Caseware Datenverarbeitungsvereinbarung

Im Folgenden finden Sie eine unverbindliche Übersetzung des Caseware Data Processing Agreements.

Version: 3.0

Zuletzt aktualisiert: Juli 2023

1. Einleitung & Umfang

Auf diese Datenverarbeitungsvereinbarung („DVV”) wird in der Rahmenvereinbarung für Produkte und Dienstleistungen („MPSA”) referenziert, die zwischen Caseware International Inc. und/oder Caseware Cloud Ltd. (zusammenfassend als „Caseware” oder der „Auftragsverarbeiter” bezeichnet) und dem Kunden, der darin genannt wird (der „Kunde” oder „Verantwortliche”), abgeschlossen wird.

Da der Auftragsverarbeiter bei der Erbringung von Diensten (nachstehend definiert) Zugang zu personenbezogenen Daten haben kann, benötigen der Kunde (als der Verantwortliche) und Caseware (als der Auftragsverarbeiter) eine vertragliche Vereinbarung über die Erhebung, Verarbeitung und Verwendung personenbezogener Daten, auf die der Auftragsverarbeiter zugreift, um sicherzustellen, dass die personenbezogenen Daten den gleichen Schutz erhalten, wie ihn der Verantwortliche bietet. Diese DVV regelt die Dauer der Verarbeitung, die Art und den Zweck der Verarbeitung, die Art von personenbezogenen Daten, die verarbeitet werden, die Gruppen von betroffenen Personen sowie die Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters.

Der Kunde und Caseware werden einzeln als „Partei“ und gemeinsam als „Parteien“ bezeichnet.

2. Definitionen

Begriffe, die in dieser DVV nicht definiert sind, haben die Definitionen, die im MPSA für sie festgelegt sind.

  • CPRA“ bezeichnet den California Privacy Rights Act (Gesetz zum Datenschutz des US-Bundesstaats Kalifornien), siehe Cal. Civ. Code §§ 1798.100 ff.

  • Kundendaten“ bezeichnet geschäftliche Kontaktinformationen (z. B. Name, geschäftliche E-Mail-Adresse, geschäftliche Telefonnummer), die sich auf das Personal des Kunden beziehen und Caseware durch den Kunden zum Zweck des Zugriffs auf die Software und/oder Datenbank von Caseware bereitgestellt werden.

  • Datenschutzvorschriften“ bezeichnet alle Datenschutzvorschriften und Gesetze zum Schutz des Persönlichkeitsrechts, die auf die Verarbeitung personenbezogener Daten entsprechend dem territorialen Ursprung der personenbezogenen Daten anwendbar sind.

  • Eine „Betroffene Person“ ist eine identifizierte oder identifizierbare natürliche Person, auf die sich die personenbezogenen Daten beziehen. Betroffene Person ist gleichbedeutend mit „Verbraucher“ (Consumer) gemäß der Definition im California Privacy Rights Act („CPRA“).

  • Personenbezogene Daten“ bezeichnet im Sinne dieser DVV jegliche Informationen, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen sowie alle „Persönlichen Daten“ (Personal Information), wie im CPRA definiert, schließt jedoch Kundendaten aus.

  • Datenschutzerklärung“ bezeichnet die von Caseware bei der Bereitstellung aller Caseware Angebote eingehaltene Datenschutzerklärung, die auf der Webseite von Caseware (https://www.caseware.com/) veröffentlicht und gelegentlich aktualisiert wird.

  • Eingeschränkte Übermittlung“ bedeutet (i) die Weiterleitung personenbezogener Daten vom Kunden an Caseware; oder (ii) eine Weiterübermittlung personenbezogener Daten von Caseware an einen Unterauftragsverarbeiter, oder (iii) eine Weiterübermittlung zwischen zwei Niederlassungen von Caseware oder einem Unterauftragsverarbeiter. In allen Fällen, in denen eine solche Übermittlung durch Datenschutzvorschriften (oder durch die Bedingungen von Datenübertragungsvereinbarungen, die zur Einhaltung der Datenübertragungsbeschränkungen der Datenschutzvorschriften eingeführt wurden) verboten ist, werden die nach den geltenden Datenschutzvorschriften erforderlichen Genehmigungsmechanismen angewandt.

  • Dienste“ bezeichnet Dienstleistungen, die von Caseware in Bezug auf durch Caseware bereitgestellte Software as a Service (wie im MPSA festgelegt) oder für die Öffentlichkeit lizenzierte Software angeboten werden, und beinhaltet jegliche von Caseware oder dessen verbundenen Unternehmen erbrachten Supportdienstleistungen für Software.

  • Standardvertragsklauseln“ sind die Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Europäischen Rates, die mit Beschluss der Europäischen Kommission am 04.06.2021 genehmigt wurde.

  • Unterauftragsverarbeiter“ ist jede Person oder Einheit, die von oder im Namen von Caseware zur Verarbeitung personenbezogener Daten im Namen von Caseware hinsichtlich der Dienste beauftragt wird, und schließt jeden Unterauftragsverarbeiter ein, der von einem Unterauftragsverarbeiter rechtmäßig zur Verarbeitung personenbezogener Daten im Namen von Caseware hinsichtlich der Dienste beauftragt wird (Unter-Unterauftragsverarbeiter), jedoch keine Mitarbeiter von Caseware oder von einem Unterauftragsverarbeiter.

3. Details zur Verarbeitung

Caseware wird personenbezogene Daten gemäß der Datenschutzerklärung erheben, verwenden und offenlegen.

4. Art der Daten

Die folgenden Arten/Kategorien von Daten können durch Caseware erhoben, verarbeitet und/oder verwendet werden:

  • Personenbezogene Daten (z. B. Nachname, Vorname, Anschrift und Geburtsdatum);

  • Verkehrsdaten (z. B. Telefonnummer, Fax, E-Mail-Adresse);

  • Vertragsdaten (z. B. Details zur Rechnungsstellung und Zahlung);

  • IT-Nutzungsdaten (z. B. Benutzer-ID, Kennwörter und Rollen);

  • Bankdaten (z. B. Bankverbindung und Kreditkartennummer); und/oder

  • Daten jeder anderen in der Datenschutzerklärung aufgeführten Kategorie.

5. Betroffene Personen

Zu den betroffenen Personen, die ggf. von der Verwendung ihrer personenbezogenen Daten tangiert sind, gehören:

  • die Auftraggeber/Leistungsempfänger des Kunden;

  • die Angestellten oder Auftragnehmer des Kunden; und/oder

  • die Lieferanten/Dienstleister des Kunden.

6. Ort der Datenverarbeitung

Caseware nutzt Drittanbieter wie Amazon Web Services (AWS) für das Datenhosting auf Servern weltweit und als Unterauftragsverarbeiter. Gegenwärtig verwendet Caseware Server in Australien, Kanada, Irland und den Vereinigten Staaten.

Zur Zeit des Abschlusses eines Abonnements der Caseware Dienste wird der Kunde über den geographischen Standort des Servers informiert, auf dem personenbezogene Daten gespeichert werden, und erhält die Möglichkeit, dem zuzustimmen, bevor die personenbezogenen Daten des Kunden bei einem solchen Datenhosting-Anbieter gespeichert werden.

Caseware wird vertretbare Anstrengungen unternehmen, um dem Kunden einen Server an einem geographisch in der Nähe des Kunden befindlichen Ort zuzuteilen, um eine grenzüberschreitende Übermittlung der personenbezogenen Daten zu vermeiden. Wenn dies nicht möglich ist, werden mit Zustimmung des Kunden die gesetzlich vorgeschriebenen Autorisierungsmechanismen angewandt. Dies gilt auch bei der Erbringung von technischen Support- und Wartungsleistungen, die vom Kunden angefordert werden.

7. Weisungen

Caseware verarbeitet personenbezogene Daten zu folgenden Zwecken: (i) im Zusammenhang mit der Verwendung der Dienste durch den Kunden erforderliche Verarbeitung; (ii) Verarbeitung gemäß dem MPSA, dieser DVV und anderen Vereinbarungen zwischen den Parteien; (iii) Verarbeitung, um anderen vertretbaren Anweisungen des Kunden nachzukommen, insofern diese Anweisungen mit den Bestimmungen des MPSA, geltenden Gesetzen und der DVV vereinbar sind. Wenn die Anweisungen oder Anforderungen des Kunden nach Ansicht von Caseware nicht mit den Datenschutzvorschriften im Einklang stehen, wird Caseware den Kunden davon per E-Mail unter Angabe von Gründen in Kenntnis setzen.

8. Vertraulichkeitsverpflichtung durch Caseware

Caseware stellt Folgendes sicher: (a) die Zuverlässigkeit aller Personen, die potentiell Zugang zu den personenbezogenen Daten haben könnten, indem Hintergrundprüfungen durchgeführt werden; (b) dass alle diese Personen Vertraulichkeitsverpflichtungen unterliegen, die mindestens so restriktiv sind wie die, die im MPSA festgelegt sind, und dass sie die personenbezogenen Daten als vertrauliche Informationen behandeln werden; und (c) dass alle diese Personen Schulungen über die Pflege, den Schutz und den Umgang mit personenbezogenen Daten absolviert haben.

9. Technische & organisatorische Maßnahmen

Caseware implementiert die erforderlichen technischen und organisatorischen Maßnahmen („TOMs”), um ein dem Risiko angemessenes Level an Sicherheit zu gewährleisten. Diese können je nach Sachlage Folgendes umfassen:

  • die Pseudonymisierung und Verschlüsselung von personenbezogenen Daten;

  • die Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste;

  • die Fähigkeit, die Verfügbarkeit von und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Zwischenfalls zeitnah wiederherzustellen; und

  • ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit von technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung und zur Aufrechterhaltung der Maßnahmen während der Laufzeit des Vertrags.

Caseware wird geeignete technische und organisatorische Maßnahmen ergreifen, um die personenbezogenen Daten des Kunden vor unbefugter oder unrechtmäßiger Verarbeitung und vor versehentlichem Verlust, Zerstörung, Beschädigung, Änderung oder Offenlegung zu schützen. Bei der Umsetzung und Aktualisierung solcher technischen und organisatorischen Maßnahmen, die ein dem Risiko angemessenes Sicherheitsniveau gewährleisten, berücksichtigt Caseware den Stand der Technik, die Kosten der Umsetzung und die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Wahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen. Ohne die Allgemeingültigkeit des Vorangegangenen einzuschränken, hat Caseware die in Anlage 1 dieser DVV aufgeführten technischen und organisatorischen Maßnahmen („TOMs“) durchgeführt.

Caseware beauftragt zugelassene Unterauftragsverarbeiter mit der Erbringung von Teilen der Dienste. Die TOMs hängen daher teilweise von diesen Unterauftragsverarbeitern ab, wie auch in Anlage 1 beschrieben wird, sofern Caseware für die Einhaltung der TOMs unabhängig von der Inanspruchnahme von Unterauftragsverarbeitern verantwortlich bleibt. Caseware kann sich für wirtschaftlich angemessene Verbesserungen an den TOMs entscheiden und stellt dem Kunden auf Verlangen eine aktualisierte Fassung von Anlage 1 zur Verfügung.

10. Internationaler Datenschutzbeauftragter

Caseware hat seinen Leiter der Rechtsabteilung (Sr. Director of Legal) als seinen globalen Datenschutzbeauftragten (Global Chief Privacy Officer) bestimmt.

11. Unterauftragsverarbeiter

Der Kunde erkennt an und stimmt zu, dass Caseware Unterauftragsverarbeiter vorbehaltlich der Bestimmungen und Bedingungen dieser DVV mit der Bereitstellung der Dienste beauftragen kann, und dass (i) ein verbundenes Unternehmen von Caseware als Unterauftragsverarbeiter eingesetzt werden kann; und (ii) Caseware oder ein verbundenes Unternehmen von Caseware Dritte als Unterauftragsverarbeiter einsetzen können.

Wenn Caseware einen Unterauftragsverarbeiter mit der Erbringung von Diensten beauftragt, wird mit dem Unterauftragsverarbeiter eine Datenverarbeitungsvereinbarung abgeschlossen. Eine Liste der derzeitigen Unterauftragsverarbeiter von Caseware steht in Anlage 2 zur Verfügung.

Bei einer Aktualisierung der Liste der Unterauftragsverarbeiter stellt Caseware diese mindestens zehn (10) Tage vor deren Änderung bereit. Der Kunde informiert Caseware schriftlich innerhalb von zehn (10) Tagen nach einer Aktualisierung der Liste der Unterauftragsverarbeiter über Einwände gegen die Ernennung eines Unterauftragsverarbeiters, wenn der Kunde berechtigterweise davon ausgeht, dass dieser Unterauftragsverarbeiter die geltenden Datenschutzgesetze nicht einhält oder eine solche Verarbeitung ein Risiko für seine Kundendaten oder personenbezogenen Daten darstellen könnte. Falls der Kunde wie oben beschrieben einen vernünftigen Einwand gegen einen Unterauftragsverarbeiter vorbringt, werden sich die Parteien bemühen, die Angelegenheit ohne unnötige Verzögerung zu lösen. Caseware wird angemessene Anstrengungen unternehmen, um dem Kunden eine Anpassung der Dienste zu ermöglichen, um die Verarbeitung von Kundendaten oder personenbezogenen Daten durch den beanstandeten Unterauftragsverarbeiter zu vermeiden, ohne dabei den Kunden unangemessen zu belasten. Im Falle des Einspruchs gegen einen neuen Unterauftragsverarbeiter, obwohl der neue Unterauftragsverarbeiter für Caseware und die Dienste erforderlich ist, kann der Kunde ein Abonnement für die betroffenen Caseware Dienste durch schriftliche Kündigung vor Ablauf der Benachrichtigungsfrist entschädigungsfrei beenden.

Wenn die Nutzung eines Unterauftragsverarbeiters eine eingeschränkte Übermittlung beinhaltet, muss Caseware sicherstellen, dass die nach geltendem Recht erforderlichen Genehmigungen zu jedem relevanten Zeitpunkt in eine Vereinbarung zwischen Caseware und dem Unterauftragsverarbeiter sowie zwischen dem Unterauftragsverarbeiter und jedem Unter-Unterauftragsverarbeiter aufgenommen werden.

12. Anträge betroffener Personen

Caseware unterstützt den Kunden in angemessener Weise bei Anträgen betroffener Personen auf Auskunft, Berichtigung oder Löschung von Daten, sofern der Kunde einem solchen Antrag nicht selbst nachkommen kann, in dem Maße wie dies gesetzlich zulässig und technisch möglich ist. Der Kunde hat Caseware die Kosten für eine solche Unterstützung im rechtlich zulässigen Umfang zu erstatten.

Wenn ein Antrag einer betroffenen Person bei Caseware eingeht, der sich auf personenbezogene Daten bezieht, die vom Kunden übermittelt wurden, wird Caseware den Antrag an den Kunden weiterleiten. Caseware wird auf einen solchen Antrag nicht antworten, sondern den Kunden gemäß den Ausführungen in diesem Abschnitt unterstützen.

13. Benachrichtigung über Datenschutzverletzungen

Caseware informiert den Kunden unverzüglich, spätestens jedoch innerhalb von 72 Stunden, nachdem Caseware über eine Datenschutzverletzung bezüglich der personenbezogenen Daten Kenntnis erlangt hat (d. h. über eine Sicherheitsverletzung, die zur Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt), einschließlich einer Verletzung bei einem Unterauftragsverarbeiter, und stellt die erforderlichen Informationen bereit, damit der Kunde Behörden und betroffene Personen informieren kann. Caseware unternimmt angemessene Anstrengungen, um die Ursache einer solchen Datenschutzverletzung zu beseitigen und den (potentiellen) Schaden, der sich aus der Datenschutzverletzung ergibt, zu minimieren.

Die Mitteilung an den Kunden beinhaltet mindestens a) die Art der Datenschutzverletzung, b) die betroffenen Datenkategorien, c) die identifizierten und potentiellen Konsequenzen der Datenschutzverletzung und d) die Maßnahmen, die Caseware ergreift, um die aus der Datenschutzverletzung entstehenden Konsequenzen zu minimieren. Auf Antrag des Kunden unterstützt Caseware den Kunden dabei, die Datenschutzverletzung an eine Aufsichtsbehörde und/oder die betroffenen Personen zu melden.

14. Datenschutzfolgenabschätzung (Data Protection Impact Assessment/DPIA)

Auf Antrag des Kunden wird Caseware den Kunden in angemessener Weise bei der Durchführung einer DPIA nur im Zusammenhang mit der Verarbeitung der personenbezogenen Daten des Kunden und unter Berücksichtigung der Art der Verarbeitung und der Caseware und den Unterauftragsverarbeitern zur Verfügung stehenden Informationen unterstützen. Der Kunde hat Caseware die Kosten für eine solche Unterstützung im rechtlich zulässigen Umfang zu erstatten.

15. Löschung oder Rückgabe personenbezogener Daten

Caseware wird nach Wahl des Kunden alle personenbezogenen Daten innerhalb von 120 Kalendertagen nach der Beendigung oder dem Ablauf des mit dem Kunden abgeschlossenen MPSA entweder unwiederbringlich löschen oder zurückgeben, sofern die Speicherung der Daten nicht gesetzlich vorgeschrieben ist.

16. Rechte auf Information & Prüfung

Kunden können unter https://www.caseware.com/security-certifications/ Informationen über bestehende Sicherheitszertifizierungen von Caseware erlangen. Auf Antrag des Kunden wird Caseware dem Kunden oder einem vom Kunden beauftragten externen Prüfer einmal jährlich den Zugang zu Informationen bezüglich der Einhaltung dieser DVV und der Datenverarbeitungsgesetze durch Caseware, einschließlich Vor-Ort-Prüfungen, gewähren. Jede Prüfung kann beinhalten, dass Caseware seine Datenverarbeitungsanlagen, Dateien und Unterlagen, die für die Verarbeitung personenbezogener Daten erforderlich sind (und/oder die seiner Beauftragten, verbundenen Unternehmen und Unterauftragsverarbeiter), mit angemessener Vorankündigung und während der üblichen Geschäftszeiten zur Überprüfung, Prüfung und/oder Zertifizierung durch den Kunden (oder durch unabhängige oder unparteiische Inspektionsbeauftragte oder Prüfer, die vom Kunden ausgewählt wurden und gegen die Caseware keine angemessenen Einwände erhebt) vorlegt. Bevor Informationen bereitgestellt oder Prüfungen durchgeführt werden, legen die Parteien im gegenseitigen Einvernehmen den Umfang, den Zeitplan und die Dauer einer solchen Prüfung fest.

17. Eingeschränkte Übermittlungen

Jede Übermittlung personenbezogener Daten aus der EU, der Schweiz, dem Vereinigten Königreich oder dem EWR in ein Land außerhalb dieser Gebiete, das kein angemessenes Schutzniveau gemäß der Entscheidung der EU-Kommission oder der Aufsichtsbehörden des Vereinigten Königreichs oder der Schweiz gewährleistet, unterliegt den anwendbaren Standardvertragsklauseln (oder einer anwendbaren gleichwertigen, durch die Aufsichtsbehörden des Vereinigten Königreichs oder der Schweiz erlassenen Vorschrift) in Anhang 3 und jede Übermittlung personenbezogener Daten aus dem Vereinigten Königreich oder der Schweiz in ein Land, das kein angemessenes Schutzniveau gemäß der Entscheidung der EU-Kommission oder Aufsichtsbehörden des Vereinigten Königreichs oder der Schweiz gewährleistet, unterliegt dem anwendbaren Äquivalent der aktuell verwendeten Standardvertragsklauseln einschließlich dem Zusatz des Vereinigten Königreichs zu den Standardvertragsklauseln der EU-Kommission für den internationalen Datentransfer in Anhang 4.

Kunden, die personenbezogene Daten aus der EU, der Schweiz, dem EWR oder dem Vereinigten Königreich an Caseware übermitteln, werden als „Datenexporteure“ bezeichnet und Caseware wird als „Datenimporteur” bezeichnet (beide Bezeichnungen sind in den Standardvertragsklauseln definiert). Der Kunde (als „Datenexporteur“) und Caseware (als „Datenimporteur“) schließen hiermit die Standardvertragsklauseln bzw. den Zusatz des Vereinigten Königreichs zu den Standardvertragsklauseln der EU-Kommission für den internationalen Datentransfer in Bezug auf die eingeschränkte Übermittlung durch den Kunden an Caseware ab.

Die Standardvertragsklauseln oder der gleichwertige Zusatz der Schweiz oder des Vereinigten Königreichs zu den Standardvertragsklauseln der EU-Kommission für den internationalen Datentransfer treten, soweit zutreffend, bei Unterzeichnung des MPSA in Kraft.

18. Kalifornien-spezifische Bestimmungen

Insoweit Caseware personenbezogene Daten (Personal Data), die sich auf Personen mit Wohnsitz im US-Bundesstaat Kalifornien beziehen, verarbeitet, wird Caseware die Anforderungen des CPRA erfüllen, einschließlich aller Änderungen und Durchführungsbestimmungen, die an oder nach dem Datum des Inkrafttretens dieser DVV in Kraft treten, und das gleiche Maß an Datenschutz bieten, wie es der CPRA verlangt. Groß geschriebene englische Begriffe, die in Abschnitt 18 verwendet, jedoch nicht definiert werden, haben dieselbe Bedeutung wie im CPRA. Für die Zwecke des CPRA stimmen die Parteien zu, dass Caseware bei der Erfüllung seiner Verpflichtungen ein „Dienstanbieter“ (Service Provider) ist, und dass der Kunde ein „Unternehmen“ (Business) ist, und dass die Übermittlung von personenbezogenen Daten (Personal Data) an Caseware nicht als „Verkauf“ (Sale) oder „Teilen“ (Sharing) verstanden wird. In dem vom CPRA geforderten Umfang wird Caseware (a) dem Kunden das Recht einräumen, angemessene und geeignete Maßnahmen zu ergreifen, um zu gewährleisten, dass Caseware personenbezogene Daten (Personal Data) auf eine Weise verwendet, die mit den Verpflichtungen des Kunden (Customer) entsprechend dem CPRA in Einklang steht; (b) den Kunden (Customer) benachrichtigen, wenn Caseware feststellt, dass Caseware seinen Verpflichtungen gemäß dem CPRA nicht mehr weiter nachkommen kann; und (c) dem Kunden (Customer) das Recht einräumen, nach angemessener Benachrichtigung angemessene und geeignete Maßnahmen zu ergreifen, um jede unbefugte Nutzung personenbezogener Daten (Personal Data) zu unterbinden und zu beheben. In dem vom CPRA geforderten Umfang informiert der Kunde (Customer) Caseware über jegliche Verbraucheranfragen, die gemäß dem CPRA gestellt werden und denen Caseware nachkommen muss, und stellt alle Informationen bereit, die benötigt werden, damit Caseware solchen Anfragen nachkommen kann.

Caseware verarbeitet (Process) personenbezogene Daten (Personal Data) nur im Rahmen der „Geschäftszwecke“ (Business Purposes), die im MPSA und dieser DVV festgelegt sind, wie unter anderem (a) betriebliche Zwecke von Caseware; (b) die Bereitstellung der Dienste (Services) für den Kunden (Customer); (c) die Prüfung; (d) die Gewährleistung von Sicherheit und Integrität; (e) die Fehlersuche; (f) die kurzfristige, vorübergehende Verwendung; (g) die Bereitstellung von Werbe- und Marketingdienstleistungen, soweit diese in der Vereinbarung der Parteien (Parties) vorgesehen sind; und (h) die Durchführung interner Forschungen zur technologischen Entwicklung und Demonstration. Die Parteien vereinbaren, dass der Kunde (Customer) personenbezogene Daten (Personal Data) Caseware nur zu diesen eingeschränkten Zwecken bereitstellt.

Als Dienstanbieter (Service Provider) wird Caseware personenbezogene Daten (Personal Data) nicht:

  • verkaufen (Sell) oder teilen (Share);

  • zu Zwecken außer den Geschäftszwecken (Business Purposes), die im MPSA und dieser DVV definiert sind, speichern, verwenden oder offenlegen, einschließlich Speicherung, Verwendung oder Offenlegung personenbezogener Daten (Personal Data) zu kommerziellen Zwecken außer den Geschäftszwecken (Business Purposes), die im MPSA und dieser DVV definiert oder anderweitig durch das CPRA erlaubt sind;

  • außerhalb der direkten Geschäftsbeziehung zwischen Caseware und dem Kunden (Customer) speichern, verwenden oder offenlegen; oder

  • die personenbezogenen Daten (Personal Data), die Caseware vom oder im Auftrag des Kunden (Customer) erhält, mit persönlichen Daten, die Caseware von oder im Auftrag einer anderen Person oder anderen Personen erhält oder durch seine eigene Interaktion mit dem Verbraucher sammelt, kombiniert, es sei denn, dass Caseware personenbezogene Daten kombinieren darf, um Geschäftszwecke (Business Purpose) durchzuführen, gemäß der Definition in Absatz (10) des Unterabschnitts (a) von Cal. Civ. Code § 1798.185, außer wie festgehalten in Absatz (6) des Unterabschnitts (e) von Cal. Civ. Code § 1798.140 und in den von der California Privacy Protection Agency erlassenen Vorschriften.

19. Andere US-spezifische Datenschutzgesetze

Insoweit Caseware personenbezogene Daten (Personal Data) verarbeitet (Processes), die sich auf Personen beziehen, die „Verbraucher“ (Consumers) sind, gemäß jeweils dem Colorado Privacy Act, Colo. Rev. Stat. §§ 6-1-1301 ff. („CPA“), dem Connecticut Data Privacy Act, Public Act No. 22-15 („CTDPA“), dem Utah Consumer Privacy Act, Utah Code Ann. §§ 13-61-101 ff. („UCPA“), und dem Virginia Consumer Data Protection Act, Va. Code Ann. §§59.1- 575 ff. („VCDPA“) (zusammenfassend die „Verbraucherschutzgesetze“ (Consumer Privacy Laws) oder „CPL“), und zum Zeitpunkt des Inkrafttretens der CPL erfüllt Caseware die Anforderungen der CPL, einschließlich aller Änderungen und Durchführungsbestimmungen, die an oder nach dem Datum des Inkrafttretens dieser DVV in Kraft treten.

20. Haftung

Die Haftung der Parteien unterliegt den Haftungsbestimmungen des MPSA.

21. Laufzeit & Beendigung

Diese DVV tritt nach Zustimmung mit dem MPSA in Kraft und bleibt, je nachdem welcher Zeitraum länger ist, so lange wie Caseware personenbezogene Daten verarbeitet oder während der gesamten Laufzeit des MPSA gültig.

22. Sonstiges

Im Falle eines Konflikts zwischen dieser DVV oder jeder anderen Vereinbarung zwischen den Parteien und den Standardvertragsklauseln haben die Standardvertragsklauseln Vorrang. Im Falle eines Konflikts zwischen den Bestimmungen dieser DVV und jeder anderen Vereinbarung zwischen den Parteien hat diese DVV Vorrang. Sollten einzelne Bestimmungen dieser DVV ungültig sein oder werden, hat dies keinen Einfluss auf die Gültigkeit der übrigen Bedingungen dieser DVV. Unbeschadet der Klausel 17 (Anwendbares Recht) und der Klausel 18 (Gerichtsstand und Zuständigkeit) der Standardvertragsklauseln unterwerfen sich die Parteien der Zuständigkeit des Orts, der im MPSA festgelegt ist.

Anlage 1

Technische und organisatorische Maßnahmen („TOMs“)

Aktionsbeschreibung

Technische & organisatorische Maßnahmen

Pseudonymisierung

Caseware verwendet Werkzeuge zur selektiven Anonymisierung sensibler Daten. Darunter können auch personenbezogene Daten fallen. Die Pseudonymisierung wird nicht notwendigerweise auf alle Elemente personenbezogener Daten angewendet, da nicht alle personenbezogenen Daten als solche von Caseware identifiziert werden können.

Verschlüsselung

Eine Verschlüsselung wird auf inaktive Daten angewendet und von Amazon Web Services Inc. („AWS”), einem anerkannten Unterauftragsverarbeiter (siehe Anlage 2), bereitgestellt. Es sind digitale Zertifikate zur Verwaltung der verschlüsselten Kommunikation mit den Amazon-Webservern vorhanden.

Vertraulichkeit

Alle Caseware Mitarbeiter müssen bei Eintritt in das Unternehmen eine Vertraulichkeitsvereinbarung unterschreiben und den Unternehmensrichtlinien und -abläufen zustimmen.

Es ist eine Richtlinie zur Reaktion auf und zum Vorgehen bei Informationssicherheitsvorfälle(n) vorhanden, die tatsächliche und potentielle Datenschutzverletzungen behandelt.

Integrität

Die Dienste bieten den Auftraggebern Verwaltungsfunktionen, mit denen sie innerhalb ihrer Firma steuern können, wer Zugriff auf Dateien hat. Caseware verfügt nicht über diese Rechte.

Caseware ist nach ISO 27001 und SOC 2, Typ 2, zertifiziert und es sind Kontrollen eingerichtet, um sicherzustellen, dass nur die mit der Ausführung administrativer Tätigkeiten betrauten Personen über die erforderlichen Zugriffsberechtigungen verfügen. Es bestehen eine Zugriffskontrollrichtlinie und Verfahren zur Überprüfung von Zugriffskontrolllisten.

Potentielle Risiken und die Minimierung potentieller Risiken werden einer regelmäßigen Überprüfung unterzogen.

Verfügbarkeit

Kontrollen erfolgen durch eine externe Systemprüfung sowie intern mit Lösungen zur Überwachung des Kapazitätsmanagements.

Qualitätssicherungsprozesse sind vorhanden und unterliegen einer regelmäßigen Überprüfung, um das Risiko potentieller Ausfallzeiten zu minimieren.

Belastbarkeit von Verarbeitungssystemen

Die Dienste werden auf der Plattform AWS gehostet. Die Dienste sind nach ISO 27001 und SOC 2, Typ 2, im Hinblick auf Sicherheit, Vertraulichkeit, Integrität, Datenschutz und Verfügbarkeit zertifiziert.

Wiederherstellung

Es sind eine Backup-Richtlinie und Prozesse inklusive täglicher automatisierter Backup-Berichte vorhanden, um sicherzustellen, dass eine Wiederherstellung möglich ist. Die Berichte werden von einem operativen Team überwacht.

Überprüfung

Es finden regelmäßige Prüfungen zum Zwecke der Konformität mit ISO 27001 und SOC 2, Typ 2, statt. Zusätzlich nimmt das Unternehmen gelegentlich die Dienstleistungen eines Drittanbieters in Anspruch, um Penetrationstests durchzuführen.

Zertifizierung(en)

ISO 27001 und SOC 2, Typ 2.

Anlage 2

Unterauftragsverarbeiter von Caseware

Unterauftragsverarbeiter

Verarbeitungszweck

Amazon Web Services Inc.

440 Terry Ave N.

Seattle, WA 98108-1226, USA

Die Daten der Dienste und Abonnentendaten werden mit lizenzierter Software von Caseware auf der Infrastruktur von Amazon Web Services Inc. verarbeitet.

Amplitude

201 3rd Street, Suite 200

San Francisco, CA 94103, USA

Ein Produktanalysetool, das es den Produktmanagementteams von Caseware erlaubt, das Benutzerverhalten besser zu verstehen. Benutzeraktionen auf allen Caseware Plattformen werden als „Events“ zusammen mit den Benutzereigenschaften der Person, die das Event ausgeführt hat, an Amplitude übermittelt. Daten mit geringer Sensibilität, der Name der Wirtschaftsprüfungsgesellschaft und die IP-Adresse werden als Benutzereigenschaften erfasst.

Google Analytics - Google Inc.

1600 Amphitheatre Pkwy.

Mountain View, CA 94043, USA

Ein Webanalysedienst, der von Google angeboten wird und den Zugang zu Webseiten verfolgt, darüber berichtet und dabei helfen kann, Trends und Muster bei der Interaktion mit der Caseware Webseite zu erkennen.

Google Workspace - Google Inc.

1600 Amphitheatre Pkwy.

Mountain View, CA 94043, USA

Eine Sammlung von Cloud Computing-, Produktivitäts- und Kooperationstools, -software und -produkten, die die Zusammenarbeit in Echtzeit zwischen Caseware Teams, unter anderem für die Erstellung, Sammlung und Speicherung von Dokumenten, ermöglicht.

HubSpot

25 First Street, 2nd Floor

Cambridge, MA 02141, USA

Eine Plattform zum Kundenbeziehungsmanagement (Customer Relationship Management, CRM) und zur Automatisierung von Marketingprozessen (Marketing Automation Platform, MAP) für Caseware und seine Kunden, potentiellen Kunden und Partner, die von den Sales- und Marketingteams von Caseware eingesetzt wird, um mit Kunden zu kommunizieren.

Microsoft Dynamics GP

Redmond, WA, USA

Eine cloudbasierte Unternehmensplattform für die Ressourcenplanung in Unternehmen (Enterprise Resource Planning, ERP), die im Backoffice von Caseware für die Rechnungsstellung und Finanzbuchhaltung, das Bestands- und Lieferkettenmanagement eingesetzt wird. Die Sammlung, Speicherung und Verarbeitung von Daten dient der Erfüllung von Unternehmensdienstleistungen im Rahmen der Vertragserfüllung.

NetSuite

2300 Oracle Way

Austin, TX 78741, USA

Eine cloudbasierte Unternehmensplattform für die Ressourcenplanung in Unternehmen (Enterprise Resource Planning, ERP), die im Backoffice von Caseware für die Rechnungsstellung und Finanzbuchhaltung, das Bestands- und Lieferkettenmanagement eingesetzt wird. Die Sammlung, Speicherung und Verarbeitung von Daten dient der Erfüllung von Unternehmensdienstleistungen im Rahmen der Vertragserfüllung.

New Relic

188 Spear St #1000

San Francisco, CA 94105, USA

Eine Plattform zur Überwachung von Protokollen. Technische Service-Protokolle und Caseware Anwendungsprotokolle werden an New Relic zur Durchsuchung, Analyse und zur Systemüberwachung übermittelt. Felder mit sensiblen Daten, wie Benutzernamen und E-Mail-Adressen, werden verborgen, wohingegen einige weniger sensible Daten, wie die IP-Adresse und der Host, direkt erfasst werden.

Pendo.io Inc.

418 South Dawson Street

Raleigh, NC 27601, USA

Ein Produktanalysetool, das es den Produktmanagementteams von Caseware erlaubt, das Benutzerverhalten besser zu verstehen. Benutzeraktionen auf den Caseware Plattformen werden an Pendo als „Events“ übermittelt, zusammen mit Benutzereigenschaften der Person, die das Event ausgeführt hat. Daten mit geringer Sensibilität, der Name der Wirtschaftsprüfungsgesellschaft und die IP-Adresse werden als Benutzereigenschaften erfasst.

Salesforce

Salesforce Tower

415 Mission Street, 3rd Floor

San Francisco, CA 94105, USA

Eine Plattform zum Kundenbeziehungsmanagement (Customer Relationship Management, CRM) für Caseware und seine Kunden und Partner. Sie wird für das Management von Marketingmaßnahmen, Leads und Kommunikationskampagnen verwendet.

To The New (TTN)

2nd Floor, Wing - A, 2nd

and 3rd Floor, Wing - B, Building No. 1, IT/ITES SEZ of M/s Golden Tower Infratech Private Limited Plot No.

Pradesh 201301, Indien

TTN überwacht die Dienste und bietet rund um die Uhr Unterstützung bei der Koordinierung von Zwischenfällen, um die kontinuierliche Systemverfügbarkeit für unsere Kunden zu gewährleisten. TTN eskaliert Ausfälle an das interne Incident Response Team von Caseware, das dann den Lebenszyklus des Vorfalls verwaltet: Untersuchung, Behebung und Aktivitäten nach dem Vorfall.

Anlage 3

STANDARDVERTRAGSKLAUSELN

ABSCHNITT I

Klausel 1

Zweck und Anwendungsbereich

  1. Mit diesen Standardvertragsklauseln soll sichergestellt werden, dass die Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz- Grundverordnung) bei der Übermittlung personenbezogener Daten an ein Drittland eingehalten werden.

  2. Die Parteien:

    1. die in Anhang I.A aufgeführte(n) natürliche(n) oder juristische(n) Person(en), Behörde(n), Agentur(en) oder sonstige(n) Stelle(n) (im Folgenden „Einrichtung(en)“), die die personenbezogenen Daten übermittelt/n (im Folgenden jeweils „Datenexporteur“), und

    2. die in Anhang I.A aufgeführte(n) Einrichtung(en) in einem Drittland, die die personenbezogenen Daten direkt oder indirekt über eine andere Einrichtung, die ebenfalls Partei dieser Klauseln ist, erhält/erhalten (im Folgenden jeweils „Datenimporteur“),

    haben sich mit diesen Standardvertragsklauseln (im Folgenden „Klauseln“) einverstanden erklärt.

  3. Diese Klauseln gelten für die Übermittlung personenbezogener Daten gemäß Anhang I.B.

  4. Die Anlage zu diesen Klauseln mit den darin enthaltenen Anhängen ist Bestandteil dieser Klauseln.

Klausel 2

Wirkung und Unabänderbarkeit der Klauseln

  1. Diese Klauseln enthalten geeignete Garantien, einschließlich durchsetzbarer Rechte betroffener Personen und wirksamer Rechtsbehelfe gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 sowie — in Bezug auf Datenübermittlungen von Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter — Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679, sofern diese nicht geändert werden, mit Ausnahme der Auswahl des entsprechenden Moduls oder der entsprechenden Module oder der Ergänzung oder Aktualisierung von Informationen in der Anlage. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und/oder weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu diesen Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.

  2. Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Datenexporteur gemäß der Verordnung (EU) 2016/679 unterliegt.

Klausel 3

Drittbegünstigte

  1. Betroffene Personen können diese Klauseln als Drittbegünstigte gegenüber dem Datenexporteur und/oder dem Datenimporteur geltend machen und durchsetzen, mit folgenden Ausnahmen:

    1. Klausel 1, Klausel 2, Klausel 3, Klausel 6, Klausel 7;

    2. Klausel 8 - Modul eins: Klausel 8.5 Buchstabe e und Klausel 8.9 Buchstabe b; Modul zwei: Klausel 8.9 Buchstaben a, c, d und e; Modul drei: Klausel 8.1 Buchstaben a, c und d und Klausel 8.9 Buchstaben a, c, d, e, f und g; Modul vier: Klausel 8.1 Buchstabe b und Klausel 8.3 Buchstabe b;

    3. Klausel 9 - Modul zwei: Klausel 9 Buchstaben a, c, d und e; Modul drei: Klausel 9 Buchstaben a, c, d und e;

    4. Klausel 12 - Modul eins: Klausel 12 Buchstaben a und d; Module zwei und drei: Klausel 12 Buchstaben a, d und f;

    5. Klausel 13;

    6. Klausel 15.1 Buchstaben c, d und e;

    7. Klausel 16 Buchstabe e;

    8. Klausel 18 - Module eins, zwei und drei: Klausel 18 Buchstaben a und b; Modul vier: Klausel 18.

  2. Die Rechte betroffener Personen gemäß der Verordnung (EU) 2016/679 bleiben von Buchstabe a unberührt.

Klausel 4

Auslegung

  1. Werden in diesen Klauseln in der Verordnung (EU) 2016/679 definierte Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in dieser Verordnung.

  2. Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 auszulegen.

  3. Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die mit den in der Verordnung (EU) 2016/679 vorgesehenen Rechten und Pflichten im Widerspruch steht.

Klausel 5

Hierarchie

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen von damit zusammenhängenden Vereinbarungen zwischen den Parteien, die zu dem Zeitpunkt bestehen, zu dem diese Klauseln vereinbart oder eingegangen werden, haben diese Klauseln Vorrang.

Klausel 6

Beschreibung der Datenübermittlung(en)

Die Einzelheiten der Datenübermittlung(en), insbesondere die Kategorien der übermittelten personenbezogenen Daten und der/die Zweck(e), zu dem/denen sie übermittelt werden, sind in Anhang I.B aufgeführt.

Klausel 7

Kopplungsklausel

  1. Eine Einrichtung, die nicht Partei dieser Klauseln ist, kann diesen Klauseln mit Zustimmung der Parteien jederzeit entweder als Datenexporteur oder als Datenimporteur beitreten, indem sie die Anlage ausfüllt und Anhang I.A unterzeichnet.

  2. Nach Ausfüllen der Anlage und Unterzeichnung von Anhang I.A wird die beitretende Einrichtung Partei dieser Klauseln und hat die Rechte und Pflichten eines Datenexporteurs oder eines Datenimporteurs entsprechend ihrer Bezeichnung in Anhang I.A.

  3. Für den Zeitraum vor ihrem Beitritt als Partei erwachsen der beitretenden Einrichtung keine Rechte oder Pflichten aus diesen Klauseln.

ABSCHNITT II – PFLICHTEN DER PARTEIEN

Klausel 8

Datenschutzgarantien

Der Datenexporteur versichert, sich im Rahmen des Zumutbaren davon überzeugt zu haben, dass der Datenimporteur — durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen — in der Lage ist, seinen Pflichten aus diesen Klauseln nachzukommen.

8.1 Weisungen

  1. Der Datenimporteur verarbeitet die personenbezogenen Daten nur auf dokumentierte Weisung des Datenexporteurs. Der Datenexporteur kann solche Weisungen während der gesamten Vertragslaufzeit erteilen.

  2. Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er diese Weisungen nicht befolgen kann.

8.2 Zweckbindung

Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den/die in Anhang I.B genannten spezifischen Zweck(e), sofern keine weiteren Weisungen des Datenexporteurs bestehen.

8.3 Transparenz

Auf Anfrage stellt der Datenexporteur der betroffenen Person eine Kopie dieser Klauseln, einschließlich der von den Parteien ausgefüllten Anlage, unentgeltlich zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich der in Anhang II beschriebenen Maßnahmen und personenbezogener Daten, notwendig ist, kann der Datenexporteur Teile des Textes der Anlage zu diesen Klauseln vor der Weitergabe einer Kopie unkenntlich machen; er legt jedoch eine aussagekräftige Zusammenfassung vor, wenn die betroffene Person andernfalls den Inhalt der Anlage nicht verstehen würde oder ihre Rechte nicht ausüben könnte. Auf Anfrage teilen die Parteien der betroffenen Person die Gründe für die Schwärzungen so weit wie möglich mit, ohne die geschwärzten Informationen offenzulegen. Diese Klausel gilt unbeschadet der Pflichten des Datenexporteurs gemäß den Artikeln 13 und 14 der Verordnung (EU) 2016/679.

8.4 Richtigkeit

Stellt der Datenimporteur fest, dass die erhaltenen personenbezogenen Daten unrichtig oder veraltet sind, unterrichtet er unverzüglich den Datenexporteur. In diesem Fall arbeitet der Datenimporteur mit dem Datenexporteur zusammen, um die Daten zu löschen oder zu berichtigen.

8.5 Dauer der Verarbeitung und Löschung oder Rückgabe der Daten

Die Daten werden vom Datenimporteur nur für die in Anhang I.B angegebene Dauer verarbeitet. Nach Wahl des Datenexporteurs löscht der Datenimporteur nach Beendigung der Erbringung der Datenverarbeitungsdienste alle im Auftrag des Datenexporteurs verarbeiteten personenbezogenen Daten und bescheinigt dem Datenexporteur, dass dies erfolgt ist, oder gibt dem Datenexporteur alle in seinem Auftrag verarbeiteten personenbezogenen Daten zurück und löscht bestehende Kopien. Bis zur Löschung oder Rückgabe der Daten stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Falls für den Datenimporteur lokale Rechtsvorschriften gelten, die ihm die Rückgabe oder Löschung der personenbezogenen Daten untersagen, sichert der Datenimporteur zu, dass er die Einhaltung dieser Klauseln auch weiterhin gewährleistet und diese Daten nur in dem Umfang und so lange verarbeitet, wie dies gemäß den betreffenden lokalen Rechtsvorschriften erforderlich ist. Dies gilt unbeschadet der Klausel 14, insbesondere der Pflicht des Datenimporteurs gemäß Klausel 14 Buchstabe e, den Datenexporteur während der Vertragslaufzeit zu benachrichtigen, wenn er Grund zu der Annahme hat, dass für ihn Rechtsvorschriften oder Gepflogenheiten gelten oder gelten werden, die nicht mit den Anforderungen in Klausel 14 Buchstabe a im Einklang stehen.

8.6 Sicherheit der Verarbeitung

  1. Der Datenimporteur und, während der Datenübermittlung, auch der Datenexporteur treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu diesen Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen die Parteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und dem/den Zweck(en) der Verarbeitung sowie den mit der Verarbeitung verbundenen Risiken für die betroffenen Personen gebührend Rechnung. Die Parteien ziehen insbesondere eine Verschlüsselung oder Pseudonymisierung, auch während der Datenübermittlung, in Betracht, wenn dadurch der Verarbeitungszweck erfüllt werden kann. Im Falle einer Pseudonymisierung verbleiben die zusätzlichen Informationen, mit denen die personenbezogenen Daten einer speziellen betroffenen Person zugeordnet werden können, soweit möglich, unter der ausschließlichen Kontrolle des Datenexporteurs. Zur Erfüllung seinen Pflichten gemäß diesem Absatz setzt der Datenimporteur mindestens die in Anhang II aufgeführten technischen und organisatorischen Maßnahmen um. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Schutzniveau bieten.

  2. Der Datenimporteur gewährt seinem Personal nur insoweit Zugang zu den personenbezogenen Daten, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Er gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

  3. Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Datenimporteur gemäß diesen Klauseln ergreift der Datenimporteur geeignete Maßnahmen zur Behebung der Verletzung, darunter auch Maßnahmen zur Abmilderung ihrer nachteiligen Auswirkungen. Zudem meldet der Datenimporteur dem Datenexporteur die Verletzung unverzüglich, nachdem sie ihm bekannt wurde. Diese Meldung enthält die Kontaktdaten einer Anlaufstelle für weitere Informationen, eine Beschreibung der Art der Verletzung (soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen personenbezogenen Datensätze), die wahrscheinlichen Folgen der Verletzung und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung etwaiger nachteiliger Auswirkungen. Wenn und soweit nicht alle Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt.

  4. Unter Berücksichtigung der Art der Verarbeitung und der dem Datenimporteur zur Verfügung stehenden Informationen arbeitet der Datenimporteur mit dem Datenexporteur zusammen und unterstützt ihn dabei, seinen Pflichten gemäß der Verordnung (EU) 2016/679 nachzukommen, insbesondere die zuständige Aufsichtsbehörde und die betroffenen Personen zu benachrichtigen.

8.7 Sensible Daten

Soweit die Übermittlung personenbezogene Daten umfasst, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten“), wendet der Datenimporteur die in Anhang I.B beschriebenen speziellen Beschränkungen und/oder zusätzlichen Garantien an.

8.8 Weiterübermittlungen

Der Datenimporteur gibt die personenbezogenen Daten nur auf dokumentierte Weisung des Datenexporteurs an Dritte weiter. Die Daten dürfen zudem nur an Dritte weitergegeben werden, die (in demselben Land wie der Datenimporteur oder in einem anderen Drittland) außerhalb der Europäischen Union ansässig sind (im Folgenden „Weiterübermittlung“), sofern der Dritte im Rahmen des betreffenden Moduls an diese Klauseln gebunden ist oder sich mit der Bindung daran einverstanden erklärt oder falls

  1. die Weiterübermittlung an ein Land erfolgt, für das ein Angemessenheitsbeschluss nach Artikel 45 der Verordnung (EU) 2016/679 gilt, der die Weiterübermittlung abdeckt,
  2. der Dritte auf andere Weise geeignete Garantien gemäß Artikel 46 oder Artikel 47 der Verordnung (EU) 2016/679 im Hinblick auf die betreffende Verarbeitung gewährleistet,
  3. die Weiterübermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit bestimmten Verwaltungs-, Gerichts- oder regulatorischen Verfahren erforderlich ist oder
  4. die Weiterübermittlung erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.

Jede Weiterübermittlung erfolgt unter der Bedingung, dass der Datenimporteur alle anderen Garantien gemäß diesen Klauseln, insbesondere die Zweckbindung, einhält.

8.9 Dokumentation und Einhaltung der Klauseln

  1. Der Datenimporteur bearbeitet Anfragen des Datenexporteurs, die sich auf die Verarbeitung gemäß diesen Klauseln beziehen, umgehend und in angemessener Weise.

  2. Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können. Insbesondere führt der Datenimporteur geeignete Aufzeichnungen über die im Auftrag des Datenexporteurs durchgeführten Verarbeitungstätigkeiten.

  3. Der Datenimporteur stellt dem Datenexporteur alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in diesen Klauseln festgelegten Pflichten nachzuweisen; auf Verlangen des Datenexporteurs ermöglicht er diesem, die unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung zu prüfen, und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Datenexporteur einschlägige Zertifizierungen des Datenimporteurs berücksichtigen.

  4. Der Datenexporteur kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Datenimporteurs umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.

  5. Die Parteien stellen der zuständigen Aufsichtsbehörde die unter den Buchstaben b und c genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.

Klausel 9

Einsatz von Unterauftragsverarbeitern

  1. Der Datenimporteur besitzt die allgemeine Genehmigung des Datenexporteurs für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Der Datenimporteur unterrichtet den Datenexporteur mindestens jährlich ausdrücklich in schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern. Der Datenimporteur stellt dem Datenexporteur die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann.

  2. Beauftragt der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Datenexporteurs), so muss diese Beauftragung im Wege eines schriftlichen Vertrags erfolgen, der im Wesentlichen dieselben Datenschutzpflichten vorsieht wie diejenigen, die den Datenimporteur gemäß diesen Klauseln binden, einschließlich im Hinblick auf Rechte als Drittbegünstigte für betroffene Personen. Die Parteien erklären sich damit einverstanden, dass der Datenimporteur durch Einhaltung der vorliegenden Klausel seinen Pflichten gemäß Klausel 8.8 nachkommt. Der Datenimporteur stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Datenimporteur gemäß diesen Klauseln unterliegt.

  3. Der Datenimporteur stellt dem Datenexporteur auf dessen Verlangen eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, notwendig ist, kann der Datenimporteur den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.

  4. Der Datenimporteur haftet gegenüber dem Datenexporteur in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Datenimporteur geschlossenen Vertrag nachkommt. Der Datenimporteur benachrichtigt den Datenexporteur, wenn der Unterauftragsverarbeiter seinen Pflichten gemäß diesem Vertrag nicht nachkommt.

  5. Der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Datenexporteur — sollte der Datenimporteur faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sein — das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

Klausel 10

Anträge betroffener Personen

  1. Der Datenimporteur unterrichtet den Datenexporteur unverzüglich über jeden Antrag, den er von einer betroffenen Person erhalten hat. Er beantwortet diesen Antrag nicht selbst, es sei denn, er wurde vom Datenexporteur dazu ermächtigt.
  2. Der Datenimporteur unterstützt den Datenexporteur bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679 zu beantworten. Zu diesem Zweck legen die Parteien in Anhang II unter Berücksichtigung der Art der Verarbeitung die geeigneten technischen und organisatorischen Maßnahmen, durch die Unterstützung geleistet wird, sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest.
  3. Bei der Erfüllung seiner Pflichten gemäß den Buchstaben a und b befolgt der Datenimporteur die Weisungen des Datenexporteurs.

Klausel 11

Rechtsbehelf

  1. Der Datenimporteur informiert die betroffenen Personen in transparenter und leicht zugänglicher Form mittels individueller Benachrichtigung oder auf seiner Website über eine Anlaufstelle, die befugt ist, Beschwerden zu bearbeiten. Er bearbeitet umgehend alle Beschwerden, die er von einer betroffenen Person erhält.

    Der Datenimporteur erklärt sich damit einverstanden, dass betroffene Personen eine Beschwerde auch bei einer unabhängigen Streitbeilegungsstelle einreichen können, ohne dass für die betroffene Person Kosten entstehen. Er unterrichtet die betroffenen Personen in der unter Buchstabe a beschriebenen Weise über einen solchen Rechtsbehelfsmechanismus sowie darüber, dass sie nicht verpflichtet sind, davon Gebrauch zu machen oder bei der Einlegung eines Rechtsbehelfs eine bestimmte Reihenfolge einzuhalten.

  2. Im Falle einer Streitigkeit zwischen einer betroffenen Person und einer der Parteien bezüglich der Einhaltung dieser Klauseln bemüht sich die betreffende Partei nach besten Kräften um eine zügige gütliche Beilegung. Die Parteien halten einander über derartige Streitigkeiten auf dem Laufenden und bemühen sich gegebenenfalls gemeinsam um deren Beilegung.

  3. Macht die betroffene Person ein Recht als Drittbegünstigte gemäß Klausel 3 geltend, erkennt der Datenimporteur die Entscheidung der betroffenen Person an,

    1. eine Beschwerde bei der Aufsichtsbehörde des Mitgliedstaats ihres gewöhnlichen Aufenthaltsorts oder ihres Arbeitsorts oder bei der zuständigen Aufsichtsbehörde gemäß Klausel 13 einzureichen,

    2. den Streitfall an die zuständigen Gerichte im Sinne der Klausel 18 zu verweisen.

  4. Die Parteien erkennen an, dass die betroffene Person von einer Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht gemäß Artikel 80 Absatz 1 der Verordnung (EU) 2016/679 vertreten werden kann.

  5. Der Datenimporteur unterwirft sich einem nach geltendem Unionsrecht oder dem geltenden Recht eines Mitgliedstaats verbindlichen Beschluss.

  6. Der Datenimporteur erklärt sich damit einverstanden, dass die Entscheidung der betroffenen Person nicht ihre materiellen Rechte oder Verfahrensrechte berührt, Rechtsbehelfe im Einklang mit geltenden Rechtsvorschriften einzulegen.

Klausel 12

Haftung

  1. Jede Partei haftet gegenüber der/den anderen Partei(en) für Schäden, die sie der/den anderen Partei(en) durch einen Verstoß gegen diese Klauseln verursacht.
  2. Jede Partei haftet gegenüber der betroffenen Person, und die betroffene Person hat Anspruch auf Schadenersatz für jeden materiellen oder immateriellen Schaden, den die Partei der betroffenen Person verursacht, indem sie deren Rechte als Drittbegünstigte gemäß diesen Klauseln verletzt. Dies gilt unbeschadet der Haftung des Datenexporteurs gemäß der Verordnung (EU) 2016/679.
  3. Ist mehr als eine Partei für Schäden verantwortlich, die der betroffenen Person infolge eines Verstoßes gegen diese Klauseln entstanden sind, so haften alle verantwortlichen Parteien gesamtschuldnerisch, und die betroffene Person ist berechtigt, gegen jede der Parteien gerichtlich vorzugehen.
  4. Die Parteien erklären sich damit einverstanden, dass eine Partei, die nach Buchstabe c haftbar gemacht wird, berechtigt ist, von der/den anderen Partei(en) den Teil des Schadenersatzes zurückzufordern, der deren Verantwortung für den Schaden entspricht.
  5. Der Datenimporteur kann sich nicht auf das Verhalten eines Auftragsverarbeiters oder Unterauftragsverarbeiters berufen, um sich seiner eigenen Haftung zu entziehen.

Klausel 13

Aufsicht

  1. Wenn der Datenexporteur in einem EU-Mitgliedstaat niedergelassen ist: Die Aufsichtsbehörde, die dafür verantwortlich ist, sicherzustellen, dass der Datenexporteur bei Datenübermittlungen die Verordnung (EU) 2016/679 einhält, fungiert als zuständige Aufsichtsbehörde (entsprechend der Angabe in Anhang I.C).

    Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen ist, aber nach Artikel 3 Absatz 2 der Verordnung (EU) 2016/679 in den räumlichen Anwendungsbereich dieser Verordnung fällt und einen Vertreter gemäß Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 benannt hat: Die Aufsichtsbehörde des Mitgliedstaats, in dem der Vertreter nach Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 niedergelassen ist, fungiert als zuständige Aufsichtsbehörde (entsprechend der Angabe in Anhang I.C).

    Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen ist, aber nach Artikel 3 Absatz 2 der Verordnung (EU) 2016/679 in den räumlichen Anwendungsbereich dieser Verordnung fällt, ohne jedoch einen Vertreter gemäß Artikel 27 Absatz 2 der Verordnung (EU) 2016/679 benennen zu müssen: Die Aufsichtsbehörde eines der Mitgliedstaaten, in denen die betroffenen Personen niedergelassen sind, deren personenbezogene Daten gemäß diesen Klauseln im Zusammenhang mit den ihnen angebotenen Waren oder Dienstleistungen übermittelt werden oder deren Verhalten beobachtet wird, fungiert als zuständige Aufsichtsbehörde (entsprechend der Angabe in Anhang I.C).

  2. Der Datenimporteur erklärt sich damit einverstanden, sich der Zuständigkeit der zuständigen Aufsichtsbehörde zu unterwerfen und bei allen Verfahren, mit denen die Einhaltung dieser Klauseln sichergestellt werden soll, mit ihr zusammenzuarbeiten. Insbesondere erklärt sich der Datenimporteur damit einverstanden, Anfragen zu beantworten, sich Prüfungen zu unterziehen und den von der Aufsichtsbehörde getroffenen Maßnahmen, darunter auch Abhilfemaßnahmen und Ausgleichsmaßnahmen, nachzukommen. Er bestätigt der Aufsichtsbehörde in schriftlicher Form, dass die erforderlichen Maßnahmen ergriffen wurden.

ABSCHNITT III – LOKALE RECHTSVORSCHRIFTEN UND PFLICHTEN IM FALLE DES ZUGANGS VON BEHÖRDEN ZU DEN DATEN

Klausel 14

Lokale Rechtsvorschriften und Gepflogenheiten, die sich auf die Einhaltung der Klauseln auswirken

  1. Die Parteien sichern zu, keinen Grund zu der Annahme zu haben, dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland, einschließlich Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die öffentlichen Behörden den Zugang zu diesen Daten gestatten, den Datenimporteur an der Erfüllung seiner Pflichten gemäß diesen Klauseln hindern. Dies basiert auf dem Verständnis, dass Rechtsvorschriften und Gepflogenheiten, die den Wesensgehalt der Grundrechte und Grundfreiheiten achten und nicht über Maßnahmen hinausgehen, die in einer demokratischen Gesellschaft notwendig und verhältnismäßig sind, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele sicherzustellen, nicht im Widerspruch zu diesen Klauseln stehen.

  2. Die Parteien erklären, dass sie hinsichtlich der Zusicherung in Buchstabe a insbesondere die folgenden Aspekte gebührend berücksichtigt haben:

    1. die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle, beabsichtigte Datenweiterleitungen, die Art des Empfängers, den Zweck der Verarbeitung, die Kategorien und das Format der übermittelten personenbezogenen Daten, den Wirtschaftszweig, in dem die Übertragung erfolgt, den Speicherort der übermittelten Daten,

    2. die angesichts der besonderen Umstände der Übermittlung relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes (einschließlich solcher, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang von Behörden zu diesen Daten gestatten) sowie die geltenden Beschränkungen und Garantien,

    3. alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß diesen Klauseln eingerichtet wurden, einschließlich Maßnahmen, die während der Übermittlung und bei der Verarbeitung personenbezogener Daten im Bestimmungsland angewandt werden.

  3. Der Datenimporteur versichert, dass er sich im Rahmen der Beurteilung nach Buchstabe b nach besten Kräften bemüht hat, dem Datenexporteur sachdienliche Informationen zur Verfügung zu stellen, und erklärt sich damit einverstanden, dass er mit dem Datenexporteur weiterhin zusammenarbeiten wird, um die Einhaltung dieser Klauseln zu gewährleisten.

  4. Die Parteien erklären sich damit einverstanden, die Beurteilung nach Buchstabe b zu dokumentieren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

  5. Der Datenimporteur erklärt sich damit einverstanden, während der Laufzeit des Vertrags den Datenexporteur unverzüglich zu benachrichtigen, wenn er nach Zustimmung zu diesen Klauseln Grund zu der Annahme hat, dass für ihn Rechtsvorschriften oder Gepflogenheiten gelten, die nicht mit den Anforderungen in Buchstabe a im Einklang stehen; hierunter fällt auch eine Änderung der Rechtsvorschriften des Drittlandes oder eine Maßnahme (z. B. ein Offenlegungsersuchen), die sich auf eine nicht mit den Anforderungen in Buchstabe a im Einklang stehende Anwendung dieser Rechtsvorschriften in der Praxis bezieht.

  6. Nach einer Benachrichtigung gemäß Buchstabe e oder wenn der Datenexporteur anderweitig Grund zu der Annahme hat, dass der Datenimporteur seinen Pflichten gemäß diesen Klauseln nicht mehr nachkommen kann, ermittelt der Datenexporteur unverzüglich geeignete Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit), die der Datenexporteur und/oder der Datenimporteur ergreifen müssen, um Abhilfe zu schaffen, [in Bezug auf Modul drei: gegebenenfalls in Absprache mit dem Verantwortlichen]. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Auffassung ist, dass keine geeigneten Garantien für eine derartige Übermittlung gewährleistet werden können, oder wenn er [in Bezug Modul drei: vom Verantwortlichen oder] von der dafür zuständigen Aufsichtsbehörde dazu angewiesen wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit es um die Verarbeitung personenbezogener Daten gemäß diesen Klauseln geht. Sind mehr als zwei Parteien an dem Vertrag beteiligt, so kann der Datenexporteur von diesem Kündigungsrecht nur gegenüber der verantwortlichen Partei Gebrauch machen, sofern die Parteien nichts anderes vereinbart haben. Wird der Vertrag gemäß dieser Klausel gekündigt, finden Klausel 16 Buchstaben d und e Anwendung.

Klausel 15

Pflichten des Datenimporteurs im Falle des Zugangs von Behörden zu den Daten

15.1 Benachrichtigung

  1. Der Datenimporteur erklärt sich damit einverstanden, den Datenexporteur und, soweit möglich, die betroffene Person (gegebenenfalls mit Unterstützung des Datenexporteurs) unverzüglich zu benachrichtigen,

    1. wenn er von einer Behörde, einschließlich Justizbehörden, ein nach den Rechtsvorschriften des Bestimmungslandes rechtlich bindendes Ersuchen um Offenlegung personenbezogener Daten erhält, die gemäß diesen Klauseln übermittelt werden (diese Benachrichtigung muss Informationen über die angeforderten personenbezogenen Daten, die ersuchende Behörde, die Rechtsgrundlage des Ersuchens und die mitgeteilte Antwort enthalten), oder

    2. wenn er Kenntnis davon erlangt, dass eine Behörde nach den Rechtsvorschriften des Bestimmungslandes direkten Zugang zu personenbezogenen Daten hat, die gemäß diesen Klauseln übermittelt wurden; diese Benachrichtigung muss alle dem Datenimporteur verfügbaren Informationen enthalten.

  2. Ist es dem Datenimporteur gemäß den Rechtsvorschriften des Bestimmungslandes untersagt, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, so erklärt sich der Datenimporteur einverstanden, sich nach besten Kräften um eine Aufhebung des Verbots zu bemühen, damit möglichst viele Informationen so schnell wie möglich mitgeteilt werden können. Der Datenimporteur verpflichtet sich, seine Anstrengungen zu dokumentieren, um diese auf Verlangen des Datenexporteurs nachweisen zu können.

  3. Soweit dies nach den Rechtsvorschriften des Bestimmungslandes zulässig ist, erklärt sich der Datenimporteur bereit, dem Datenexporteur während der Vertragslaufzeit in regelmäßigen Abständen möglichst viele sachdienliche Informationen über die eingegangenen Ersuchen zur Verfügung zu stellen (insbesondere Anzahl der Ersuchen, Art der angeforderten Daten, ersuchende Behörde(n), ob Ersuchen angefochten wurden und das Ergebnis solcher Anfechtungen usw.).

  4. Der Datenimporteur erklärt sich damit einverstanden, die Informationen gemäß den Buchstaben a bis c während der Vertragslaufzeit aufzubewahren und der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

  5. Die Buchstaben a bis c gelten unbeschadet der Pflicht des Datenimporteurs gemäß Klausel 14 Buchstabe e und Klausel 16, den Datenexporteur unverzüglich zu informieren, wenn er diese Klauseln nicht einhalten kann.

15.2 Überprüfung der Rechtmäßigkeit und Datenminimierung.

  1. Der Datenimporteur erklärt sich damit einverstanden, die Rechtmäßigkeit des Offenlegungsersuchens zu überprüfen, insbesondere ob das Ersuchen im Rahmen der Befugnisse liegt, die der ersuchenden Behörde übertragen wurden, und das Ersuchen anzufechten, wenn er nach sorgfältiger Beurteilung zu dem Schluss kommt, dass hinreichende Gründe zu der Annahme bestehen, dass das Ersuchen nach den Rechtsvorschriften des Bestimmungslandes, gemäß geltenden völkerrechtlichen Verpflichtungen und nach den Grundsätzen der Völkercourtoisie rechtswidrig ist. Unter den genannten Bedingungen sind vom Datenimporteur mögliche Rechtsmittel einzulegen. Bei der Anfechtung eines Ersuchens erwirkt der Datenimporteur einstweilige Maßnahmen, um die Wirkung des Ersuchens auszusetzen, bis die zuständige Justizbehörde über dessen Begründetheit entschieden hat. Er legt die angeforderten personenbezogenen Daten erst offen, wenn dies nach den geltenden Verfahrensregeln erforderlich ist. Diese Anforderungen gelten unbeschadet der Pflichten des Datenimporteurs gemäß Klausel 14 Buchstabe e.
  2. Der Datenimporteur erklärt sich damit einverstanden, seine rechtliche Beurteilung und eine etwaige Anfechtung des Offenlegungsersuchens zu dokumentieren und diese Unterlagen dem Datenexporteur zur Verfügung zu stellen, soweit dies nach den Rechtsvorschriften des Bestimmungslandes zulässig ist. Auf Anfrage stellt er diese Unterlagen auch der zuständigen Aufsichtsbehörde zur Verfügung. [In Bezug auf Modul drei: Der Datenexporteur stellt die Beurteilung dem Verantwortlichen zur Verfügung.]
  3. Der Datenimporteur erklärt sich damit einverstanden, bei der Beantwortung eines Offenlegungsersuchens auf der Grundlage einer vernünftigen Auslegung des Ersuchens die zulässige Mindestmenge an Informationen bereitzustellen.

ABSCHNITT IV — SCHLUSSBESTIMMUNGEN

Klausel 16

Verstöße gegen die Klauseln und Beendigung des Vertrags

  1. Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Klauseln einzuhalten.

  2. Verstößt der Datenimporteur gegen diese Klauseln oder kann er diese Klauseln nicht einhalten, setzt der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aus, bis der Verstoß beseitigt oder der Vertrag beendet ist. Dies gilt unbeschadet von Klausel 14 Buchstabe f.

  3. Der Datenexporteur ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn

    1. der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Buchstabe b ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb einer einmonatigen Aussetzung, wiederhergestellt wurde,

    2. der Datenimporteur in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstößt oder

    3. der Datenimporteur einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer zuständigen Aufsichtsbehörde, die seine Pflichten gemäß diesen Klauseln zum Gegenstand hat, nicht nachkommt.

    In diesen Fällen unterrichtet der Datenexporteur die zuständige Aufsichtsbehörde über derartige Verstöße. Sind mehr als zwei Parteien an dem Vertrag beteiligt, so kann der Datenexporteur von diesem Kündigungsrecht nur gegenüber der verantwortlichen Partei Gebrauch machen, sofern die Parteien nichts anderes vereinbart haben.

  4. Personenbezogene Daten, die vor Beendigung des Vertrags gemäß Buchstabe c übermittelt wurden, müssen nach Wahl des Datenexporteurs unverzüglich an diesen zurückgegeben oder vollständig gelöscht werden. Dies gilt gleichermaßen für alle Kopien der Daten. Der Datenimporteur bescheinigt dem Datenexporteur die Löschung. Bis zur Löschung oder Rückgabe der Daten stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Falls für den Datenimporteur lokale Rechtsvorschriften gelten, die ihm die Rückgabe oder Löschung der übermittelten personenbezogenen Daten untersagen, sichert der Datenimporteur zu, dass er die Einhaltung dieser Klauseln auch weiterhin gewährleistet und diese Daten nur in dem Umfang und so lange verarbeitet, wie dies gemäß den betreffenden lokalen Rechtsvorschriften erforderlich ist.

  5. Jede Partei kann ihre Zustimmung widerrufen, durch diese Klauseln gebunden zu sein, wenn i) die Europäische Kommission einen Beschluss nach Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 erlässt, der sich auf die Übermittlung personenbezogener Daten bezieht, für die diese Klauseln gelten, oder ii) die Verordnung (EU) 2016/679 Teil des Rechtsrahmens des Landes wird, an das die personenbezogenen Daten übermittelt werden. Dies gilt unbeschadet anderer Verpflichtungen, die für die betreffende Verarbeitung gemäß der Verordnung (EU) 2016/679 gelten.

Klausel 17

Anwendbares Recht

Diese Klauseln unterliegen dem Recht des EU-Mitgliedstaats, in dem der Datenexporteur niedergelassen ist. Wenn dieses Recht keine Rechte als Drittbegünstigte zulässt, unterliegen diese Klauseln dem Recht eines anderen EU-Mitgliedstaats, das Rechte als Drittbegünstigte zulässt. Die Parteien vereinbaren, dass dies das Recht von Irland ist.

Klausel 18

Gerichtsstand und Zuständigkeit

  1. Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten eines EU-Mitgliedstaats beigelegt.

  2. Die Vertragsparteien vereinbaren, dass dies die Gerichte Irlands sein sollen.

  3. Eine betroffene Person kann Klage gegen den Datenexporteur und/oder den Datenimporteur auch vor den Gerichten des Mitgliedstaats erheben, in dem sie ihren gewöhnlichen Aufenthaltsort hat.

  4. Die Parteien erklären sich damit einverstanden, sich der Zuständigkeit dieser Gerichte zu unterwerfen.

ANHANG I

Die definierten Begriffe, die in diesem Anhang 1 verwendet werden, haben die in der Rahmenvereinbarung für Produkte und Dienstleistungen (MPSA) zwischen Caseware und dem Kunden und/oder der Datenverarbeitungsvereinbarung (DVV) für sie festgelegte Bedeutung.

A. LISTE DER PARTEIEN

Datenexporteur(e):

Name: Datenexporteur ist die juristische Person, die in der DVV als „Caseware“ angegeben ist

Adresse: Siehe DVV

Name, Funktion und Kontaktdaten der Kontaktperson: Siehe DVV

Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind Siehe DVV

Rolle (Verantwortlicher/Auftragsverarbeiter): Auftragsverarbeiter

Datenimporteur(e):

Name: Datenimporteur ist die juristische Person, die in der DVV als „Kunde“ angegeben ist.

Adresse: Siehe DVV

Name, Funktion und Kontaktdaten der Kontaktperson: Siehe DVV

Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind Siehe DVV

Rolle (Verantwortlicher/Auftragsverarbeiter): Verantwortlicher

B. BESCHREIBUNG DER DATENÜBERMITTLUNG

Kategorien betroffener Personen, deren personenbezogene Daten übermittelt werden:

  • Siehe DVV, in der die Kategorien von personenbezogenen Daten, die übermittelt werden, beschrieben werden:

  • Siehe DVV, in der die Kategorien von Daten beschrieben werden.

Übermittelte sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Garantien, die der Art der Daten und den verbundenen Risiken in vollem Umfang Rechnung tragen, z. B. strenge Zweckbindung, Zugangsbeschränkungen (einschließlich des Zugangs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnungen über den Zugang zu den Daten, Beschränkungen für Weiterübermittlungen oder zusätzliche Sicherheitsmaßnahmen.

  • Die Parteien erwarten keine Übermittlung von Daten besonderer Datenkategorien.

Häufigkeit der Übermittlung (z. B. ob die Daten einmalig oder kontinuierlich übermittelt werden).

  • Siehe DVV

Art der Verarbeitung

  • Siehe DVV

Zweck(e) der Datenübermittlung und Weiterverarbeitung

  • Siehe DVV

Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer

  • Siehe DVV

Bei Datenübermittlungen an (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben

  • Siehe DVV

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

Angabe der zuständigen Aufsichtsbehörde(n) gemäß Klausel 13

  • Die zuständige Aufsichtsbehörde ist die zuständige Aufsichtsbehörde des Landes, aus dem die Daten des Kunden stammen

Anhang II

TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN ZUR GEWÄHRLEISTUNG DER SICHERHEIT DER DATEN

Siehe Anlage 1 der DVV, in der die von Caseware umgesetzten technischen und organisatorischen Sicherheitsmaßnahmen beschrieben werden.

ANHANG III

LISTE DER UNTERAUFTRAGSVERARBEITER

Siehe Anlage 3 der DVV, in der die Unterauftragsverarbeiter von Caseware beschrieben werden.

Anlage 4:

Zusatz des Vereinigten Königreichs zu den Standardvertragsklauseln der EU-Kommission für den internationalen Datentransfer

Dieser Zusatz wurde vom Information Commissioner (Informationsbeauftragten) für Parteien herausgegeben, die eingeschränkte Übermittlungen vornehmen. Der Information Commissioner (Informationsbeauftragte) ist der Ansicht, dass er angemessene Garantien für eingeschränkte Übermittlungen bietet, wenn er als rechtsverbindlicher Vertrag abgeschlossen wird.

Teil 1: Tabellen

  • Tabelle 1: Parteien

    Startdatum

       

    Parteien

    Exporteur (der die eingeschränkte Übermittlung sendet)

    Importeur (der die eingeschränkte Übermittlung erhält)

    Angaben zu den Parteien

    Vollständiger rechtlicher Name:

    Handelsname (falls abweichend):

    Hauptanschrift (falls es sich um eine Firmenanschrift handelt):

    Offizielle Registrierungsnummer (falls vorhanden) (Firmennummer oder ähnliche Kennung):

    Vollständiger rechtlicher Name:

    Handelsname (falls abweichend):

    Hauptanschrift (falls es sich um eine Firmenanschrift handelt):

    Offizielle Registrierungsnummer (falls vorhanden) (Firmennummer oder ähnliche Kennung):

    Hauptkontakt

    Vollständiger Name (optional):

    Berufsbezeichnung:

    Kontaktdaten, einschließlich E-Mail:

    Vollständiger Name (optional):

    Berufsbezeichnung:

    Kontaktdaten, einschließlich E-Mail:

    Unterschrift (falls für die Zwecke von Abschnitt 2 erforderlich)

       
  • Tabelle 2: Ausgewählte Standardvertragsklauseln, Module und ausgewählte Klauseln

    Zusätzliche EU-Standardvertragsklauseln
    • Version der genehmigten EU-Standardvertragsklauseln, an die dieser Zusatz angehängt wird, einschließlich der Anhangsinformationen:

    Datum:

    Referenz (falls vorhanden):

    Andere Kennung (falls zutreffend):

    Oder

    • die genehmigten EU-Standardvertragsklauseln, einschließlich der Anhangsinformationen, wobei nur die folgenden Module, Klauseln oder fakultativen Bestimmungen der genehmigten EU-Standardvertragsklauseln für die Zwecke dieses Zusatzes in Kraft gesetzt werden:

  • Tabelle 3: Anhangsinformationen

    Anhangsinformationen“ sind die Angaben, die für die ausgewählten Module gemäß dem Anhang der genehmigten EU-Standardvertragsklauseln (mit Ausnahme der Parteien) zu machen sind und die für diesen Zusatz aufgeführt sind in:

    • Anhang 1A: Verzeichnis der Parteien:
    • Anhang 1B: Beschreibung der Übermittlung:
    • Anhang II: Technische und organisatorische Maßnahmen, einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Daten:
    • Anhang III: Liste der Unterauftragsverarbeiter (nur Module 2 und 3):
  • Tabelle 4: Beendigung dieses Zusatzes bei Änderung des genehmigten Zusatzes

    Beendigung dieses Zusatzes bei Änderung des genehmigten Zusatzes

    Welche Parteien können diesen Zusatz gemäß Abschnitt 19 beenden:

    • Importeur

    • Exporteur

    • Keine der Parteien

Teil 2: Verbindliche Klauseln

  • Abschluss dieses Zusatzes

    1. Jede Partei erklärt sich damit einverstanden, an die in diesem Zusatz festgelegten Bedingungen gebunden zu sein, wenn die andere Partei sich ebenfalls mit diesem Zusatz einverstanden erklärt.

    2. Obwohl Anhang 1A und Klausel 7 der genehmigten EU-Standardvertragsklauseln die Unterzeichnung durch die Parteien erfordern, können die Parteien zum Zweck der Durchführung von eingeschränkten Übermittlungen diesen Zusatz in einer Weise abschließen, die sie für die Parteien rechtsverbindlich macht und es den betroffenen Personen ermöglicht, ihre Rechte gemäß diesem Zusatz durchzusetzen. Der Abschluss dieses Zusatzes hat die gleiche Wirkung wie die Unterzeichnung der genehmigten EU-Standardvertragsklauseln und jeglicher Teile der genehmigten EU-Standardvertragsklauseln.

  • Auslegung dieses Zusatzes

    1. Soweit in diesem Zusatz Begriffe verwendet werden, die in den genehmigten EU-Standardvertragsklauseln definiert sind, haben diese Begriffe die gleiche Bedeutung wie in den genehmigten EU-Standardvertragsklauseln. Darüber hinaus haben die folgenden Begriffe die folgende Bedeutung:

      Zusatz

      Dieser Zusatz zum internationalen Datentransfer, der aus diesem Zusatz und den zusätzlichen EU-Standardvertragsklauseln besteht.

      Zusätzliche EU-Standardvertragsklauseln

      Die Version(en) der genehmigten EU-Standardvertragsklauseln, an die dieser Zusatz angehängt wird, wie in Tabelle 2 aufgeführt, einschließlich der Anhangsinformationen.

      Anhangsinformationen

      Wie in Tabelle 3 aufgeführt.

      Angemessene Garantien

      Der Standard des Schutzes der personenbezogenen Daten und der Rechte der betroffenen Personen, der nach den Datenschutzgesetzen des Vereinigten Königreichs erforderlich ist, wenn Sie eine eingeschränkte Übermittlung vornehmen und sich dabei auf die Standarddatenschutzklauseln gemäß Artikel 46(2)(d) der Datenschutz-Grundverordnung des Vereinigten Königreichs stützen.

      Genehmigter Zusatz

      Der vom ICO herausgegebene und dem Parlament gemäß s119A des Data Protection Act 2018 am 2. Februar 2022 vorgelegte Muster-Zusatz, wie er gemäß Abschnitt 18 überarbeitet wird.

      Genehmigte EU-Standardvertragsklauseln

      Die Standardvertragsklauseln, die im Anhang des Durchführungsbeschlusses (EU) 2021/914 der Kommission vom 4. Juni 2021 aufgeführt sind.

      ICO

      Der Information Commissioner (Informationsbeauftragte).

      Eingeschränkte Übermittlung

      Eine Übermittlung, die unter Kapitel V der Datenschutz-Grundverordnung des Vereinigten Königreichs fällt.

      Vereinigtes Königreich

      Das Vereinigte Königreich von Großbritannien und Nordirland.

      Datenschutzgesetze des Vereinigten Königreichs

      Alle Gesetze, die sich auf den Datenschutz, die Verarbeitung personenbezogener Daten, den Schutz der Privatsphäre und/oder die elektronische Kommunikation beziehen und jeweils im Vereinigten Königreich gelten, einschließlich der Datenschutz-Grundverordnung des Vereinigten Königreichs und des Data Protection Act 2018.

      Datenschutz-Grundverordnung des Vereinigten Königreichs

      Gemäß der Definition in Abschnitt 3 des Data Protection Act 2018.

    2. Dieser Zusatz muss immer so ausgelegt werden, dass er mit den Datenschutzgesetzen des Vereinigten Königreichs vereinbar ist, und so, dass er die Verpflichtung der Parteien erfüllt, die angemessenen Garantien zu bieten.

    3. Sollten die in den zusätzlichen EU-Standardvertragsklauseln enthaltenen Bestimmungen die genehmigten Standardvertragsklauseln in einer Weise ändern, die nach den genehmigten EU-Standardvertragsklauseln oder dem genehmigten Zusatz nicht zulässig ist, wird/werden diese Änderung(en) nicht in diesen Zusatz aufgenommen und die entsprechende Bestimmung der genehmigten EU-Standardvertragsklauseln tritt an ihre Stelle.

    4. Im Falle von Widersprüchen oder Konflikten zwischen den Datenschutzgesetzen des Vereinigten Königreichs und diesem Zusatz gelten die Datenschutzgesetze des Vereinigten Königreichs.

    5. Wenn die Bedeutung dieses Zusatzes unklar ist oder es mehr als eine Bedeutung gibt, gilt die Bedeutung, die am ehesten mit den Datenschutzgesetzen des Vereinigten Königreichs übereinstimmt.

    6. Alle Verweise auf Rechtsvorschriften (oder spezifische Bestimmungen von Rechtsvorschriften) beziehen sich auf diese Rechtsvorschriften (oder spezifische Bestimmungen) in der Form, wie sie sich im Laufe der Zeit ändern können. Dies gilt auch für den Fall, dass diese Gesetzgebung (oder spezifische Bestimmung) nach Abschluss dieses Zusatzes konsolidiert, wieder in Kraft gesetzt und/oder ersetzt worden ist.

  • Hierarchie

    1. Obwohl Klausel 5 der genehmigten EU-Standardvertragsklauseln vorsieht, dass die genehmigten EU-Standardvertragsklauseln Vorrang vor allen damit zusammenhängenden Vereinbarungen zwischen den Parteien haben, vereinbaren die Parteien, dass bei eingeschränkten Übermittlungen die Hierarchie in Abschnitt 10 Vorrang hat.

    2. Bei Widersprüchen oder Kollisionen zwischen dem genehmigten Zusatz und den zusätzlichen EU-Standardvertragsklauseln (soweit zutreffend) hat der genehmigte Zusatz Vorrang vor den zusätzlichen EU-Standardvertragsklauseln, es sei denn, die widersprüchlichen oder kollidierenden Bestimmungen der zusätzlichen EU-Standardvertragsklauseln bieten den betroffenen Personen einen besseren Schutz; in diesem Fall haben diese Bestimmungen Vorrang vor dem genehmigten Zusatz.

    3. Soweit dieser Zusatz zusätzliche EU-Standardvertragsklauseln enthält, die zum Schutz von Übermittlungen, die der Datenschutz-Grundverordnung (EU) 2016/679 unterliegen, abgeschlossen wurden, erkennen die Parteien an, dass dieser Zusatz keine Auswirkungen auf diese zusätzlichen EU-Standardvertragsklauseln hat.

  • Einbeziehung von und Änderungen an den EU-Standardvertragsklauseln

    1. Dieser Zusatz enthält die zusätzlichen EU-Standardvertragsklauseln, die im erforderlichen Umfang geändert werden, damit:

      1. sie gemeinsam für Datenübermittlungen des Datenexporteurs an den Datenimporteur gelten, soweit die Datenschutzgesetze des Vereinigten Königreichs auf die Verarbeitung durch den Datenexporteur bei dieser Datenübermittlung anwendbar sind, und sie angemessene Garantien für diese Datenübermittlungen bieten;

      2. die Abschnitte 9 bis 11 Vorrang vor Klausel 5 (Hierarchie) der zusätzlichen EU-Standardvertragsklauseln haben; und

      3. dieser Zusatz (einschließlich der in ihn aufgenommenen zusätzlichen EU-Standardvertragsklauseln) (1) dem Recht von England und Wales unterliegt und (2) alle sich daraus ergebenden Streitigkeiten von den Gerichten von England und Wales entschieden werden, es sei denn, die Parteien haben ausdrücklich die Gesetze und/oder Gerichte von Schottland oder Nordirland gewählt.
    2. Sofern die Parteien keine alternativen Änderungen vereinbart haben, die den Anforderungen von Abschnitt 12 entsprechen, gelten die Bestimmungen von Abschnitt 15.

    3. An den genehmigten EU-Standardvertragsklauseln dürfen nur Änderungen vorgenommen werden, die der Erfüllung der Anforderungen von Abschnitt 12 dienen.

    4. Die folgenden Änderungen an den zusätzlichen EU-Standardvertragsklauseln (für die Zwecke von Abschnitt 12) werden vorgenommen:

      1. Verweise auf die „Klauseln“ beziehen sich auf diesen Zusatz, der die zusätzlichen EU-Standardvertragsklauseln enthält;

      2. In Klausel 2 werden die Worte gestrichen:

        „sowie - in Bezug auf Datenübermittlungen von Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter - Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679“;

      3. Klausel 6 (Beschreibung der Datenübermittlung(en)) wird ersetzt durch:

        „Die Einzelheiten der Datenübermittlung(en), insbesondere die Kategorien der übermittelten personenbezogenen Daten und der/die Zweck(e), zu dem/denen sie übermittelt werden, sind in Anhang I.B aufgeführt, wenn die Datenschutzgesetze des Vereinigten Königreichs für die Verarbeitung durch den Datenexporteur bei der Übermittlung gelten.“;

      4. Klausel 8.7(i) von Modul 1 wird ersetzt durch:

        „an ein Land, für das ein Angemessenheitsbeschluss nach Abschnitt 17A der Datenschutz-Grundverordnung des Vereinigten Königreichs gilt, der die Weiterübermittlung abdeckt“;

      5. Klausel 8.8(i) der Module 2 und 3 wird ersetzt durch:

        „die Weiterübermittlung an ein Land erfolgt, für das ein Angemessenheitsbeschluss nach Abschnitt 17A der Datenschutz-Grundverordnung des Vereinigten Königreichs gilt, der die Weiterübermittlung abdeckt;“

      6. Verweise auf die „Verordnung (EU) 2016/679“, die „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung)“ und die „Verordnung“ werden alle durch „Datenschutzgesetze des Vereinigten Königreichs“ ersetzt. Verweise auf bestimmte Artikel der „Verordnung (EU) 2016/679“ werden durch die entsprechenden Artikel oder Abschnitte der Datenschutzgesetze des Vereinigten Königreichs ersetzt;

      7. Verweise auf die Verordnung (EU) 2018/1725 werden entfernt;

      8. Verweise auf die „Europäische Union“, „Union“, „EU“, „EU-Mitgliedstaat“, „Mitgliedstaat“ und „EU oder Mitgliedstaat“ werden alle durch „Vereinigtes Königreich“ ersetzt;

      9. Der Verweis auf „Klausel 12 Buchstabe c Ziffer i“ in Klausel 10 Buchstabe b Ziffer i von Modul eins wird durch „Klausel 11 Buchstabe c Ziffer i“ ersetzt;

      10. Klausel 13 Buchstabe a und Teil C von Anhang I werden nicht verwendet;

      11. Die „zuständige Aufsichtsbehörde“ und die „Aufsichtsbehörde“ werden beide durch den „Information Commissioner“ (Informationsbeauftragten) ersetzt;

      12. In Klausel 16 Buchstabe e wird der Unterabschnitt i ersetzt durch:

        „der Secretary of State Verordnungen nach Abschnitt 17A des Data Protection Act 2018 erlässt, die sich auf die Übermittlung personenbezogener Daten beziehen, für die diese Klauseln gelten;“;

      13. Klausel 17 wird ersetzt durch:

        „Diese Klauseln unterliegen den Gesetzen von England und Wales.“;

      14. Klausel 18 wird ersetzt durch:

        „Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten in England und Wales beigelegt. Eine betroffene Person kann Klage gegen den Datenexporteur und/oder den Datenimporteur auch vor den Gerichten eines beliebigen Landes des Vereinigten Königreichs erheben. Die Parteien erklären sich damit einverstanden, sich der Zuständigkeit dieser Gerichte zu unterwerfen.”; und

      15. Die Fußnoten zu den genehmigten EU-Standardvertragsklauseln sind mit Ausnahme der Fußnoten 8, 9, 10 und 11 nicht Teil des Zusatzes.

  • Änderungen dieses Zusatzes

    1. Die Parteien können vereinbaren, die Klauseln 17 und/oder 18 der zusätzlichen EU-Standardvertragsklauseln zu ändern, um auf das Recht und/oder die Gerichte von Schottland oder Nordirland zu verweisen.

    2. Wollen die Parteien das Format der in Teil 1: Tabellen des genehmigten Zusatzes enthaltenen Informationen ändern, so können sie dies tun, indem sie der Änderung schriftlich zustimmen, vorausgesetzt, die Änderung führt nicht zu einer Verringerung der angemessenen Garantien.

    3. Der ICO kann von Zeit zu Zeit einen überarbeiteten genehmigten Zusatz herausgeben, der:

      1. angemessene und verhältnismäßige Änderungen am genehmigten Zusatz vornimmt, einschließlich der Korrektur von Fehlern im genehmigten Zusatz; und/oder

      2. Änderungen der Datenschutzgesetze des Vereinigten Königreichs widerspiegelt;

      In dem überarbeiteten genehmigten Zusatz wird angegeben, ab wann die Änderungen des genehmigten Zusatzes gelten und ob die Parteien diesen Zusatz einschließlich der Anhangsinformationen überprüfen müssen. Dieser Zusatz wird ab dem angegebenen Startdatum automatisch entsprechend dem überarbeiteten genehmigten Zusatz geändert.

    4. Für den Fall, dass, wenn der ICO einen überarbeiteten genehmigten Zusatz gemäß Abschnitt 18 herausgibt, eine der in Tabelle 4 „Beendigung dieses Zusatzes bei Änderung des genehmigten Zusatzes“ ausgewählten Parteien als unmittelbare Folge der Änderungen des genehmigten Zusatzes einen erheblichen, unverhältnismäßigen und nachweisbaren Anstieg:

      1. seiner direkten Kosten für die Erfüllung seiner Verpflichtungen aus dem Zusatz; und/oder

      2. seines Risikos im Rahmen des Zusatzes hat,

      und sie in beiden Fällen zunächst angemessene Schritte unternommen hat, um diese Kosten oder Risiken zu verringern, so dass es sich nicht um einen erheblichen und unverhältnismäßigen Anstieg handelt, so kann diese Partei diesen Zusatz zum Ende einer angemessenen Kündigungsfrist beenden, indem sie der anderen Partei vor dem Beginn des geänderten genehmigten Zusatzes eine schriftliche Mitteilung für diesen Zeitraum übermittelt.

    5. Die Parteien benötigen nicht die Zustimmung Dritter, um Änderungen an diesem Zusatz vorzunehmen, doch müssen alle Änderungen in Übereinstimmung mit den Bestimmungen dieses Zusatzes vorgenommen werden.

  • Alternativer Teil 2 Verbindliche Klauseln:

    Verbindliche Klauseln

    Teil 2: Verbindliche Klauseln des genehmigten Zusatzes, bei dem es sich um die Vorlage Zusatz B.1.0 handelt, die vom ICO herausgegeben und dem Parlament gemäß s119A des Data Protection Act 2018 am 2. Februar 2022 vorgelegt wurde, in der gemäß Abschnitt 18 dieser verbindlichen Klauseln überarbeiteten Fassung.