur gegenüber der betroffenen Person, und die betroffene Person hat Anspruch auf Entschädigung für alle materiellen oder immateriellen Schäden, die der Datenexporteur oder der Datenimporteur (oder sein Unterauftragsverarbeiter) die betroffene Person durch die Verletzung der Rechte des Drittbegünstigten gemäß diesen Klauseln verursacht. Dies gilt unbeschadet der Haftung des Datenexporteurs und, wenn der Datenexporteur ein Auftragsverarbeiter ist, der im Auftrag eines für die Verarbeitung Verantwortlichen handelt, der Haftung des für die Verarbeitung Verantwortlichen gemäß der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725, soweit zutreffend.
  4. Die Parteien vereinbaren, dass, wenn der Datenexporteur gemäß Absatz (c) für Schäden haftbar gemacht wird, die durch den Datenimporteur (oder seinen Unterauftragsverarbeiter) verursacht wurden, er berechtigt ist, vom Datenimporteur den Teil der Entschädigung zurückzufordern, der dem entspricht Haftung des Datenimporteurs für den Schaden.
  5. Wenn mehr als eine Partei für Schäden verantwortlich ist, die der betroffenen Person durch einen Verstoß gegen diese Klauseln entstehen, haften alle verantwortlichen Parteien gesamtschuldnerisch und die betroffene Person ist berechtigt, gegen jede dieser Parteien gerichtliche Schritte einzuleiten Parteien.
  6. Die Parteien vereinbaren, dass, wenn eine Partei gemäß Absatz (e) haftbar gemacht wird, sie berechtigt ist, von der anderen Partei/den anderen Parteien den Teil der Entschädigung zurückzufordern, der ihrer/seiner Verantwortung für den Schaden entspricht.
  7. Der Datenimporteur darf sich nicht auf das Verhalten eines Unterauftragsverarbeiters berufen, um seine eigene Haftung zu vermeiden.

Klausel 13

Aufsicht

  1. [Wenn der Datenexporteur in einem EU-Mitgliedstaat niedergelassen ist:] Die Aufsichtsbehörde, die dafür zuständig ist, sicherzustellen, dass der Datenexporteur die Verordnung (EU) 2016/679 in Bezug auf die Datenübertragung einhält, wie in Anhang IC angegeben, handelt als zuständig Aufsichtsbehörde.

    [Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat ansässig ist, aber gemäß Artikel 2016 Absatz 679 der Verordnung (EU) 3/2 in den räumlichen Anwendungsbereich fällt und einen Vertreter gemäß Artikel 27 Absatz 1 ernannt hat ) der Verordnung (EU) 2016/679:] Die Aufsichtsbehörde des Mitgliedstaats, in dem der Vertreter im Sinne von Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 ansässig ist, wie in Anhang IC angegeben, wird tätig als zuständige Aufsichtsbehörde.

    [Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat ansässig ist, aber gemäß Artikel 2016 Absatz 679 der Verordnung (EU) 3/2 in den räumlichen Anwendungsbereich fällt, ohne jedoch einen Vertreter gemäß Artikel 27 bestellen zu müssen (2) der Verordnung (EU) 2016/679:] Die Aufsichtsbehörde eines der Mitgliedstaaten, in die die betroffenen Personen ihre personenbezogenen Daten gemäß diesen Klauseln im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an sie oder deren Verhalten übertragen überwacht wird, sich wie in Anhang IC angegeben befindet, fungiert als zuständige Aufsichtsbehörde.

  2. Der Datenimporteur verpflichtet sich, sich der Gerichtsbarkeit der zuständigen Aufsichtsbehörde zu unterwerfen und mit ihr in allen Verfahren zusammenzuarbeiten, die darauf abzielen, die Einhaltung dieser Klauseln sicherzustellen. Insbesondere verpflichtet sich der Datenimporteur, Anfragen zu beantworten, sich Audits zu unterziehen und die von der Aufsichtsbehörde getroffenen Maßnahmen einschliesslich Abhilfe- und Ausgleichsmassnahmen einzuhalten. Sie bestätigt der Aufsichtsbehörde schriftlich, dass die erforderlichen Massnahmen getroffen wurden.

ABSCHNITT III – LOKALE GESETZE UND PFLICHTEN IM FALLE DES ZUGRIFFS DURCH ÖFFENTLICHE BEHÖRDEN

Klausel 14

Lokale Gesetze und Praktiken, die die Einhaltung der Klauseln betreffen

    1. Die Parteien garantieren, dass sie keinen Grund zu der Annahme haben, dass die für die Verarbeitung der personenbezogenen Daten durch den Datenimporteur geltenden Gesetze und Praktiken im Bestimmungsdrittland, einschließlich etwaiger Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen zur Genehmigung des Zugriffs durch Behörden, dies verhindern den Datenimporteur daran hindern, seinen Pflichten aus diesen Klauseln nachzukommen. Dies basiert auf dem Verständnis, dass Gesetze und Praktiken, die den Wesensgehalt der Grundrechte und Grundfreiheiten achten und nicht über das hinausgehen, was in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) aufgeführten Ziele zu wahren ) 2016/679, stehen nicht im Widerspruch zu diesen Klauseln.
    2. Die Parteien erklären, dass sie bei der Bereitstellung der Garantie in Absatz (a) insbesondere die folgenden Elemente gebührend berücksichtigt haben:
      1. die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungswege; beabsichtigte Weiterleitung; die Art des Empfängers; den Zweck der Verarbeitung; die Kategorien und das Format der übermittelten personenbezogenen Daten; der Wirtschaftssektor, in dem die Übertragung erfolgt; den Speicherort der übermittelten Daten;
      2. die Gesetze und Praktiken des Bestimmungsdrittlandes – einschließlich derjenigen, die die Weitergabe von Daten an Behörden oder die Genehmigung des Zugriffs durch diese Behörden erfordern – relevant im Hinblick auf die spezifischen Umstände der Übermittlung sowie die geltenden Beschränkungen und Schutzmaßnahmen ([6]);
      3. alle relevanten vertraglichen, technischen oder organisatorischen Sicherheitsvorkehrungen, die zur Ergänzung der Sicherheitsvorkehrungen gemäß diesen Klauseln getroffen wurden, einschließlich Maßnahmen, die während der Übermittlung und Verarbeitung der personenbezogenen Daten im Bestimmungsland angewendet werden.
    3. Der Datenimporteur garantiert, dass er sich bei der Durchführung der Bewertung nach Absatz (b) nach besten Kräften bemüht hat, dem Datenexporteur relevante Informationen zur Verfügung zu stellen, und stimmt zu, weiterhin mit dem Datenexporteur zusammenzuarbeiten, um die Einhaltung dieser Klauseln sicherzustellen.
    4. Die Vertragsparteien vereinbaren, die Bewertung nach Absatz (b) zu dokumentieren und der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
    5. Der Datenimporteur verpflichtet sich, den Datenexporteur unverzüglich zu benachrichtigen, wenn er nach Zustimmung zu diesen Klauseln und für die Dauer des Vertrags Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterliegt, die nicht den Anforderungen des Absatzes entsprechen (a), auch nach einer Änderung der Gesetze des Drittlandes oder einer Maßnahme (z. B. einer Offenlegungsanfrage), die auf eine Anwendung dieser Gesetze in der Praxis hinweist, die nicht mit den Anforderungen in Absatz (a) im Einklang steht. Der Datenexporteur leitet die Meldung an den Verantwortlichen weiter.
    6. Nach einer Benachrichtigung gemäß Absatz (e) oder wenn der Datenexporteur aus anderen Gründen Grund zu der Annahme hat, dass der Datenimporteur seinen Verpflichtungen aus diesen Klauseln nicht mehr nachkommen kann, muss der Datenexporteur unverzüglich geeignete Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung) ermitteln Sicherheit und Vertraulichkeit), die vom Datenexporteur und/oder Datenimporteur zur Bewältigung der Situation zu ergreifen sind, gegebenenfalls in Absprache mit dem Verantwortlichen. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Ansicht ist, dass für diese Übermittlung keine angemessenen Garantien gewährleistet werden können, oder wenn er vom Verantwortlichen oder der zuständigen Aufsichtsbehörde dazu aufgefordert wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit es sich um die Verarbeitung personenbezogener Daten gemäß diesen Klauseln handelt. Sind an dem Vertrag mehr als zwei Parteien beteiligt, kann der Datenexporteur dieses Kündigungsrecht nur gegenüber der betreffenden Partei ausüben, sofern die Parteien nichts anderes vereinbart haben. Wenn der Vertrag gemäß dieser Klausel gekündigt wird, gelten Klausel 16(d) und (e).

Klausel 15

Pflichten des Datenimporteurs bei Zugriff durch Behörden

15.1 Benachrichtigung

    1. Der Datenimporteur verpflichtet sich, den Datenexporteur und nach Möglichkeit die betroffene Person unverzüglich (ggf. mit Hilfe des Datenexporteurs) zu benachrichtigen, wenn:
      1. eine rechtsverbindliche Aufforderung einer Behörde, einschließlich Justizbehörden, nach den Gesetzen des Bestimmungslandes zur Offenlegung personenbezogener Daten erhält, die gemäß diesen Klauseln übermittelt werden; diese Benachrichtigung muss Informationen über die angeforderten personenbezogenen Daten, die ersuchende Behörde, die Rechtsgrundlage für die Anfrage und die bereitgestellte Antwort enthalten; oder
      2. Kenntnis erlangt von einem direkten Zugriff staatlicher Stellen auf personenbezogene Daten, die gemäß diesen Klauseln gemäß den Gesetzen des Bestimmungslandes übermittelt werden; Diese Meldung muss alle dem Importeur zur Verfügung stehenden Informationen enthalten. Der Datenexporteur leitet die Meldung an den für die Verarbeitung Verantwortlichen weiter.
        • Wenn es dem Datenimporteur nach den Gesetzen des Bestimmungslandes untersagt ist, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, verpflichtet sich der Datenimporteur, sich nach besten Kräften zu bemühen, eine Aufhebung des Verbots zu erreichen, um so viel zu kommunizieren Informationen so schnell wie möglich. Der Datenimporteur verpflichtet sich, seine Bemühungen zu dokumentieren, um diese auf Anfrage des Datenexporteurs nachweisen zu können.
        • Soweit nach den Gesetzen des Bestimmungslandes zulässig, verpflichtet sich der Datenimporteur, dem Datenexporteur während der Vertragsdauer in regelmäßigen Abständen möglichst viele relevante Informationen über die eingegangenen Anfragen (insbesondere Anzahl der Anfragen, Art der angeforderten Daten, anfragende Behörde(n), ob Anfragen angefochten wurden und die Person, die Sie benötigentcomich über solche Herausforderungen usw. informieren). Der Datenexporteur leitet die Informationen an den Verantwortlichen weiter.
        • Der Datenimporteur verpflichtet sich, die Informationen gemäß den Absätzen (a) bis (c) für die Dauer des Vertrages aufzubewahren und der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
        • Die Absätze (a) bis (c) berühren nicht die Verpflichtung des Datenimporteurs gemäß Klausel 14(e) und Klausel 16, den Datenexporteur unverzüglich zu informieren, wenn er diese Klauseln nicht einhalten kann.

      15.2 Überprüfung der Rechtmäßigkeit und Datenminimierung

      1. Der Datenimporteur erklärt sich bereit, die Rechtmäßigkeit des Antrags auf Offenlegung zu überprüfen, insbesondere ob er im Rahmen der der ersuchenden Behörde eingeräumten Befugnisse bleibt, und den Antrag anzufechten, wenn er nach sorgfältiger Prüfung zu dem Schluss kommt, dass es berechtigte Gründe gibt, dies anzunehmen das Ersuchen nach den Gesetzen des Bestimmungslandes, den anwendbaren Verpflichtungen nach internationalem Recht und den Grundsätzen des internationalen Miteinanders rechtswidrig ist. Der Datenimporteur wird unter den gleichen Voraussetzungen Rechtsmittel einlegen. Bei Anfechtung eines Antrags ersucht der Datenimporteur vorläufige Maßnahmen, um die Wirkung des Antrags auszusetzen, bis die zuständige Justizbehörde über seine Begründetheit entschieden hat. Sie gibt die angeforderten personenbezogenen Daten erst dann weiter, wenn dies nach den geltenden Verfahrensvorschriften erforderlich ist. Diese Anforderungen gelten unbeschadet der Pflichten des Datenimporteurs gemäß Klausel 14(e).
      2. Der Datenimporteur verpflichtet sich, seine rechtliche Beurteilung und etwaige Anfechtungen des Auskunftsersuchens zu dokumentieren und, soweit nach den Gesetzen des Bestimmungslandes zulässig, die Dokumentation dem Datenexporteur zur Verfügung zu stellen. Sie stellt sie auf Verlangen auch der zuständigen Aufsichtsbehörde zur Verfügung. Der Datenexporteur stellt die Bewertung dem Verantwortlichen zur Verfügung.
      3. Der Datenimporteur verpflichtet sich, bei der Beantwortung eines Antrags auf Offenlegung auf der Grundlage einer angemessenen Absicht das zulässige Mindestmaß an Informationen bereitzustellenerpZurückweisung des Antrags.

      ABSCHNITT IV – SCHLUSSBESTIMMUNGEN

      Klausel 16

      Nichteinhaltung der Klauseln und Kündigung

      1. Der Datenimporteur muss den Datenexporteur unverzüglich informieren, wenn er diese Klauseln aus welchen Gründen auch immer nicht einhalten kann.
      2. Für den Fall, dass der Datenimporteur gegen diese Klauseln verstößt oder diese Klauseln nicht einhalten kann, wird der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aussetzen, bis die Einhaltung wieder sichergestellt ist oder der Vertrag beendet wird. Dies gilt unbeschadet von Ziffer 14(f).
      3. Der Datenexporteur ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn:
        1. der Datenexporteur hat die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Absatz (b) ausgesetzt und die Einhaltung dieser Klauseln wird nicht innerhalb einer angemessenen Frist und auf jeden Fall innerhalb eines Monats nach der Aussetzung wiederhergestellt;
        2. der Datenimporteur diese Klauseln erheblich oder anhaltend verletzt; oder
        3. Der Datenimporteur kommt einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer Aufsichtsbehörde bezüglich seiner Verpflichtungen aus diesen Klauseln nicht nach. In diesen Fällen muss er die zuständige Aufsichtsbehörde und den für die Verarbeitung Verantwortlichen über die Nichteinhaltung informieren. Beteiligt sich der Vertrag an mehr als zwei Vertragsparteien, kann der Datenexporteur dieses Kündigungsrecht nur gegenüber der betreffenden Vertragspartei ausüben, sofern die Vertragsparteien nichts anderes vereinbart haben.
      4. Personenbezogene Daten, die vor Vertragsbeendigung gemäß Absatz (c) übermittelt wurden, sind nach Wahl des Datenexporteurs unverzüglich an den Datenexporteur zurückzugeben oder vollständig zu löschen. Dasselbe gilt für etwaige Kopien der Daten. Der Datenimporteur muss dem Datenexporteur die Löschung der Daten bescheinigen. Bis zur Löschung oder Rückgabe der Daten stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Sollten für den Datenimporteur lokale Gesetze gelten, die die Rückgabe oder Löschung der übermittelten personenbezogenen Daten verbieten, gewährleistet der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln gewährleistet und die Daten nur in dem Umfang und für die Dauer verarbeitet, wie dies der Fall ist gemäß diesem örtlichen Gesetz erforderlich.
      5. Jede Partei kann ihre Zustimmung zur Bindung an diese Klauseln widerrufen, wenn (i) die Europäische Kommission einen Beschluss gemäß Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 erlässt, der die Übermittlung personenbezogener Daten betrifft, für die diese Klauseln gelten; oder (ii) die Verordnung (EU) 2016/679 Teil des Rechtsrahmens des Landes wird, in das die personenbezogenen Daten übermittelt werden. Dies gilt unbeschadet anderer Verpflichtungen, die für die betreffende Verarbeitung gemäß der Verordnung (EU) 2016/679 gelten.

      Klausel 17

      Geltendes Recht

      [OPTION 1: Diese Klauseln unterliegen dem Recht eines EU-Mitgliedstaats, sofern dieses Recht die Rechte Dritter zulässt. Die Parteien vereinbaren, dass dies das Recht von _______ ist (Geben Sie den Mitgliedstaat an).]

      [OPTION 2: Diese Klauseln unterliegen dem Recht des EU-Mitgliedstaats, in dem der Datenexporteur ansässig ist. Soweit dieses Recht keine Rechte Dritter zulässt, unterliegen sie dem Recht eines anderen EU-Mitgliedstaats, das Rechte Dritter zulässt. Die Parteien vereinbaren, dass dies das Recht von _______ ist (Geben Sie den Mitgliedstaat an).]

      Klausel 18

      Gerichtsstands- und Gerichtsstandswahl

      1. Irgendein DispStreitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten eines EU-Mitgliedstaats entschieden.
      2. Die Parteien vereinbaren, dass dies die Gerichte von _____ sind (Geben Sie den Mitgliedstaat an).
      3. Eine betroffene Person kann den Datenexporteur und/oder Datenimporteur auch vor den Gerichten des Mitgliedstaats verklagen, in dem sie ihren gewöhnlichen Aufenthalt hat.
      4. Die Parteien vereinbaren, sich der Gerichtsbarkeit dieser Gerichte zu unterwerfen.

      ANHANG

      ERLÄUTERUNGEN:

      Es muss möglich sein, die für jede Übermittlung oder Übermittlungskategorie geltenden Informationen klar zu unterscheiden und in diesem Zusammenhang die jeweilige(n) Rolle(n) der Parteien als Datenexporteur(en) und/oder Datenimporteur(en) zu bestimmen. Dies erfordert nicht unbedingt das Ausfüllen und Unterzeichnen separater Anhänge für jede Übertragung/Übertragungskategorie und/oder jedes Vertragsverhältnis, wobei diese Transparenz durch einen Anhang erreicht werden kann. Wo es jedoch zur Gewährleistung ausreichender Klarheit erforderlich ist, sollten separate Anhänge verwendet werden.

      ANHANG I.

      A. LISTE DER PARTEIEN

      Datenexporteur(e):[Identität und Kontaktdaten des/der Datenexporteur(s) und gegebenenfalls seines/ihres Datenschutzbeauftragten und/oder Vertreters in der Europäischen Union]

      • Name: …………………………………

        Adresse: ……………………………….

        Name, Position und Kontaktdaten der Kontaktperson:……….
        ............................................................ ..

        Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind:
        ................................................................
        ................................................................

        Unterschrift und Datum:…………………

        Rolle (Verantwortlicher/Auftragsverarbeiter):

      • ..........

      Datenimporteur(e):[Identität und Kontaktdaten des/der Datenimporteur(s), einschließlich etwaiger Ansprechpartner, die für den Datenschutz verantwortlich sind]

      • Name: ……………………………….

        Adresse: ……………………………..

        Name, Position und Kontaktdaten der Kontaktperson: ……….
        ……………………………………………………………

        Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind:
        ................................................................
        ................................................................

        Unterschrift und Datum: …………………

        Rolle (Verantwortlicher/Auftragsverarbeiter):

      • .............

      B. BESCHREIBUNG DER ÜBERTRAGUNG

      Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden
      ...
      Kategorien der übermittelten personenbezogenen Daten
      ...
      Sensible Daten werden übermittelt (falls zutreffend) und angewendete Beschränkungen oder Sicherheitsvorkehrungen, die die Art der Daten und die damit verbundenen Risiken vollständig berücksichtigen, wie z eine Aufzeichnung des Zugriffs auf die Daten, Einschränkungen für die Weiterleitung oder zusätzliche Sicherheitsmaßnahmen.
      ...
      Die Häufigkeit der Übertragung (z. B. ob die Daten einmalig oder kontinuierlich übertragen werden).
      ...
      Art der Verarbeitung
      ...
      Zweck(e) der Datenübermittlung und Weiterverarbeitung
      ...
      Der Zeitraum, für den die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien, die zur Bestimmung dieses Zeitraums verwendet werden
      ...
      Bei Übermittlungen an (Unter-)Auftragsverarbeiter bitte auch den Betreff angeben mattArt und Dauer der Verarbeitung
      ...

      C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

      Identifizieren Sie die zuständige(n) Aufsichtsbehörde(n) gemäß Ziffer 13
      ...

      ANHANG II

      TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MASSNAHMEN ZUR GEWÄHRLEISTUNG DER SICHERHEIT DER DATEN

      ERLÄUTERUNGEN:

      Die technischen und organisatorischen Maßnahmen müssen konkret (und nicht generisch) beschrieben werden. Siehe auch den allgemeinen Kommentar auf der ersten Seite des Anhangs, insbesondere zur Notwendigkeit, klar anzugeben, welche Maßnahmen für jede Übertragung/jeden Übertragungssatz gelten.

      Beschreibung der vom/von den Datenimporteur(en) umgesetzten technischen und organisatorischen Maßnahmen (einschließlich aller relevanten Zertifizierungen), um ein angemessenes Sicherheitsniveau zu gewährleisten, unter Berücksichtigung von Art, Umfang, Kontext und Zweck der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen.

      [Beispiele für mögliche Maßnahmen:

      Maßnahmen zur Pseudonymisierung und Verschlüsselung personenbezogener Daten

      Maßnahmen zur Sicherstellung der fortlaufenden Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten

      Maßnahmen, um sicherzustellen, dass die Verfügbarkeit und der Zugriff auf personenbezogene Daten im Falle eines physischen oder technischen Vorfalls zeitnah wiederhergestellt werden können

      Prozesse zur regelmäßigen Prüfung, Bewertung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten

      Maßnahmen zur Benutzeridentifikation und Autorisierung

      Maßnahmen zum Schutz von Daten bei der Übertragung

      Maßnahmen zum Schutz von Daten bei der Speicherung

      Maßnahmen zur Gewährleistung der physischen Sicherheit von Orten, an denen personenbezogene Daten verarbeitet werden

      Maßnahmen zur Sicherstellung der Protokollierung von Ereignissen

      Maßnahmen zur Sicherstellung der Systemkonfiguration, einschließlich der Standardkonfiguration

      Maßnahmen zur internen IT- und IT-Security-Governance und -Management

      Maßnahmen zur Zertifizierung/Sicherung von Prozessen und Produkten

      Maßnahmen zur Gewährleistung der Datenminimierung

      Maßnahmen zur Sicherung der Datenqualität

      Maßnahmen zur Gewährleistung einer begrenzten Datenspeicherung

      Maßnahmen zur Gewährleistung der Rechenschaftspflicht

      Maßnahmen zur Ermöglichung der Datenübertragbarkeit und zur Sicherstellung der Löschung]

      Auch für Übermittlungen an (Unter-) Auftragsverarbeiter Beschreibung der konkreten technischen und organisatorischen Maßnahmen, die der (Unter-)Auftragsverarbeiter ergreifen muss, um den für die Verarbeitung Verantwortlichen und, bei Übermittlungen von einem Auftragsverarbeiter an einen Unterauftragsverarbeiter, den Datenexporteur unterstützen zu können

      ANHANG III

      LISTE DER UNTERVERARBEITER

      ERLÄUTERUNGEN:

      Dieser Anhang muss im Falle einer besonderen Genehmigung von Unterauftragsverarbeitern ausgefüllt werden (Klausel 9(a), Option 1).

      Der Verantwortliche hat die Verwendung der folgenden Unterauftragsverarbeiter genehmigt:

      • Name: …………….
        Adresse: …………..
        Name, Position und Kontaktdaten des Ansprechpartners: …
        Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten, falls mehrere Unterauftragsverarbeiter zugelassen sind): ……………………..
      • .....................

      [1] Wenn der Datenexporteur ein Auftragsverarbeiter ist, der der Verordnung (EU) 2016/679 unterliegt und im Namen eines Organs oder einer Einrichtung der Union als Verantwortlicher handelt, ist die Berufung auf diese Klauseln bei der Beauftragung eines anderen Auftragsverarbeiters (Unterverarbeitung), der nicht der Verordnung (EU) 2016/679 unterliegt, erforderlich. 29 gewährleistet auch die Einhaltung von Artikel 4 Absatz 2018 der Verordnung (EU) 1725/23 des Europäischen Parlaments und des Rates vom 2018. Oktober 45 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Union , Ämtern und Agenturen und zum freien Datenverkehr sowie zur Aufhebung der Verordnung (EG) Nr. 2001/1247 und der Entscheidung Nr. 2002/XNUMX/EG (ABl. L 295 vom 21.11.2018, S. 39. XNUMX), soweit diese Klauseln und die Datenschutzverpflichtungen gemäß dem Vertrag oder einem anderen Rechtsakt zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Artikel 29 Absatz 3 der Verordnung (EU) 2018/1725 im Einklang stehen. Dies wird insbesondere dann der Fall sein, wenn sich der Verantwortliche und der Auftragsverarbeiter auf die im Beschluss 2021/915 enthaltenen Standardvertragsklauseln berufen.

      [2] Siehe Artikel 28 Absatz 4 der Verordnung (EU) 2016/679 und, wenn der Verantwortliche ein Organ oder eine Einrichtung der EU ist, Artikel 29 Absatz 4 der Verordnung (EU) 2018/1725.

      [3]  Das Abkommen über den Europäischen Wirtschaftsraum (EWR-Abkommen) sieht die Ausweitung des Binnenmarktes der Europäischen Union auf die drei EWR-Staaten Island, Liechtenstein und Norwegen vor. Der Datenschutzbeauftragte der UnionslaDie Verordnung, einschließlich der Verordnung (EU) 2016/679, fällt unter das EWR-Abkommen und wurde in dessen Anhang XI aufgenommen. Daher gilt eine Offenlegung durch den Datenimporteur gegenüber einem im EWR ansässigen Dritten nicht als Weiterübermittlung im Sinne dieser Klauseln.

      [4] Diese Anforderung kann von dem Unterauftragsverarbeiter erfüllt werden, der diesen Klauseln unter dem entsprechenden Modul gemäß Klausel 7 beitritt.

      [5] Der Datenimporteur kann unabhängige d. anbietenispEine Schlichtung durch ein Schiedsgericht ist nur möglich, wenn dieses seinen Sitz in einem Land hat, das das New Yorker Übereinkommen zur Durchsetzung von Schiedssprüchen ratifiziert hat.

      [6] In Bezug auf die Auswirkungen solcher Gesetze und Praktiken auf die Einhaltung dieser Klauseln können verschiedene Elemente als Teil einer Gesamtbewertung berücksichtigt werden. Zu diesen Elementen können relevante und dokumentierte praktische Erfahrungen mit früheren Offenlegungsersuchen von Behörden oder das Fehlen solcher Ersuchen gehören, die einen ausreichend repräsentativen Zeitrahmen abdecken. Dies bezieht sich insbesondere auf interne Aufzeichnungen oder andere Dokumentationen, die fortlaufend mit der gebotenen Sorgfalt erstellt und auf der Ebene der Geschäftsleitung zertifiziert werden, sofern diese Informationen rechtmäßig an Dritte weitergegeben werden können. Wenn auf diese praktische Erfahrung geschlossen wird, dass der Datenimporteur nicht daran gehindert wird, diese Klauseln einzuhalten, muss dies durch andere relevante, objektive Elemente untermauert werden, und es ist Sache der Parteien, sorgfältig zu prüfen, ob diese Elemente zusammen ausreichen Gewicht in Bezug auf ihre Zuverlässigkeit und Repräsentativität, um diese Schlussfolgerung zu stützen. Insbesondere müssen die Vertragsparteien berücksichtigen, ob ihre praktische Erfahrung durch öffentlich verfügbare oder anderweitig zugängliche, verlässliche Informationen über das Bestehen oder Fehlen von Anfragen innerhalb desselben Sektors und/oder die Anwendung des Rechts in der Praxis bestätigt und nicht widerlegt wird, B. Rechtsprechung und Berichte unabhängiger Aufsichtsbehörden.