Zum Hauptinhalt springen
Vereinbarung zur Datenverarbeitung
Diese Woche aktualisiert

Wenn Sie diese Vereinbarung vor dem Kauf eines Enterprise-Tarifs aushandeln möchten, senden Sie eine kommentierte Kopie dieser PDF-Datei an Ihren Ansprechpartner im Vertrieb.

Dieses Vereinbarung zur Datenverarbeitung, einschließlich der hierin genannten Standardvertragsklauseln und des Anhangs zu diesem Vereinbarung ("Vereinbarung" oder "DPA"), ist Bestandteil eines bestehenden und derzeit gültigen Unternehmenslizenzvertrags und/oder der Allgemeinen Geschäftsbedingungen (der "Hauptvertrag"), die entweder zuvor oder gleichzeitig zwischen Ihnen (zusammen mit allen Tochtergesellschaften und verbundenen Unternehmen, gemeinsam "Unternehmen") und Filestage GmbH ("Anbieter") geschlossen wurden, und legt zusätzliche Bedingungen fest, die in dem Maße gelten, in dem Informationen, die Sie dem Anbieter gemäß dem Vertrag zur Verfügung stellen, personenbezogene Daten (wie unten definiert) enthalten. Diese DPA tritt in Kraft, wie in der entsprechenden Unternehmenslizenzvereinbarung und/oder den Allgemeinen Geschäftsbedingungen dargelegt.

Die in diesem Nachtrag verwendeten Begriffe haben die in diesem Nachtrag festgelegte Bedeutung. Begriffe in Großbuchstaben, die hier nicht anderweitig definiert sind, haben die Bedeutung, die ihnen im jeweiligen Hauptvertrag gegeben wird. Mit Ausnahme der nachstehenden Änderungen bleiben die Bestimmungen des Hauptvertrags in vollem Umfang in Kraft und wirksam.

In Anbetracht der hier dargelegten gegenseitigen Verpflichtungen vereinbaren die Parteien hiermit, dass die nachstehenden Bedingungen als Nachtrag zum Hauptvertrag hinzugefügt werden. Sofern sich aus dem Zusammenhang nichts anderes ergibt, beziehen sich Verweise in diesem Nachtrag auf den Hauptvertrag auf den Hauptvertrag in der durch diesen Nachtrag geänderten Fassung und einschließlich dieses Nachtrags.

1. Definitionen

1.1. In diesem Nachtrag haben die folgenden Begriffe die nachstehend angegebene Bedeutung, und gleichbedeutende Begriffe sind entsprechend auszulegen:

1.1.1 „Verbundenes Unternehmen“ bedeutet ein Unternehmen, das im Besitz oder unter der Kontrolle des Unternehmens ist, sich im Besitz oder unter der Kontrolle des Unternehmens befindet oder unter gemeinsamer Kontrolle oder im Besitz des Unternehmens steht, wobei Kontrolle definiert ist als der direkte oder indirekte Besitz der Macht, das Management und die Politik eines Unternehmens zu lenken oder zu veranlassen, sei es durch den Besitz von stimmberechtigten Wertpapieren, durch Vertrag oder auf andere Weise.

1.1.2 „Personenbezogene Daten“ sind alle Informationen, die gemäß den Datenschutzgesetzen als „personenbezogene Daten“ definiert sind, einschließlich Daten, die (i) sich auf eine bestimmte oder bestimmbare natürliche Person beziehen oder (ii) die eine bestimmte Person oder einen bestimmten Haushalt identifizieren, sich auf sie beziehen, sie beschreiben, mit ihr in Verbindung gebracht werden können oder vernünftigerweise direkt oder indirekt mit ihr in Verbindung gebracht werden könnten, unabhängig von den Medien, in denen sie gespeichert sind, die sein können:
1.1.2.1 die vom Anbieter jederzeit im Vorgriff auf, in Verbindung mit oder im Zusammenhang mit der Erbringung der Dienstleistungen gemäß dem Hauptvertrag und dieser DPA verarbeitet werden; oder
1.1.2.2 die der Verkäufer aus diesen Informationen ableitet.

1.1.3 „Personenbezogene Daten des Unternehmens“ sind alle personenbezogenen Daten, die der Anbieter im Auftrag eines Unternehmens gemäß oder in Verbindung mit dem Hauptvertrag und nach den Anweisungen des Unternehmens verarbeitet.

1.1.4 „Datenschutzgesetze“ sind die Datenschutzgesetze der EU, des Vereinigten Königreichs und von Nicht-EU-Ländern sowie, soweit anwendbar, die Datenschutzgesetze anderer Länder.

1.1.5 „EWR“ bezeichnet den Europäischen Wirtschaftsraum.

1.1.6 „EU-Datenschutzgesetze“ bezeichnet die EU-Richtlinie 95/46/EG, wie sie in den einzelnen Mitgliedstaaten in nationales Recht umgesetzt wurde und von Zeit zu Zeit geändert, ersetzt oder ersetzt wird, einschließlich der DSGVO und der Gesetze zur Umsetzung oder Ergänzung der DSGVO.

1.1.7 „Datenschutzgesetze des Vereinigten Königreichs“ bedeutet (a) das Datenschutzgesetz des Vereinigten Königreichs von 2018, das die DSGVO enthält (in der durch die Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 geänderten Fassung); (b) die DSGVO in Verbindung mit und vorbehaltlich der Gesetze der Mitgliedstaaten, die Spezifikationen oder Beschränkungen ihrer Vorschriften vorsehen; und (c) alle anderen anwendbaren Datenschutzgesetze des Vereinigten Königreichs oder der EU, soweit diese Gesetze auf ein Unternehmen, ein verbundenes Unternehmen des Verkäufers oder einen Verkäufer anwendbar sind, jeweils in der jeweils geänderten, ersetzten oder ersetzten Fassung.

1.1.8 „Nicht-EU-Datenschutzgesetze“ bedeutet die „Anwendbaren Nicht-EU-Gesetze“, wie oben von den jeweiligen Regierungsinstitutionen beschrieben.

1.1.9 „GDPR“ bezeichnet die EU-Datenschutzgrundverordnung 2016/679.

1.1.10 „Eingeschränkte Übertragung“ bedeutet:
1.1.10.1 eine Übertragung personenbezogener Unternehmensdaten vom Unternehmen an den Anbieter; oder
1.1.10.2 eine Weitergabe von personenbezogenen Daten des Unternehmens vom Verkäufer an einen Unterauftragsverarbeiter oder zwischen zwei Niederlassungen des Verkäufers und des Unterauftragsverarbeiters,
in allen Fällen, in denen eine solche Übermittlung durch die oben definierten Datenschutzgesetze (oder durch die Bedingungen von Datenübermittlungsvereinbarungen, die eingeführt wurden, um die Datenübermittlungsbeschränkungen der Datenschutzgesetze zu regeln) verboten wäre, wenn nicht die Standardvertragsklauseln gemäß Anhang 1 unten oder, von Fall zu Fall, ein anderer rechtmäßiger Übermittlungsmechanismus gemäß Artikel 46 der Datenschutz-Grundverordnung oder eine Ausnahmeregelung gemäß Artikel 49 der Datenschutz-Grundverordnung Anwendung finden.

1.1.11 „Dienstleistungen“ sind die Dienstleistungen und sonstigen Tätigkeiten, die der Verkäufer gemäß dem Hauptvertrag für das Unternehmen zu erbringen oder in seinem Namen durchzuführen hat.

1.1.12 „Standardvertragsklauseln“ sind die von der Europäischen Kommission genehmigten Musterklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern, deren genehmigte Fassung in dem Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021 und unter https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX%3A32021D0914&locale=e enthalten ist und die durch diesen Verweis in das vorliegende Dokument aufgenommen werden.

1.1.13 „Unterauftragsverarbeiter“ bezeichnet jede Person (einschließlich Dritter, jedoch mit Ausnahme von Mitarbeitern des Verkäufers), die vom oder im Namen des Verkäufers mit der Verarbeitung personenbezogener Daten im Namen des Unternehmens in Verbindung mit dem Hauptvertrag beauftragt wird.

1.1.14 „Datenschutzanforderungen“ bezeichnet alle geltenden Bundes-, Landes- und ausländischen Gesetze und Vorschriften, die sich auf die Verarbeitung, den Schutz oder die Privatsphäre der personenbezogenen Daten beziehen, gegebenenfalls einschließlich der von den Aufsichtsbehörden der jeweiligen Gerichtsbarkeit herausgegebenen Leitlinien und Verfahrensregeln. Dies umfasst unter anderem die General Data Protection Regulation (GDPR) und das California Consumer Privacy Act (CCPA).

1.2. Die Begriffe „Kommission„, „für die Verarbeitung Verantwortlicher„, „betroffene Person„, „Mitgliedstaat„, „personenbezogene Daten„, „Verletzung des Schutzes personenbezogener Daten„, „Verarbeitung“ und „Aufsichtsbehörde“ haben dieselbe Bedeutung wie in der Datenschutz-Grundverordnung, und ihre verwandten Begriffe sind entsprechend auszulegen.

1.3. Das Wort „einschließen“ ist so zu verstehen, dass es ohne Einschränkung einschließt, und verwandte Begriffe sind entsprechend auszulegen.


2. Verarbeitung personenbezogener Unternehmensdaten

2.1. Der Verkäufer soll:

2.1.1 bei der Verarbeitung personenbezogener Daten des Unternehmens alle geltenden Datenschutzgesetze einhalten; und

2.1.2 die personenbezogenen Daten des Unternehmens nur auf dokumentierte Anweisung des Unternehmens zu verarbeiten, es sei denn, die Verarbeitung ist durch geltende Gesetze, denen der Verkäufer unterliegt, vorgeschrieben; in diesem Fall muss der Verkäufer das Unternehmen in dem nach den geltenden Gesetzen zulässigen Umfang vor der entsprechenden Verarbeitung der personenbezogenen Daten über diese gesetzliche Anforderung informieren.

2.1.3 die Vertraulichkeit aller personenbezogenen Daten zu wahren, sie an niemanden zu verkaufen und sie nicht an Dritte weiterzugeben, es sei denn, das Unternehmen oder diese DPA genehmigen die Weitergabe ausdrücklich, oder sie ist gesetzlich vorgeschrieben. Wenn der Anbieter gesetzlich verpflichtet ist, personenbezogene Daten zu verarbeiten oder offenzulegen, muss er das Unternehmen zunächst über die gesetzliche Verpflichtung informieren und ihm die Möglichkeit geben, der Verpflichtung zu widersprechen oder sie anzufechten, es sei denn, das Gesetz verbietet eine solche Mitteilung.

2.1.4 das Unternehmen in angemessener Weise bei der Erfüllung der Verpflichtungen des Unternehmens im Rahmen der Anforderungen an den Schutz der Privatsphäre und den Datenschutz zu unterstützen, wobei die Art der Verarbeitung durch den Verkäufer und die dem Verkäufer zur Verfügung stehenden Informationen zu berücksichtigen sind.

2.1.5 das Unternehmen unverzüglich über alle Änderungen der Anforderungen an den Schutz der Privatsphäre und den Datenschutz zu informieren, die sich nachteilig auf die Erfüllung des Rahmenvertrags durch den Anbieter auswirken könnten.

2.1.6 Wenn zusätzliche Anforderungen an die Verarbeitung (einschließlich der Übertragung) für eine bestimmte Gerichtsbarkeit erforderlich sind, damit die Verarbeitung durch den Verkäufer oder seine bevollmächtigten Unterauftragsverarbeiter mit dem anwendbaren Recht übereinstimmt, werden der Verkäufer und das Unternehmen in gutem Glauben verhandeln, um diese Vereinbarung zu ändern, um solche Anforderungen aufzunehmen und diese Bestimmungen entsprechend umzusetzen.

2.2. Unternehmen:

2.2.1 weist den Anbieter an (und ermächtigt ihn, jeden Unterverarbeiter anzuweisen):

2.2.1.1 Persönliche Daten des Unternehmens verarbeiten; und
2.2.1.2 insbesondere personenbezogene Daten des Unternehmens in ein beliebiges Land oder Gebiet zu übermitteln, sofern es sich um ein Land handelt, das ein angemessenes Schutzniveau gemäß dem in den geltenden Datenschutzgesetzen festgelegten Standard bietet, oder wenn Garantien zur Gewährleistung eines angemessenen Schutzniveaus vorhanden sind, wie z. B. Standardvertragsklauseln, die von der jeweiligen Regierung oder den beauftragten Stellen genehmigt wurden, oder wenn die Übermittlung anderweitig nach dem Datenschutzgesetz zulässig ist,
in dem Umfang und in der Weise, wie es für die Erbringung der Dienstleistungen vernünftigerweise erforderlich und mit der Hauptvereinbarung vereinbar ist; und

2.2.2 gewährleistet und sichert zu, dass er ordnungsgemäß und wirksam bevollmächtigt ist und, sofern er dem Anbieter nicht schriftlich das Gegenteil mitteilt, auch weiterhin bevollmächtigt sein wird, die in Abschnitt 2.2.1 dargelegten Anweisungen im Namen jedes betreffenden verbundenen Unternehmens zu erteilen.

2.2.3 behält die Kontrolle über die personenbezogenen Daten des Unternehmens und ist weiterhin für die Einhaltung seiner Verpflichtungen gemäß den geltenden Datenschutzbestimmungen verantwortlich, einschließlich der Bereitstellung aller erforderlichen Mitteilungen und der Einholung aller erforderlichen Zustimmungen sowie für die Verarbeitungsanweisungen, die er dem Anbieter erteilt.


3. Personal des Verkäufers

Der Verkäufer ergreift angemessene Maßnahmen, um die Zuverlässigkeit aller Mitarbeiter, Bevollmächtigten oder Auftragnehmer des Verkäufers zu gewährleisten, die Zugang zu den personenbezogenen Daten des Unternehmens haben, und stellt in jedem Fall sicher, dass der Zugang strikt auf die Personen beschränkt ist, die die betreffenden personenbezogenen Daten des Unternehmens kennen bzw. darauf zugreifen müssen, soweit dies für die Zwecke des Hauptvertrags unbedingt erforderlich ist, und um die geltenden Gesetze im Zusammenhang mit den Pflichten dieser Personen gegenüber dem Verkäufer einzuhalten, wobei er sicherstellt, dass alle diese Personen Vertraulichkeitsverpflichtungen oder beruflichen oder gesetzlichen Verschwiegenheitspflichten unterworfen sind.


4. Sicherheit

4.1 Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie der unterschiedlichen Wahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen ergreift der Verkäufer in Bezug auf die personenbezogenen Daten des Unternehmens geeignete physische, technische und organisatorische Maßnahmen, um ein diesem Risiko angemessenes Sicherheitsniveau zu gewährleisten, gegebenenfalls einschließlich der in Artikel 32 Absatz 1 der DSGVO genannten Maßnahmen.

4.2 Bei der Beurteilung des angemessenen Sicherheitsniveaus berücksichtigt der Verkäufer insbesondere die Risiken, die sich aus der Verarbeitung ergeben, insbesondere aus einer Verletzung des Schutzes personenbezogener Daten.


5. Weiterverarbeitung

5.1 Das Unternehmen ermächtigt den Anbieter, Unterauftragsverarbeiter gemäß diesem Abschnitt 5 und den Beschränkungen des Hauptvertrags zu ernennen (und jedem gemäß diesem Abschnitt 5 ernannten Unterauftragsverarbeiter die Ernennung zu gestatten).

5.2 Der Verkäufer kann die vom Verkäufer zum Zeitpunkt dieses Nachtrags bereits beauftragten Unterauftragsverarbeiter weiter nutzen und neue Unterauftragsverarbeiter hinzufügen, wobei in jedem Fall so bald wie möglich die in den Abschnitten 5.3 und 5.4 genannten Verpflichtungen erfüllt werden müssen.

5.3 Der Verkäufer stellt sicher, dass jeder Unterauftragsverarbeiter die Verpflichtungen gemäß den anwendbaren Abschnitten dieser DPA, die für die von diesem Unterauftragsverarbeiter durchgeführte Verarbeitung personenbezogener Unternehmensdaten gelten, so erfüllt, als wäre er anstelle des Verkäufers Vertragspartei dieses Nachtrags.

5.4 Vor dem Austausch oder der Hinzufügung eines neuen Unterauftragsverarbeiters hat der Verkäufer das Unternehmen in angemessener Weise über den Austausch oder die Hinzufügung zu informieren und dem Unternehmen die Möglichkeit zu geben, Einwände zu erheben.


6. Rechte der betroffenen Person

6.1. Unter Berücksichtigung der Art der Verarbeitung unterstützt der Verkäufer das Unternehmen, indem er geeignete technische und organisatorische Maßnahmen ergreift, soweit dies möglich ist, um die Verpflichtungen des Unternehmens zu erfüllen, wie sie vom Unternehmen vernünftigerweise verstanden werden, um auf Anfragen zur Ausübung der Rechte der betroffenen Person gemäß den Datenschutzgesetzen zu reagieren.

6.2. Der Verkäufer soll:

6.2.1 das Unternehmen unverzüglich zu benachrichtigen, wenn der Verkäufer eine Anfrage von einer betroffenen Person gemäß einem Datenschutzgesetz in Bezug auf personenbezogene Daten des Unternehmens erhält; und

6.2.2 sicherzustellen, dass der Verkäufer auf diese Anfrage nur auf dokumentierte Anweisungen des Unternehmens oder des betreffenden verbundenen Unternehmens antwortet, oder wenn dies nach den geltenden Gesetzen, denen der Verkäufer unterliegt, erforderlich ist; in diesem Fall muss der Verkäufer, soweit dies nach den geltenden Gesetzen zulässig ist, das Unternehmen über diese gesetzliche Anforderung informieren, bevor er auf die Anfrage antwortet.

6.3. Das Unternehmen soll:

6.3.1 Den Verkäufer unverzüglich zu benachrichtigen, wenn der Kunde eine Anfrage von einer betroffenen Person gemäß einem Datenschutzgesetz in Bezug auf die persönlichen Daten des Unternehmens erhält;

6.3.2 Unterstützung des Verkäufers bei der Erfüllung von Anfragen der betroffenen Personen.


7. Verletzung des Schutzes personenbezogener Daten

7.1 Der Verkäufer hat das Unternehmen unverzüglich zu benachrichtigen, wenn der Verkäufer oder ein Unterauftragsverarbeiter von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt, die sich auf die personenbezogenen Daten des Unternehmens auswirkt, und dem Unternehmen ausreichende Informationen zur Verfügung zu stellen, damit das Unternehmen seinen Verpflichtungen nachkommen kann, die Betroffenen über die Verletzung des Schutzes personenbezogener Daten gemäß den Datenschutzgesetzen zu informieren.

7.2 Der Verkäufer arbeitet mit dem Unternehmen und dem Unternehmen zusammen und unternimmt die vom Unternehmen angeordneten angemessenen kommerziellen Schritte, um bei der Untersuchung, Abschwächung und Behebung eines solchen Verstoßes gegen personenbezogene Daten zu helfen.

7.3 Das Unternehmen arbeitet mit dem Verkäufer zusammen und unternimmt die vom Verkäufer angeordneten angemessenen kommerziellen Schritte, um bei der Untersuchung, Abschwächung und Behebung einer solchen Verletzung des Schutzes personenbezogener Daten zu helfen, soweit dies erforderlich ist.

7.4 Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten sind oder die nicht auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auftragnehmer eine Vergütung verlangen. Gegebenenfalls wird der Auftragnehmer dem Unternehmen ein gesondertes Angebot zur Genehmigung vorlegen. Der Anbieter berechnet die folgenden Gebühren:

7.4.1 $187,50 plus Steuer pro Stunde. An Samstagen wird ein Aufschlag von 50%, an Sonn- und Feiertagen ein Aufschlag von 100% berechnet.

7.4.2 Der Kunde muss dem Anbieter die folgenden Kosten gesondert erstatten: Reisekosten ($0,70 / Meile zzgl. MwSt.), Reisezeit ($95,00 / Stunde zzgl. MwSt.), Hotelkosten, Spesen nach dem Gesetz und ggf. sonstige Kosten nach Aufwand und als Nachweis.

7.4.3 Jede Rechnung ist innerhalb von zehn Werktagen ohne Abzug zur Zahlung fällig.


8. Datenschutz-Folgenabschätzung und vorherige Konsultation

Der Verkäufer unterstützt das Unternehmen in angemessener Weise bei der Durchführung von Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Aufsichtsbehörden oder anderen zuständigen Datenschutzbehörden, die das Unternehmen nach vernünftigem Ermessen gemäß Artikel 35 oder 36 der Datenschutz-Grundverordnung oder gleichwertigen Bestimmungen anderer Datenschutzgesetze für erforderlich hält, und zwar jeweils ausschließlich in Bezug auf die Verarbeitung personenbezogener Daten des Unternehmens durch den Verkäufer und unter Berücksichtigung der Art der Verarbeitung und der dem Verkäufer zur Verfügung stehenden Informationen.


9. Löschung oder Rückgabe von personenbezogenen Daten des Unternehmens

9.1 Vorbehaltlich der Abschnitte 9.2 und 9.3 ist der Verkäufer verpflichtet, unverzüglich nach dem Datum der Beendigung von Dienstleistungen, die die Verarbeitung personenbezogener Daten des Unternehmens beinhalten (das „Beendigungsdatum“), alle Kopien dieser personenbezogenen Daten des Unternehmens zu löschen und für deren Löschung zu sorgen, sofern nicht anderweitig durch geltende Datenschutzgesetze oder andere Vorschriften gefordert.

9.2 Vorbehaltlich Abschnitt 9.3 kann das Unternehmen nach eigenem Ermessen durch schriftliche Mitteilung an den Verkäufer innerhalb von 30 Tagen nach dem Beendigungsdatum verlangen, dass der Verkäufer (a) eine vollständige Kopie aller personenbezogenen Daten des Unternehmens an das Unternehmen durch sichere Dateiübertragung in einem Format zurückgibt, das das Unternehmen dem Verkäufer in angemessener Weise mitteilt, und (b) alle anderen Kopien der personenbezogenen Daten des Unternehmens, die vom Verkäufer verarbeitet wurden, löscht und für ihre Löschung sorgt. Der Verkäufer muss einer solchen schriftlichen Aufforderung innerhalb von 30 Tagen nach dem Beendigungsdatum nachkommen, es sei denn, geltende Datenschutzgesetze oder andere Vorschriften verlangen etwas anderes.

9.3 Der Verkäufer ist berechtigt, die personenbezogenen Daten des Unternehmens in dem von den geltenden Gesetzen vorgeschriebenen Umfang und nur in dem von den geltenden Gesetzen vorgeschriebenen Umfang und Zeitraum aufzubewahren, und zwar immer unter der Voraussetzung, dass der Verkäufer die Vertraulichkeit aller personenbezogenen Daten des Unternehmens gewährleistet und sicherstellt, dass diese personenbezogenen Daten des Unternehmens nur in dem Maße verarbeitet werden, wie es für den Zweck bzw. die Zwecke erforderlich ist, der bzw. die in den geltenden Gesetzen festgelegt ist bzw. sind, die ihre Speicherung vorschreiben, und für keinen anderen Zweck.

9.4 Der Verkäufer muss dem Unternehmen auf dessen schriftliche Aufforderung hin innerhalb von 30 Tagen nach dem Beendigungsdatum schriftlich bestätigen, dass er diesen Abschnitt 9 vollständig eingehalten hat.


10. Prüfungsrechte

10.1 Innerhalb von dreißig (30) Tagen nach schriftlicher Aufforderung durch das Unternehmen und nicht öfter als einmal pro Jahr und vorbehaltlich der in der Vereinbarung festgelegten Vertraulichkeitsverpflichtungen stellt der Anbieter dem Unternehmen (oder einem einvernehmlich bestimmten Drittprüfer) Informationen zur Verfügung, die in angemessener Weise erforderlich sind, um nachzuweisen, dass der Anbieter die in diesem Nachtrag festgelegten Verpflichtungen einhält.

10.2 Der Auftragnehmer kann einen Vergütungsanspruch geltend machen, um dem Auftraggeber die Durchführung von Audits oder Inspektionen zu ermöglichen. Erforderlichenfalls wird der Auftragnehmer dem Auftraggeber ein gesondertes Angebot zur Genehmigung vorlegen. Der Auftragnehmer berechnet folgende Honorare:

10.2.1 $187,50 plus Steuer pro Stunde. An Samstagen wird ein Aufschlag von 50%, an Sonn- und Feiertagen ein Aufschlag von 100% berechnet.

10.2.2 Der Kunde muss dem Anbieter die folgenden Kosten gesondert erstatten: Reisekosten ($0,70 / Meile zzgl. MwSt.), Reisezeit ($95,00 / Stunde zzgl. MwSt.), Hotelkosten, Spesen nach dem Gesetz und ggf. sonstige Kosten nach Aufwand und als Nachweis.

10.2.3 Jede Rechnung ist innerhalb von zehn Werktagen ohne Abzug zur Zahlung fällig.


11. Eingeschränkte Übertragungen

11.1 Vorbehaltlich Abschnitt 11.3 schließen das Unternehmen (als „Datenexporteur“) und der Verkäufer (als „Datenimporteur“) hiermit die Standardvertragsklauseln in Bezug auf jede eingeschränkte Übertragung von diesem Unternehmen an den Verkäufer ab.

11.2 Die Standardvertragsklauseln treten gemäß Abschnitt 11.1 am späteren Zeitpunkt in Kraft:

11.2.1 der Datenexporteur wird Vertragspartei;
11.2.2 der Datenimporteur wird Vertragspartei; und
11.2.3 Beginn der betreffenden eingeschränkten Übertragung.

11.3 Abschnitt 11.1 gilt nur dann für eine eingeschränkte Übermittlung, wenn er zusammen mit anderen nach vernünftigem Ermessen durchführbaren Maßnahmen zur Einhaltung der Vorschriften (zu denen, um Zweifel auszuschließen, nicht die Einholung von Einwilligungen der betroffenen Personen gehört) dazu führt, dass die betreffende eingeschränkte Übermittlung ohne Verstoß gegen das geltende Datenschutzrecht stattfinden kann.


12. Allgemeine Begriffe

Geltendes Recht und Gerichtsbarkeit

12.1 Unbeschadet der Klausel 17 der Standardvertragsklauseln:

12.1.1 die Parteien dieses Nachtrags unterwerfen sich hiermit der im Hauptvertrag festgelegten Gerichtsstandsvereinbarung in Bezug auf alle Streitigkeiten oder Ansprüche, die sich aus diesem Nachtrag ergeben, einschließlich Streitigkeiten über dessen Bestehen, Gültigkeit oder Beendigung oder die Folgen seiner Nichtigkeit; und
12.1.2 Dieser Nachtrag und alle außervertraglichen oder sonstigen Verpflichtungen, die sich aus oder im Zusammenhang mit ihm ergeben, unterliegen dem Recht des Landes oder Gebiets, das zu diesem Zweck im Hauptvertrag festgelegt wurde.

Rangfolge

12.2 Dieser Nachtrag schränkt weder die Verpflichtungen des Verkäufers aus dem Hauptvertrag in Bezug auf den Schutz personenbezogener Daten ein, noch gestattet er dem Verkäufer, personenbezogene Daten in einer Weise zu verarbeiten (oder deren Verarbeitung zuzulassen), die nach dem Hauptvertrag verboten ist. Im Falle eines Widerspruchs oder einer Unstimmigkeit zwischen diesem Nachtrag und den Standardvertragsklauseln haben die Standardvertragsklauseln Vorrang.

12.3 Vorbehaltlich Abschnitt 12.2 sind im Falle von Widersprüchen zwischen den Bestimmungen dieses Nachtrags und anderen Vereinbarungen zwischen den Parteien, einschließlich des Hauptvertrags und einschließlich (sofern nicht ausdrücklich schriftlich und im Namen der Parteien unterzeichnet anders vereinbart) Vereinbarungen, die nach dem Datum dieses Nachtrags abgeschlossen wurden oder angeblich abgeschlossen wurden, die Bestimmungen dieses Nachtrags maßgebend.

Änderungen der Datenschutzgesetze, etc.

12.4 Das Unternehmen darf:

12.4.1 mit einer Frist von mindestens 60 (sechzig) Kalendertagen gegenüber dem Verkäufer schriftlich Änderungen an den Standardvertragsklauseln (einschließlich der gemäß Abschnitt 11.1 abgeschlossenen Standardvertragsklauseln) vorzunehmen, die für eingeschränkte Übermittlungen gelten, die einem bestimmten Datenschutzgesetz unterliegen, und die aufgrund einer Änderung oder einer Entscheidung einer zuständigen Behörde im Rahmen dieses Datenschutzgesetzes erforderlich sind, damit diese eingeschränkten Übermittlungen ohne Verstoß gegen das betreffende Datenschutzgesetz durchgeführt werden können (oder weiterhin durchgeführt werden); und
12.4.2 sonstige Änderungen dieses Nachtrags vorschlagen, die das Unternehmen nach vernünftigem Ermessen für erforderlich hält, um die Anforderungen von Datenschutzgesetzen zu erfüllen.

12.5 Wenn das Unternehmen eine Mitteilung gemäß Abschnitt 12.4.1:

12.5.1 Der Verkäufer hat unverzüglich mitzuwirken (und sicherzustellen, dass alle betroffenen Unterauftragsverarbeiter unverzüglich mitwirken), um sicherzustellen, dass gleichwertige Änderungen an allen gemäß Abschnitt 5.3 getroffenen Vereinbarungen vorgenommen werden; und
12.5.2 Das Unternehmen darf seine Zustimmung zu den vom Verkäufer vorgeschlagenen Folgeänderungen dieses Nachtrags nicht unangemessen verweigern oder verzögern, um den Verkäufer vor zusätzlichen Risiken zu schützen, die mit den Änderungen gemäß Abschnitt 12.4.1 oder 12.5.1 verbunden sind.

12.6 Wenn das Unternehmen eine Mitteilung gemäß Abschnitt 12.4.2 macht, erörtern die Parteien unverzüglich die vorgeschlagenen Änderungen und verhandeln nach Treu und Glauben mit dem Ziel, diese oder alternative Änderungen zu vereinbaren und umzusetzen, um die in der Mitteilung des Unternehmens genannten Anforderungen so bald wie möglich zu erfüllen.

12.7 Weder das Unternehmen noch der Verkäufer benötigen die Zustimmung oder Genehmigung eines verbundenen Unternehmens, um diesen Nachtrag gemäß diesem Abschnitt 12.5 oder anderweitig zu ändern.

Abfindung

12.8 Sollte eine Bestimmung dieses Nachtrags ungültig oder nicht durchsetzbar sein, so bleibt der Rest dieses Nachtrags gültig und in Kraft. Die unwirksame oder undurchsetzbare Bestimmung ist entweder (i) so zu ändern, dass ihre Wirksamkeit und Durchsetzbarkeit gewährleistet ist, wobei die Absichten der Parteien so weit wie möglich erhalten bleiben, oder, falls dies nicht möglich ist, (ii) so auszulegen, als ob der unwirksame oder undurchsetzbare Teil nie enthalten gewesen wäre.

Dieser Nachtrag wird mit Wirkung ab dem Datum der Unterzeichnung des Hauptvertrags in den Hauptvertrag aufgenommen und wird zu einem verbindlichen Bestandteil des Hauptvertrags.


Schedule I – Standardvertragsklauseln

1.1 Soweit gesetzlich vorgeschrieben, wird davon ausgegangen, dass die Unterzeichner des Abkommens die Klauseln unterzeichnet haben, die gemäß dem Durchführungsbeschluss (EU) 2021/914 der EU-Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, abrufbar unter https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX%3A32021D0914&locale=e (die „Standardvertragsklauseln 2021“), herausgegeben wurden und die Teil dieser DSGVO sind und wie folgt als abgeschlossen gelten:

1.1.1 Modul 2 der Standardvertragsklauseln 2021 gilt für die Übermittlung personenbezogener Daten vom Unternehmen an den Verkäufer und Modul 4 der Standardvertragsklauseln 2021 gilt für die Übermittlung personenbezogener Daten vom Verkäufer an das Unternehmen;
1.1.2 Klausel 7 der Module 2 und 4 (die optionale Andockklausel) ist nicht enthalten;
1.1.3 Unter Punkt 9 von Modul 2 (Einsatz von Unterauftragsverarbeitern) wählen die Parteien die Option 2 (allgemeine Ermächtigung). Der Inhalt von Anhang III (die Liste der vom Unternehmen bereits ermächtigten Unterauftragsverarbeiter) ist dieser DPA als Anlage 3 beigefügt;
1.1.4 Die fakultative Bestimmung in Klausel 11 der Module 2 und 4 (Rechtsbehelfe), wonach die betroffenen Personen die Möglichkeit haben müssen, eine Beschwerde bei einer unabhängigen Streitbeilegungsstelle einzureichen, gilt nicht als aufgenommen;
1.1.5 Gemäß Klausel 17 der Module 2 und 4 (Anwendbares Recht) wählen die Parteien Option 1 (das Recht eines EU-Mitgliedstaats, das Drittbegünstigungsrechte zulässt). Die Parteien wählen das Recht der Bundesrepublik Deutschland;
1.1.6 Gemäß Klausel 18 der Module 2 und 4 (Wahl des Gerichtsstands und der Zuständigkeit) wählen die Parteien die Gerichte der Bundesrepublik Deutschland.

Dieser Anhang ist Teil der Standardvertragsklauseln

Anhang I

Datenexporteur

Datenexporteur ist das Unternehmen.
Adresse: die im Hauptvertrag angegebene Adresse des Unternehmens.
Name, Position und Kontaktdaten der Kontaktperson: die im Hauptvertrag oder im Bestellformular angegebenen Kontaktdaten des Unternehmens.

Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Tätigkeiten, die zur Erbringung der im Hauptvertrag beschriebenen Dienstleistungen erforderlich sind.

Datenimporteur

Der Datenimporteur ist die Filestage GmbH.
Adresse:Lautenschlagerstraße 16, 70173 Stuttgart, Deutschland
Name, Position und Kontaktdaten der Kontaktperson:
DSBX GmbH
Datenschutzbeauftragter
Email: filestage@dsbx.one
Telefon: +49 721 98615899

Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind:

Tätigkeiten, die zur Erbringung der im Hauptvertrag beschriebenen Dienstleistungen erforderlich sind.

Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden:

Zu den Kategorien von Personen, die von der Verarbeitung betroffen sind, gehören:

  • Nutzer der Filestage-Plattform

Kategorien der übermittelten personenbezogenen Daten:

Gegenstand der Verarbeitung personenbezogener Daten sind die folgenden Datenarten/-kategorien (Aufzählung/Beschreibung der Datenkategorien):

  • Persönliche Stammdaten (Vorname, Nachname)

  • Kommunikationsdaten (E-Mail Adresse, ggf. Telefonnummer)

  • Abrechnungs- und Zahlungsdaten des Vertrags (Bankverbindung, E-Mail-Adresse für den Rechnungsversand, Rechnungsadresse)

  • Vertragsstammdaten (Vertragsverhältnis, Produkt oder Vertragsinteresse)

  • Benutzerdaten (Passwort (nur in gehashter Form), IP-Adresse)

Übermittlung sensibler Daten (falls zutreffend)

Keine

Die Häufigkeit der Übertragung

Kontinuierlich

Art der Verarbeitung

Diese Vorgänge können das Erfassen, Speichern, Abrufen, Abfragen, Verwenden, Löschen oder Vernichten, die Offenlegung durch Übermittlung, Verbreitung oder sonstige Bereitstellung der Daten des Datenexporteurs umfassen, soweit dies für die Erbringung der Dienste gemäß den Anweisungen des Datenexporteurs erforderlich ist, einschließlich der damit verbundenen internen Zwecke.

Zweck(e) der Datenübermittlung und Weiterverarbeitung

Der Zweck der Verarbeitung personenbezogener Daten durch den Datenimporteur ist die Erbringung der Dienstleistungen im Zusammenhang mit dem Hauptvertrag mit dem Datenexporteur.

Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, nach denen dieser Zeitraum festgelegt wird.

Personenbezogene Daten werden so lange aufbewahrt, wie es vernünftigerweise notwendig ist, um die Zwecke, für die die Daten erhoben wurden, zu erfüllen, um die vertraglichen und gesetzlichen Verpflichtungen des Verkäufers zu erfüllen und für die Dauer der geltenden Verjährungsfristen für die Geltendmachung und Abwehr von Ansprüchen, oder so lange, wie dies von einer zuständigen Behörde oder einem Gesetz vorgeschrieben ist.

Zuständige Aufsichtsbehörde

Nennen Sie die zuständige(n) Aufsichtsbehörde(n) gemäß Klausel 13.

Anhang II

Technische und organisatorische Maßnahmen einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit

Die Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, die der Datenimporteur gemäß Klausel 4 Buchstabe d) und 5 Buchstabe c) durchführt, lautet wie folgt:

Der Datenschutz wird durch die folgenden technischen und organisatorischen Maßnahmen (TOM) gewährleistet.

Organisatorische Kontrollen

  • Eine Informationssicherheitsrichtlinie und themenspezifische Richtlinien werden definiert, von der Geschäftsleitung genehmigt, veröffentlicht, dem zuständigen Personal und den interessierten Kreisen mitgeteilt und von diesen zur Kenntnis genommen und in regelmäßigen Abständen sowie bei wesentlichen Änderungen überprüft.

  • Die Aufgaben und Zuständigkeiten für die Informationssicherheit sind definiert und zugewiesen.

  • Sich widersprechende Aufgaben und Zuständigkeitsbereiche werden getrennt.

  • Das Management verlangt von allen Mitarbeitern, dass sie die Informationssicherheit in Übereinstimmung mit der festgelegten Informationssicherheitspolitik, den themenspezifischen Richtlinien und Verfahren anwenden.

  • Der Kontakt zu den zuständigen Behörden wurde hergestellt und wird aufrechterhalten.

  • Der Kontakt zu speziellen Interessengruppen oder anderen spezialisierten Sicherheitsforen und Berufsverbänden wurde hergestellt und wird aufrechterhalten.

  • Informationen über Bedrohungen der Informationssicherheit werden gesammelt und analysiert, um Bedrohungsdaten zu erstellen.

  • Die Informationssicherheit ist in das Projektmanagement integriert.

  • Ein Inventar der Informationen und anderer zugehöriger Vermögenswerte, einschließlich der Eigentümer, wurde erstellt und wird gepflegt.

  • Regeln für die zulässige Nutzung und Verfahren für den Umgang mit Informationen und anderen zugehörigen Vermögenswerten werden ermittelt, dokumentiert und umgesetzt.

  • Das Personal und andere interessierte Parteien geben gegebenenfalls alle in ihrem Besitz befindlichen Vermögenswerte bei Änderung oder Beendigung ihres Beschäftigungsverhältnisses, Vertrags oder ihrer Vereinbarung zurück.

  • Informationen werden je nach den Erfordernissen der Informationssicherheit auf der Grundlage von Vertraulichkeit, Integrität, Verfügbarkeit und den Anforderungen der betroffenen Parteien klassifiziert.

  • In Übereinstimmung mit dem Informationsklassifizierungsschema werden geeignete Verfahren zur Kennzeichnung von Informationen entwickelt und umgesetzt.

  • Für alle Arten von internen und externen Transfereinrichtungen gibt es Regeln, Verfahren oder Vereinbarungen für den Informationstransfer.

  • Regeln zur Kontrolle des physischen und logischen Zugriffs auf Informationen und andere zugehörige Vermögenswerte werden auf der Grundlage von Geschäfts- und Informationssicherheitsanforderungen aufgestellt und umgesetzt.

  • Der gesamte Lebenszyklus von Identitäten wird verwaltet.

  • Die Zuweisung und Verwaltung von Authentifizierungsinformationen wird durch einen Managementprozess gesteuert, der auch die Beratung des Personals über den angemessenen Umgang mit Authentifizierungsinformationen umfasst.

  • Die Zugriffsrechte auf Informationen und andere zugehörige Ressourcen werden in Übereinstimmung mit den themenspezifischen Richtlinien und Regeln für die Zugriffskontrolle vergeben, regelmäßig überprüft, geändert und aufgehoben.

  • Es werden Prozesse und Verfahren festgelegt und umgesetzt, um die mit der Nutzung der Produkte oder Dienstleistungen des Lieferanten verbundenen Informationssicherheitsrisiken zu beherrschen.

  • Je nach Art der Lieferantenbeziehung werden entsprechende Anforderungen an die Informationssicherheit festgelegt und mit jedem Lieferanten vereinbart.

  • Es werden Prozesse und Verfahren festgelegt und umgesetzt, um die mit der Lieferkette für IKT-Produkte und -Dienstleistungen verbundenen Informationssicherheitsrisiken zu beherrschen.

  • Änderungen bei den Informationssicherheitspraktiken der Lieferanten und der Erbringung von Dienstleistungen werden regelmäßig überwacht, überprüft, bewertet und gesteuert.

  • Die Verfahren für den Erwerb, die Nutzung, die Verwaltung und den Ausstieg aus Cloud-Diensten werden im Einklang mit den Anforderungen an die Informationssicherheit festgelegt.

  • Vorfälle im Bereich der Informationssicherheit werden geplant und vorbereitet, indem Prozesse, Rollen und Verantwortlichkeiten für das Management von Vorfällen im Bereich der Informationssicherheit definiert, festgelegt und kommuniziert werden.

  • Ereignisse im Bereich der Informationssicherheit werden bewertet, um zu entscheiden, ob sie als Vorfälle im Bereich der Informationssicherheit eingestuft werden sollen.

  • Auf Vorfälle im Bereich der Informationssicherheit wird gemäß den dokumentierten Verfahren reagiert.

  • Die aus Vorfällen im Bereich der Informationssicherheit gewonnenen Erkenntnisse werden zur Verstärkung und Verbesserung der Kontrollen der Informationssicherheit genutzt.

  • Es werden Verfahren für die Identifizierung, Erfassung, Beschaffung und Aufbewahrung von Beweismitteln im Zusammenhang mit Informationssicherheitsvorfällen festgelegt und umgesetzt.

  • Es werden Pläne für die Aufrechterhaltung der Informationssicherheit auf einem angemessenen Niveau während einer Unterbrechung erstellt.

  • Die IKT-Bereitschaft wird auf der Grundlage von Geschäftskontinuitätszielen und IKT-Kontinuitätsanforderungen geplant, umgesetzt, gewartet und getestet.

  • Die für die Informationssicherheit relevanten rechtlichen, gesetzlichen, behördlichen und vertraglichen Anforderungen und der Ansatz zur Erfüllung dieser Anforderungen werden ermittelt, dokumentiert und auf dem neuesten Stand gehalten.

  • Geeignete Verfahren zum Schutz der Rechte an geistigem Eigentum werden eingeführt.

  • Aufzeichnungen werden vor Verlust, Zerstörung, Fälschung, unbefugtem Zugriff und unbefugter Freigabe geschützt.

  • Die Anforderungen an die Wahrung der Privatsphäre und den Schutz personenbezogener Daten gemäß den geltenden Gesetzen und Vorschriften sowie den vertraglichen Anforderungen werden ermittelt und erfüllt.

  • Der Ansatz zur Verwaltung der Informationssicherheit und seine Umsetzung, einschließlich der Mitarbeiter, Prozesse und Technologien, wird in geplanten Abständen oder bei wesentlichen Änderungen unabhängig überprüft.

  • Die Einhaltung der Informationssicherheitspolitik, der themenspezifischen Richtlinien, Vorschriften und Normen wird regelmäßig überprüft.

  • Die Betriebsverfahren für die Informationsverarbeitungsanlagen werden dokumentiert und dem Personal, das sie benötigt, zur Verfügung gestellt.

Personenkontrollen

  • Die Überprüfung des Hintergrunds von Bewerbern für die oberste Führungsebene wird vor der Einstellung und in regelmäßigen Abständen unter Berücksichtigung der geltenden Gesetze, Vorschriften und ethischen Grundsätze durchgeführt und steht in einem angemessenen Verhältnis zu den geschäftlichen Anforderungen, der Klassifizierung der Informationen, auf die zugegriffen werden soll, und den wahrgenommenen Risiken.

  • In den arbeitsvertraglichen Vereinbarungen werden die Verantwortlichkeiten des Personals und des Datenimporteurs für die Informationssicherheit festgelegt.

  • Das Personal und relevante interessierte Parteien erhalten eine angemessene Sensibilisierung für die Informationssicherheit, Ausbildung und Schulung sowie regelmäßige Aktualisierungen der Informationssicherheitspolitik, themenspezifischer Richtlinien und Verfahren, die für ihre jeweilige Funktion relevant sind.

  • Ein Disziplinarverfahren wird formalisiert und kommuniziert, um Maßnahmen gegen Mitarbeiter und andere Beteiligte zu ergreifen, die einen Verstoß gegen die Informationssicherheitspolitik begangen haben.

  • Die Zuständigkeiten und Pflichten im Bereich der Informationssicherheit, die auch nach Beendigung oder Wechsel des Beschäftigungsverhältnisses bestehen bleiben, werden definiert, durchgesetzt und den betreffenden Mitarbeitern und anderen interessierten Parteien mitgeteilt.

  • Vertraulichkeits- oder Geheimhaltungsvereinbarungen, die die Notwendigkeit des Schutzes von Informationen widerspiegeln, werden ermittelt, dokumentiert, regelmäßig überprüft und vom Personal und anderen betroffenen Parteien unterzeichnet.

  • Zum Schutz der Informationen werden Sicherheitsmaßnahmen ergriffen, wenn Mitarbeiter aus der Ferne arbeiten.

  • Es ist ein Mechanismus vorgesehen, der es dem Personal ermöglicht, beobachtete oder vermutete Vorfälle im Bereich der Informationssicherheit über geeignete Kanäle rechtzeitig zu melden.

Physikalische Kontrollen

  • Klare Regeln für den Umgang mit Papieren und Wechseldatenträgern auf dem Schreibtisch und klare Regeln für den Umgang mit Bildschirmen in Informationsverarbeitungsanlagen sind festgelegt und werden entsprechend durchgesetzt.

  • Speichermedien werden während ihres Lebenszyklus – Erwerb, Verwendung, Transport und Entsorgung – gemäß dem Klassifizierungsschema und den Handhabungsanforderungen verwaltet.

  • Geräte, die Speichermedien enthalten, werden überprüft, um sicherzustellen, dass alle sensiblen Daten und lizenzierte Software vor der Entsorgung oder Wiederverwendung entfernt oder sicher überschrieben werden.

Technische Kontrollen

  • Informationen, die auf Endgeräten von Benutzern gespeichert sind, von ihnen verarbeitet werden oder über sie zugänglich sind, werden geschützt.

  • Die Zuweisung und Nutzung von privilegierten Zugriffsrechten wird eingeschränkt und verwaltet.

  • Der Zugang zu Informationen und anderen zugehörigen Vermögenswerten wird gemäß der festgelegten themenspezifischen Politik zur Zugangskontrolle eingeschränkt.

  • Der Lese- und Schreibzugriff auf Quellcode, Entwicklungswerkzeuge und Softwarebibliotheken wird angemessen verwaltet.

  • Sichere Authentifizierungstechnologien und -verfahren werden auf der Grundlage von Informationszugangsbeschränkungen und der themenspezifischen Richtlinie zur Zugangskontrolle implementiert.

  • Die Nutzung der Ressourcen wird überwacht und entsprechend dem aktuellen und erwarteten Kapazitätsbedarf angepasst.

  • Der Schutz vor Malware ist implementiert und wird durch eine angemessene Sensibilisierung der Benutzer unterstützt.

  • Es werden Informationen über technische Schwachstellen der verwendeten Informationssysteme eingeholt, die Gefährdung durch solche Schwachstellen wird bewertet und es werden geeignete Maßnahmen ergriffen.

  • Konfigurationen, einschließlich Sicherheitskonfigurationen, von Hardware, Software, Diensten und Netzen werden festgelegt, dokumentiert, umgesetzt, überwacht und überprüft.

  • Informationen, die in Informationssystemen, Geräten oder auf anderen Speichermedien gespeichert sind, werden gelöscht, wenn sie nicht mehr benötigt werden.

  • Die Datenmaskierung erfolgt in Übereinstimmung mit der themenspezifischen Richtlinie zur Zugriffskontrolle und anderen damit verbundenen themenspezifischen Richtlinien sowie den geschäftlichen Anforderungen und unter Berücksichtigung der geltenden Rechtsvorschriften.

  • Maßnahmen zur Verhinderung von Datenlecks werden auf Systeme, Netze und alle anderen Geräte angewandt, die sensible Informationen verarbeiten, speichern oder übertragen.

  • Sicherungskopien von Informationen, Software und Systemen werden in Übereinstimmung mit der vereinbarten themenspezifischen Richtlinie für Sicherungskopien aufbewahrt und regelmäßig getestet.

  • Die Einrichtungen zur Informationsverarbeitung sind so redundant ausgelegt, dass sie die Anforderungen an die Verfügbarkeit erfüllen.

  • Protokolle, die Aktivitäten, Ausnahmen, Fehler und andere relevante Ereignisse aufzeichnen, werden erstellt, gespeichert, geschützt und analysiert.

  • Netze, Systeme und Anwendungen werden auf anormales Verhalten überwacht und es werden geeignete Maßnahmen ergriffen, um potenzielle Vorfälle im Bereich der Informationssicherheit zu bewerten.

  • Die Verwendung von Dienstprogrammen, die in der Lage sind, System- und Anwendungssteuerungen außer Kraft zu setzen, ist eingeschränkt und wird streng kontrolliert.

  • Es werden Verfahren und Maßnahmen zur sicheren Verwaltung der Softwareinstallation auf operativen Systemen eingeführt.

  • Netze und Netzgeräte werden gesichert, verwaltet und kontrolliert, um Informationen in Systemen und Anwendungen zu schützen.

  • Sicherheitsmechanismen, Dienstgüte und Dienstanforderungen für Netzdienste werden ermittelt, umgesetzt und überwacht.

  • Gruppen von Informationsdiensten, Nutzern und Informationssystemen werden in Netzen getrennt.

  • Der Zugang zu externen Websites wird verwaltet, um die Gefährdung durch bösartige Inhalte zu verringern.

  • Regeln für den wirksamen Einsatz von Kryptographie, einschließlich der Verwaltung von kryptographischen Schlüsseln, werden festgelegt und umgesetzt.

  • Es werden Regeln für die sichere Entwicklung von Software und Systemen aufgestellt und angewendet.

  • Bei der Entwicklung oder Beschaffung von Anwendungen werden die Anforderungen an die Informationssicherheit ermittelt, spezifiziert und genehmigt.

  • Grundsätze für die Entwicklung sicherer Systeme werden festgelegt, dokumentiert, gepflegt und auf alle Entwicklungsaktivitäten von Informationssystemen angewendet.

  • Die Grundsätze der sicheren Kodierung werden auf die Softwareentwicklung angewandt.

  • Sicherheitsprüfverfahren werden im Entwicklungszyklus definiert und implementiert.

  • Die Aktivitäten im Zusammenhang mit der ausgelagerten Systementwicklung werden geleitet, überwacht und überprüft.

  • Entwicklungs-, Test- und Produktionsumgebungen sind getrennt und gesichert.

  • Änderungen an Informationsverarbeitungsanlagen und Informationssystemen unterliegen den Verfahren des Änderungsmanagements.

  • Testinformationen werden angemessen ausgewählt, geschützt und verwaltet.

Anhang III

Unterauftragsverarbeiter des Verarbeiters

Der Kunde hat den Einsatz der aufgelisteten Unterauftragsverarbeiter mit Wirkung ab dem Datum dieser DPA genehmigt.


Schedule II: Britisches Vereinbarung zu den EU-Standardvertragsklauseln

Beitritt zu diesem Vereinbarung:

1. Jede Vertragspartei erklärt sich mit den in diesem Nachtrag festgelegten Bedingungen einverstanden, wenn die andere Vertragspartei sich ebenfalls mit diesem Nachtrag einverstanden erklärt.

2. Obwohl Anhang 1A und Klausel 7 der Genehmigten EU SCC von den Parteien unterzeichnet werden müssen, können die Parteien zum Zweck der Durchführung von beschränkten Übermittlungen dieses Vereinbarung in einer Weise abschließen, die sie für die Parteien rechtsverbindlich macht und es den betroffenen Personen ermöglicht, ihre in diesem Vereinbarung dargelegten Rechte durchzusetzen. Der Abschluss dieses Nachtrags hat die gleiche Wirkung wie die Unterzeichnung der genehmigten EU-SCC und aller Teile der genehmigten EU-SCC.

Auslegung dieses Nachtrags

3. Werden in diesem Nachtrag Begriffe verwendet, die in den Genehmigten EU-SCC definiert sind, so haben diese Begriffe die gleiche Bedeutung wie in den Genehmigten EU-SCC. Darüber hinaus haben die folgenden Begriffe die folgende Bedeutung:

Nachtrag: Dieses Vereinbarung zum internationalen Datentransfer besteht aus diesem Vereinbarung, das das Vereinbarung EU SCCs enthält.

Vereinbarung EU SCCs: Die Version(en) der genehmigten EU-SCCs, denen dieses Vereinbarung beigefügt ist, wie in Tabelle 2 aufgeführt, einschließlich der Informationen im Anhang.

Informationen im Anhang: Wie in Tabelle 3 dargelegt.

Angemessene Sicherheitsvorkehrungen: Das Schutzniveau der personenbezogenen Daten und der Rechte der betroffenen Personen, das nach den britischen Datenschutzgesetzen erforderlich ist, wenn Sie eine eingeschränkte Übermittlung vornehmen und sich dabei auf die Standarddatenschutzklauseln gemäß Artikel 46 Absatz 2 Buchstabe d der britischen Datenschutzgrundverordnung stützen.

Genehmigter Nachtrag: Das vom ICO herausgegebene und dem Parlament gemäß § 119A des Data Protection Act 2018 am 28. Januar 2022 vorgelegte Muster-Vereinbarung, das gemäß § 18 überarbeitet wird.

Zugelassene EU-SCCs: Die Standardvertragsklauseln, die im Anhang des Durchführungsbeschlusses (EU) 2021/914 der Kommission vom 4. Juni 2021 aufgeführt sind.

ICO: Der Informationsbeauftragte

Eingeschränkte Übertragung: Eine Übermittlung, die unter Kapitel V der britischen Datenschutz-Grundverordnung fällt.

UK: Das Vereinigte Königreich von Großbritannien und Nordirland.

UK-Datenschutzgesetze: Alle Gesetze zum Datenschutz, zur Verarbeitung personenbezogener Daten, zum Schutz der Privatsphäre und/oder zur elektronischen Kommunikation, die von Zeit zu Zeit im Vereinigten Königreich gelten, einschließlich der britischen GDPR und des Data Protection Act 2018.

UK GDPR: Wie in Abschnitt 3 des Data Protection Act 2018 definiert.

4. Dieser Nachtrag ist stets so auszulegen, dass er mit den Datenschutzgesetzen des Vereinigten Königreichs in Einklang steht und die Verpflichtung der Vertragsparteien erfüllt, die angemessenen Garantien zu bieten.

5. Sollten die im Nachtrag EU-SSCC enthaltenen Bestimmungen die Genehmigten SCC in einer Weise ändern, die nach den Genehmigten EU-SSCC oder dem Genehmigten Nachtrag nicht zulässig ist, so werden diese Änderungen nicht in diesen Nachtrag übernommen und die entsprechenden Bestimmungen der Genehmigten EU-SSCC treten an ihre Stelle.

6. Im Falle von Widersprüchen oder Konflikten zwischen den britischen Datenschutzgesetzen und diesem Nachtrag gelten die britischen Datenschutzgesetze.

7. Wenn die Bedeutung dieses Nachtrags unklar ist oder es mehr als eine Bedeutung gibt, gilt die Bedeutung, die am ehesten mit den britischen Datenschutzgesetzen übereinstimmt.

8. Jede Bezugnahme auf Rechtsvorschriften (oder bestimmte Bestimmungen von Rechtsvorschriften) bezieht sich auf diese Rechtsvorschriften (oder bestimmte Bestimmungen) in der Form, wie sie sich im Laufe der Zeit ändern können. Dies gilt auch für den Fall, dass diese Rechtsvorschriften (oder spezifischen Bestimmungen) nach Abschluss dieses Nachtrags konsolidiert, wieder in Kraft gesetzt und/oder ersetzt worden sind.

Hierarchie

9. Obwohl Klausel 5 der genehmigten EU-SSCC festlegt, dass die genehmigten EU-SSCC Vorrang vor allen damit zusammenhängenden Vereinbarungen zwischen den Parteien haben, vereinbaren die Parteien, dass bei beschränkten Übertragungen die Hierarchie in Abschnitt 10 Vorrang haben wird.

10. Bei Unstimmigkeiten oder Widersprüchen zwischen dem Genehmigten Nachtrag und dem Nachtrag EU SCC (soweit anwendbar) hat der Genehmigte Nachtrag Vorrang vor dem Nachtrag EU SCC, es sei denn, die unstimmigen oder widersprüchlichen Bestimmungen des Nachtrags EU SCC bieten den betroffenen Personen einen besseren Schutz; in diesem Fall haben diese Bestimmungen Vorrang vor dem Genehmigten Nachtrag.

11. Soweit dieser Nachtrag EU-SCCs enthält, die zum Schutz von Übermittlungen, die der Allgemeinen Datenschutzverordnung (EU) 2016/679 unterliegen, abgeschlossen wurden, erkennen die Parteien an, dass dieser Nachtrag keine Auswirkungen auf diese EU-SCCs hat.

Übernahme und Änderungen der EU-SCCs

12. Dieser Nachtrag enthält den Nachtrag EU SCC, der im erforderlichen Umfang geändert wird, damit:

a. Sie gelten gemeinsam für Datenübermittlungen des Datenexporteurs an den Datenimporteur, soweit die Datenschutzgesetze des Vereinigten Königreichs auf die Verarbeitung durch den Datenexporteur bei dieser Datenübermittlung anwendbar sind, und sie bieten angemessene Garantien für diese Datenübermittlungen;
b. Die Abschnitte 9 bis 11 haben Vorrang vor Klausel 5 (Hierarchie) des Vereinbarungs EU SCCs; und
c. dieser Nachtrag (einschließlich des Nachtrags EU SCC, der darin enthalten ist) (1) den Gesetzen von England und Wales unterliegt und (2) alle sich daraus ergebenden Streitigkeiten von den Gerichten von England und Wales entschieden werden, es sei denn, die Gesetze und/oder Gerichte von Schottland oder Nordirland wurden von den Parteien ausdrücklich gewählt.

13. Sofern die Vertragsparteien keine anderen Änderungen vereinbart haben, die den Anforderungen von Abschnitt 12 entsprechen, gelten die Bestimmungen von Abschnitt 15.

14. An den genehmigten EU-SCCs dürfen keine anderen Änderungen vorgenommen werden als die, die den Anforderungen von Abschnitt 12 entsprechen.

15. Es werden folgende Änderungen am Vereinbarung EU SCC (für die Zwecke von Abschnitt 12) vorgenommen:

a. Verweise auf die „Klauseln“ bezeichnen diesen Nachtrag, der den Nachtrag EU SCCs enthält;
b. In Paragraf 2 werden die Worte gestrichen: „und, in Bezug auf Datenübermittlungen von für die Verarbeitung Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter, Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679“;
c. Klausel 6 (Beschreibung der Übertragung(en)) erhält folgende Fassung: „Die Einzelheiten der Übermittlung(en) und insbesondere die Kategorien personenbezogener Daten, die übermittelt werden, und der Zweck/die Zwecke, zu dem/denen sie übermittelt werden, sind in Anhang I.B aufgeführt, wenn die Datenschutzgesetze des Vereinigten Königreichs für die Verarbeitung durch den Datenexporteur bei der Übermittlung gelten.“
d. Klausel 8.7(i) von Modul 1 wird ersetzt durch: „es sich um ein Land handelt, das von den Angemessenheitsvorschriften gemäß Abschnitt 17A der britischen Datenschutz-Grundverordnung profitiert, die die Weiterübermittlung abdeckt“;
e. Klausel 8.8(i) der Module 2 und 3 erhält folgende Fassung: „die Weiterübermittlung erfolgt in ein Land, für das Angemessenheitsvorschriften gemäß Abschnitt 17A der britischen Datenschutz-Grundverordnung gelten, die die Weiterübermittlung abdecken;“
f. Verweise auf „Verordnung (EU) 2016/679“, „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung)“ und „diese Verordnung“ werden alle durch „Datenschutzgesetze des Vereinigten Königreichs“ ersetzt. Verweise auf bestimmte Artikel der „Verordnung (EU) 2016/679“ werden durch die entsprechenden Artikel oder Abschnitte der britischen Datenschutzgesetze ersetzt;
g. Verweise auf die Verordnung (EU) 2018/1725 werden entfernt;
h. Verweise auf die „Europäische Union“, „Union“, „EU“, „EU-Mitgliedstaat“, „Mitgliedstaat“ und „EU oder Mitgliedstaat“ werden alle durch das „Vereinigte Königreich“ ersetzt;
i. Der Verweis auf „Klausel 12(c)(i)“ in Klausel 10(b)(i) von Modul eins wird durch „Klausel 11(c)(i)“ ersetzt;
j. Klausel 13(a) und Teil C von Anhang I werden nicht verwendet;
k. Die Begriffe „zuständige Aufsichtsbehörde“ und „Aufsichtsbehörde“ werden beide durch den „Informationsbeauftragten“ ersetzt;
l. In Paragraf 16 Buchstabe e) erhält der Unterabschnitt i) folgende Fassung: „Der Secretary of State erlässt Verordnungen gemäß Abschnitt 17A des Data Protection Act 2018, die die Übermittlung personenbezogener Daten betreffen, auf die diese Klauseln Anwendung finden;“;
m. Klausel 17 wird durch folgende Klausel ersetzt: „Diese Klauseln unterliegen den Gesetzen von England und Wales“;
n. Klausel 18 wird durch folgende Klausel ersetzt: „Alle Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten in England und Wales entschieden. Eine betroffene Person kann den Datenexporteur und/oder Datenimporteur auch vor den Gerichten eines beliebigen Landes im Vereinigten Königreich verklagen. Die Parteien erklären sich damit einverstanden, sich der Gerichtsbarkeit dieser Gerichte zu unterwerfen.“; und
o. Die Fußnoten zu den genehmigten EU-SCCs sind mit Ausnahme der Fußnoten 8, 9, 10 und 11 nicht Teil des Vereinbarungs.

Änderungen an diesem Nachtrag

16. Die Parteien können vereinbaren, die Klauseln 17 und/oder 18 des Nachtrags EU SCC zu ändern, um auf die Gesetze und/oder Gerichte von Schottland oder Nordirland zu verweisen.

17. Wollen die Vertragsparteien das Format der in Teil 1: Tabellen des genehmigten Nachtrags enthaltenen Informationen ändern, so können sie dies durch eine schriftliche Vereinbarung tun, sofern die Änderung nicht zu einer Verringerung der angemessenen Sicherheitsvorkehrungen führt.

18. Die ICO kann von Zeit zu Zeit einen überarbeiteten genehmigten Nachtrag herausgeben, der:

a. angemessene und verhältnismäßige Änderungen an dem genehmigten Nachtrag vornimmt, einschließlich der Korrektur von Fehlern in dem genehmigten Nachtrag, und/oder
b. spiegelt die Änderungen der britischen Datenschutzgesetze wider;

In der überarbeiteten Fassung des genehmigten Nachtrags wird das Datum angegeben, ab dem die Änderungen des genehmigten Nachtrags wirksam werden, und ob die Parteien diesen Nachtrag einschließlich der Informationen im Anhang überprüfen müssen. Dieser Nachtrag wird ab dem angegebenen Anfangsdatum automatisch wie in dem überarbeiteten Genehmigten Nachtrag geändert.

19. Wenn die ICO ein überarbeitetes Genehmigtes Vereinbarung gemäß Abschnitt 18 herausgibt, hat eine der in Tabelle 4 „Beendigung des Vereinbarungs bei Änderung des Genehmigten Vereinbarungs“ ausgewählten Parteien als unmittelbare Folge der Änderungen des Genehmigten Vereinbarungs einen erheblichen, unverhältnismäßigen und nachweisbaren Anstieg der Kosten:

a. seine direkten Kosten für die Erfüllung seiner Verpflichtungen aus dem Nachtrag; und/oder
b. sein Risiko im Rahmen des Vereinbarungs,

und sie in beiden Fällen zuvor angemessene Schritte unternommen hat, um diese Kosten oder Risiken zu verringern, so dass sie nicht erheblich und unverhältnismäßig sind, kann diese Partei diesen Nachtrag zum Ende einer angemessenen Kündigungsfrist beenden, indem sie der anderen Partei vor dem Beginn der überarbeiteten genehmigten Ergänzung eine schriftliche Mitteilung für diesen Zeitraum übermittelt.

20. Die Parteien benötigen nicht die Zustimmung Dritter, um Änderungen an diesem Nachtrag vorzunehmen, doch müssen alle Änderungen im Einklang mit den Bestimmungen dieses Nachtrags vorgenommen werden.

Hat dies deine Frage beantwortet?