Hier beginnen
Home Privatsphäre
Letzte Aktualisierung: April 26, 2024

Standardvertragsklauseln für Kunden (SVK) (Verarbeiter an Verarbeiter)

Letzte Aktualisierung: April 26, 2024

Diese Standardvertragsklauseln sind dem monday.com Nachtrag zur Datenverarbeitung, das unter https://www.monday.com/terms/dpa abrufbar ist, oder einer anderen Vereinbarung zwischen dem Kunden und monday.com, die die Verarbeitung der in den Kundendaten enthaltenen personenbezogenen Daten regelt, beigefügt und bilden einen Teil davon (das „DPA“). Sofern in diesem Anhang nicht auf andere Art definiert, haben die in diesen Standardvertragsklauseln verwendeten Begriffe in Großbuchstaben die Bedeutung, die ihnen in dem DPA gegeben wird.

ABSCHNITT I

Klausel 1

Zweck und den Umfang

(a)        Mit diesen Standardvertragsklauseln soll die Einhaltung der Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 betreffend den Schutz natürlicher Personen hinsichtlich der Verarbeitung personenbezogener Daten und des freien Verkehrs solcher Daten (Datenschutz-Grundverordnung) bei der Übermittlung von Daten in ein Drittland sichergestellt werden.

(b)        Die Parteien:

(i)         die natürliche(n) oder juristische(n) Person(en), öffentliche Behörde(n), Agentur(en) oder andere Einrichtung(en) (im Folgenden „Einrichtung(en)“ genannt), die die personenbezogenen Daten übermitteln, wie in Anhang I.A aufgeführt (im Folgenden jeweils „Datenexporteur“ genannt), und

(ii)        die Einrichtung(en) in einem Drittland, die die personenbezogenen Daten vom Datenexporteur direkt oder indirekt über eine andere, ebenfalls an diesen Klauseln beteiligte Einrichtung erhalten, wie in Anhang I.A aufgeführt (im Folgenden jeweils „Datenimporteur“ genannt)

haben diesen Standardvertragsklauseln (im Folgenden: „Klauseln“) zugestimmt.

(c)        Diese Klauseln gelten für die Übermittlung personenbezogener Daten, wie sie in Anhang I.B aufgeführt sind.

(d)        Die Anlage zu diesen Klauseln mit den darin genannten Anhängen ist integraler Bestandteil dieser Klauseln.

Klausel 2

Wirkung und Unveränderlichkeit der Klauseln

(a)        Diese Klauseln legen angemessene Sicherheitsvorkehrungen fest, einschließlich durchsetzbarer Rechte der betroffenen Personen und wirksamer Rechtsbehelfe, gemäß Artikel 46(1) und Artikel 46(2)(c) der Verordnung (EU) 2016/679 und, bezogen auf Datenübermittlungen von Verantwortlichen zu Verarbeitern und/oder von Verarbeitern zu Verarbeitern, Standardvertragsklauseln gemäß Artikel 28(7) der Verordnung (EU) 2016/679, vorausgesetzt, sie werden nicht modifiziert, außer um die entsprechenden Module auszuwählen oder Informationen im Anhang hinzuzufügen oder zu aktualisieren. Dies hindert die Vertragsparteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfassenderen Vertrag einzubeziehen und/oder andere Klauseln oder zusätzliche Sicherheitsvorkehrungen hinzuzufügen, sofern diese nicht direkt oder indirekt im Widerspruch zu diesen Klauseln stehen oder die Grundrechte oder -freiheiten der betroffenen Personen beeinträchtigen.

(b)        Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Datenexporteur aufgrund der Verordnung (EU) 2016/679 unterliegt. aufgrund der Verordnung (EU) 2016/679.

Klausel 3

Drittbegünstigte

(a)        Betroffene Personen können diese Klauseln als Drittbegünstigte gegen den Datenexporteur und/oder Datenimporteur durchsetzen, mit folgenden Ausnahmen:

(i)         Klausel 1, Klausel 2, Klausel 3, Klausel 6, Klausel 7;

(ii)        Klausel 8.1(a), (c) und (d) und 8.9(a), (c), (d), (e), (f) and (g);

(iii)       Klausel 9(a), (c), (d) und (e);

(iv)       Klausel 12(a), (d) und (f);

(v)        Klausel 13;

(vi)       Klausel 15.1(c), (d) und (e);

(vii)      Klausel 16(e);

(viii)     Klausel 18(a) und (b).

(b)        Absatz (a) berührt nicht die Rechte der betroffenen Personen nach der Verordnung (EU) 2016/679.

Klausel 4

Auslegung

(a)        Wenn in diesen Klauseln Begriffe verwendet werden, die in der Verordnung (EU) 2016/679 definiert sind, haben diese Begriffe die gleiche Bedeutung wie in dieser Verordnung.

(b)        Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 zu lesen und zu interpretieren.

(c)        Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die mit den Rechten und Pflichten nach der Verordnung (EU) 2016/679 in Konflikt steht.

Klausel 5

Hierarchie

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen verwandter Vereinbarungen zwischen den Parteien, die zum Zeitpunkt des Zustandekommens dieser Klauseln bestehen oder danach geschlossen werden, haben diese Klauseln Vorrang.

Klausel 6

Beschreibung der Übermittlung(en)

Die Einzelheiten der Übermittlung(en) und insbesondere die Kategorien personenbezogener Daten, die übermittelt werden, und die Zwecke, zu denen sie übermittelt werden, sind in Anhang I.B. spezifiziert.

Klausel 7 – Optional

Nicht verwendet.

ABSCHNITT II – VERPFLICHTUNGEN DER PARTEIEN

Klausel 8

Sicherheitsvorkehrungen Datenschutz

Der Datenexporteur gewährleistet, dass er angemessene Anstrengungen unternommen hat, um festzustellen, dass der Datenimporteur in der Lage ist, durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen seine Verpflichtungen unter diesen Klauseln zu erfüllen.

8.1   Anweisungen

(a)        Der Datenexporteur hat den Datenimporteur darüber informiert, dass er als Auftragsverarbeiter gemäß den Anweisungen seines/ihres für die Verarbeitung Verantwortlichen handelt, die der Datenexporteur dem Datenimporteur vor der Verarbeitung zur Verfügung stellen muss.

(b)        Der Datenimporteur verarbeitet die personenbezogenen Daten nur auf der Grundlage der dokumentierten Anweisungen des für die Verarbeitung Verantwortlichen, die dem Datenimporteur vom Datenexporteur mitgeteilt wurden, sowie etwaiger zusätzlicher dokumentierter Anweisungen des Datenexporteurs. Solche zusätzlichen Anweisungen dürfen nicht im Widerspruch zu den Anweisungen des für die Verarbeitung Verantwortlichen stehen. Der für die Verarbeitung Verantwortliche oder der Datenexporteur kann während der gesamten Vertragslaufzeit weitere dokumentierte Anweisungen zur Datenverarbeitung geben.

(c)        Der Datenimporteur muss den Datenexporteur unverzüglich informieren, wenn er nicht in der Lage ist, diesen Anweisungen zu folgen. Ist der Datenimporteur nicht in der Lage, die Anweisungen des für die Verarbeitung Verantwortlichen zu befolgen, benachrichtigt der Datenexporteur den für die Verarbeitung Verantwortlichen unverzüglich.

(d)        Der Datenexporteur gewährleistet, dass er dem Datenimporteur dieselben Datenschutzverpflichtungen auferlegt hat, die in dem Vertrag oder einem anderen Rechtsakt nach dem Unionsrecht oder dem Recht eines Mitgliedstaats zwischen dem für die Verarbeitung Verantwortlichen und dem Datenexporteur festgelegt sind.

8.2   Zweckbindung

Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den/die in Anhang I.B. genannten Zweck(e) der Übermittlung weiter, es sei denn, der für die Verarbeitung Verantwortliche erteilt dem Datenimporteur weitere Anweisungen, die ihm vom Datenexporteur mitgeteilt werden, oder der Datenexporteur erteilt weitere Anweisungen.

8.3   Transparenz

Auf Anfrage stellt der Datenexporteur dem betroffenen Dateninhaber kostenlos eine Kopie dieser Klauseln zur Verfügung, einschließlich des von den Parteien ausgefüllten Anhangs. Soweit es notwendig ist, um Geschäftsgeheimnisse oder andere vertrauliche Informationen, einschließlich personenbezogener Daten, zu schützen, kann der Datenexporteur Teile des Textes des Anhangs vor der Weitergabe einer Kopie schwärzen, muss jedoch eine aussagekräftige Zusammenfassung bereitstellen, falls der betroffene Dateninhaber sonst den Inhalt nicht verstehen oder seine Rechte nicht ausüben könnte. Auf Anfrage stellen die Parteien dem betroffenen Dateninhaber die Gründe für die Schwärzungen bereit, soweit dies möglich ist, ohne die geschwärzten Informationen offenzulegen.

8.4   Genauigkeit

Wenn der Datenimporteur feststellt, dass die von ihm erhaltenen personenbezogenen Daten ungenau oder veraltet sind, muss er den Datenexporteur unverzüglich informieren. In diesem Fall muss der Datenimporteur mit dem Datenexporteur zusammenarbeiten, um die Daten zu berichtigen oder zu löschen.

8.5   Verarbeitungsdauer und Löschung oder Rückgabe der Daten

Die Verarbeitung durch den Datenimporteur darf nur für die in Anhang I.B angegebene Dauer erfolgen. Nach Beendigung der Erbringung der Verarbeitungsdienste muss der Datenimporteur auf Wahl des Datenexporteurs alle in seinem Auftrag verarbeiteten personenbezogenen Daten löschen und dem für die Verarbeitung Verantwortlichen bescheinigen, dass dies geschehen ist, oder alle personenbezogenen Daten, die in seinem Auftrag verarbeitet wurden, an den Datenexporteur zurückgeben und vorhandene Kopien löschen. Bis die Daten gelöscht oder zurückgegeben werden, muss der Datenimporteur weiterhin sicherstellen, dass diese Klauseln eingehalten werden. Falls lokale Gesetze, die für den Datenimporteur gelten, die Rückgabe oder Löschung der personenbezogenen Daten verbieten, gewährleistet der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln sicherstellt und die Daten nur in dem Umfang und solange verarbeitet, wie es nach diesem lokalen Recht erforderlich ist. Dies berührt nicht die Klausel 14, insbesondere die Anforderung an den Datenimporteur gemäß Klausel 14(e), den Datenexporteur während der Vertragsdauer zu benachrichtigen, wenn er Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterliegen könnte, die nicht den Anforderungen gemäß Klausel 14(a) entsprechen.

8.6   Sicherheit der Verarbeitung

(a)        Der Datenimporteur und während der Übertragung auch der Datenexporteur müssen geeignete technische und organisatorische Maßnahmen implementieren, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einem Sicherheitsvorfall, der zu einer unbeabsichtigten oder rechtswidrigen Zerstörung, Verlust, Änderung, unbefugten Offenlegung oder Zugriff auf diese Daten führen könnte (im Folgenden „Verstoß gegen den Datenschutz“). Bei der Bewertung des angemessenen Sicherheitsniveaus müssen sie den Stand der Technik, die Implementierungskosten, die Art, den Umfang, den Kontext und die Zwecke der Verarbeitung sowie die damit verbundenen Risiken für die betroffene Persone angemessen berücksichtigen. Die Parteien sollten insbesondere in Betracht ziehen, auf Verschlüsselung oder Pseudonymisierung zurückzugreifen, einschließlich während der Übertragung, wenn der Verarbeitungszweck auf diese Weise erfüllt werden kann. Im Falle von Pseudonymisierung sollte die zusätzliche Information zur Zuordnung der personenbezogenen Daten zu einem bestimmten Dateninhaber, soweit möglich, ausschließlich unter der Kontrolle des Datenexporteurs oder des für die Verarbeitung Verantwortlichen verbleiben. Um seinen Verpflichtungen gemäß diesem Absatz nachzukommen, muss der Datenimporteur mindestens die in Anhang II spezifizierten, technischen und organisatorischen Maßnahmen umsetzen. Der Datenimporteur führt regelmäßige Überprüfungen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Sicherheitsniveau bieten.

(b)        Der Datenimporteur gewährt Mitgliedern seines Personals nur in dem Maße Zugang zu den Daten, wie es strikt für die Umsetzung, Verwaltung und Überwachung des Vertrags erforderlich ist. Er muss sicherstellen, dass Personen, die zur Verarbeitung der personenbezogenen Daten befugt sind, sich zur Vertraulichkeit verpflichtet haben oder einer geeigneten gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen.

(c)        Im Falle eines Datenschutzverstoßes bezüglich personenbezogener Daten, die vom Datenimporteur gemäß diesen Klauseln verarbeitet werden, muss der Datenimporteur geeignete Maßnahmen ergreifen, um den Verstoß zu behandeln, einschließlich Maßnahmen zur Minderung seiner negativen Auswirkungen. Der Datenimporteur benachrichtigt außerdem unverzüglich den Datenexporteur und, soweit angemessen und möglich, den für die Verarbeitung Verantwortlichen, nachdem er von dem Verstoß Kenntnis erlangt hat. Diese Benachrichtigung muss die Details eines Kontaktpunkts enthalten, unter dem weitere Informationen erhalten werden können, eine Beschreibung der Art des Verstoßes (einschließlich, soweit möglich, Kategorien und ungefähre Anzahl der betroffenen Dateninhaber und der personenbezogenen Daten), die wahrscheinlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung des Datenverstoßes, einschließlich Maßnahmen zur Minderung möglicher negativer Auswirkungen.  Soweit es nicht möglich ist, alle Informationen gleichzeitig bereitzustellen, muss die erste Benachrichtigung die dann verfügbaren Informationen enthalten, und weitere Informationen müssen unverzüglich bereitgestellt werden, sobald sie verfügbar sind.

(d)        Der Datenimporteur muss mit dem Datenexporteur zusammenarbeiten und diesen unterstützen, um ihn in die Lage zu versetzen, seinen Verpflichtungen gemäß der Verordnung (EU) 2016/679 nachzukommen, insbesondere seinen für die Verarbeitung Verantwortlichen zu benachrichtigen, damit dieser seinerseits die zuständige Aufsichtsbehörde und die betroffenen Personen benachrichtigen kann, wobei die Art der Verarbeitung und die dem Datenimporteur zur Verfügung stehenden Informationen berücksichtigt werden.

8.7   Sensible Daten

Wenn die Übermittlung personenbezogene Daten offenbart, die Rasse oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit oder das Sexualleben oder die sexuelle Orientierung einer Person oder Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten (im Folgenden „sensible Daten“) beinhaltet, muss der Datenimporteur die spezifischen Beschränkungen und/oder zusätzlichen Sicherheitsvorkehrungen gemäß Anhang I.B. anwenden.

8.8   Übermittlung

Der Datenimporteur darf die personenbezogenen Daten nur auf dokumentierte Anweisung des für die Verarbeitung Verantwortlichen, die der Datenexporteur dem Datenimporteur mitgeteilt hat, an einen Dritten weitergeben. Ferner dürfen die Daten nur an eine dritte Partei außerhalb der Europäischen Union (im gleichen Land wie der Datenimporteur oder in einem anderen Drittland, im Folgenden „Weiterleitung“ genannt) übermittelt werden, wenn die dritte Partei an diese Klauseln gebunden ist oder sich bereit erklärt, an diese Klauseln gebunden zu sein, gemäß dem entsprechenden Modul, oder wenn:

(i)         die Übermittlung an ein Land erfolgt, das von einem Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 profitiert, der die Übermittlung abdeckt;

(ii)        die dritte Partei anderweitig angemessene Sicherheitsvorkehrungen gemäß den Artikeln 46 oder 47 der Verordnung (EU) 2016/679 sicherstellt;

(iii)       die Übermittlung für die Begründung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen konkreter Verwaltungs-, behördlicher oder gerichtlicher Verfahren erforderlich ist; oder

(iv)       die Übermittlung erforderlich ist, um die lebenswichtigen Interessen des betroffenen Dateninhabers oder einer anderen natürlichen Person zu schützen.

Jede Übermittlung unterliegt der Einhaltung durch den Datenimporteur aller anderen Sicherheitsvorkehrungen gemäß diesen Klauseln, insbesondere der Zweckbindung.

8.9   Dokumentation und Compliance

(a)        Der Datenimporteur muss Anfragen des Datenexporteurs oder des für die Verarbeitung Verantwortlichen, die sich auf die Verarbeitung gemäß diesen Klauseln beziehen, zeitnah und angemessen behandeln.

(b)        Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können. Insbesondere muss der Datenimporteur angemessene Dokumentation über die im Auftrag des für die Verarbeitung Verantwortlichen durchgeführten Verarbeitungstätigkeiten aufbewahren.

(c)        Der Datenimporteur stellt dem Datenexporteur alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten Verpflichtungen erforderlich sind, und dieser stellt sie dem für die Verarbeitung Verantwortlichen zur Verfügung.

(d)        Der Datenimporteur ermöglicht dem Datenexporteur in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung Audits der unter diese Klauseln fallenden Verarbeitungstätigkeiten und trägt zu diesen Audits bei. Das Gleiche gilt, wenn der Datenexporteur auf Anweisung des für die Verarbeitung Verantwortlichen ein Audit beantragt. Bei der Entscheidung über ein Audit kann der Datenexporteur relevante Zertifizierungen berücksichtigen, die vom Datenimporteur gehalten werden.

(e)        Wird das Audit auf Anweisung des für die Verarbeitung Verantwortlichen durchgeführt, so stellt der Datenexporteur dem für die Verarbeitung Verantwortlichen die Ergebnisse zur Verfügung.

(f)        Der Datenexporteur kann wählen, das Audit selbst durchzuführen oder einen unabhängigen Prüfer zu beauftragen. Audits können Inspektionen an den Räumlichkeiten oder physischen Einrichtungen des Datenimporteurs umfassen und sollten gegebenenfalls mit angemessener Vorankündigung durchgeführt werden.

(g)        Die Parteien müssen die in den Absätzen (b) und (c) genannten Informationen, einschließlich der Ergebnisse etwaiger Audits, auf Anfrage der zuständigen Aufsichtsbehörde zur Verfügung stellen.

Klausel 9

Einsatz von Unterauftragsverarbeitern

(a)        Der Datenimporteur hat die allgemeine Genehmigung des für die Verarbeitung Verantwortlichen zur Beauftragung von Unterauftragsverarbeitern aus einer vereinbarten Liste. Der Datenimporteur muss den für die Verarbeitung Verantwortlichen schriftlich über etwaige beabsichtigte Änderungen an dieser Liste durch die Hinzufügung oder den Austausch von Unterauftragsverarbeitern mindestens zehn (10) Werktage im Voraus informieren, um dem für die Verarbeitung Verantwortlichen ausreichend Zeit zu geben, um solchen Änderungen vor der Beauftragung der Unterauftragsverarbeiter zu widersprechen. Der Datenimporteur muss dem für die Verarbeitung Verantwortlichen die erforderlichen Informationen zur Verfügung stellen, um es dem für die Verarbeitung Verantwortlichen zu ermöglichen, sein Widerspruchsrecht auszuüben. Der Datenimporteur informiert den Datenexporteur über die Beauftragung des/der Unterauftragsverarbeiter.

(b)        Wenn der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des für die Verarbeitung Verantwortlichen) beauftragt, muss er dies durch einen schriftlichen Vertrag tun, der im Wesentlichen die gleichen Datenschutzverpflichtungen vorsieht wie diejenigen, die den Datenimporteur gemäß diesen Klauseln binden, einschließlich der Rechte als Drittbegünstigter für betroffene Personen. Die Parteien sind sich einig, dass der Datenimporteur durch die Einhaltung dieser Klausel seine Verpflichtungen gemäß Klausel 8.8 erfüllt. Der Datenimporteur muss sicherstellen, dass der Unterauftragsverarbeiter die Verpflichtungen einhält, denen der Datenimporteur gemäß diesen Klauseln unterliegt.

(c)        Auf Anfrage des Datenexporteurs oder des für die Verarbeitung Verantwortlichen muss der Datenimporteur eine Kopie einer solchen Unterauftragsverarbeiter-Vereinbarung und etwaiger späterer Änderungen zur Verfügung stellen. Soweit erforderlich, um Geschäftsgeheimnisse oder andere vertrauliche Informationen, einschließlich personenbezogener Daten, zu schützen, kann der Datenimporteur den Text der Vereinbarung vor der Weitergabe einer Kopie schwärzen.

(d)        Der Datenimporteur bleibt vollständig verantwortlich gegenüber dem Datenexporteur für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters gemäß dessen Vertrag mit dem Datenimporteur. Der Datenimporteur muss den Datenexporteur über jeden Verstoß des Unterauftragsverarbeiters gegen seine Verpflichtungen aus diesem Vertrag benachrichtigen.

(e)        Der Datenimporteur muss mit dem Unterauftragsverarbeiter eine Klausel vereinbaren, nach der – falls der Datenimporteur tatsächlich verschwunden ist, aufgehört hat, rechtlich zu existieren oder insolvent geworden ist – der Datenexporteur das Recht hat, den Unterauftragsvertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

Klausel 10

Rechte der Betroffenen

(a)        Der Datenimporteur benachrichtigt den Datenexporteur und gegebenenfalls den für die Verarbeitung Verantwortlichen unverzüglich über jede Anfrage, die er von einer betroffenen Person erhalten hat, ohne auf diese Anfrage zu antworten, es sei denn, er wurde von dem für die Verarbeitung Verantwortlichen dazu ermächtigt.

(b)        Der Datenimporteur unterstützt, gegebenenfalls in Zusammenarbeit mit dem Datenexporteur, den für die Verarbeitung Verantwortlichen bei der Erfüllung seiner Verpflichtungen, auf Anträge betroffener Personen zur Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 zu reagieren. In diesem Zusammenhang legen die Parteien in Anhang II die geeigneten technischen und organisatorischen Maßnahmen fest, unter Berücksichtigung der Art der Verarbeitung, durch die die Unterstützung erfolgen soll, sowie den Umfang und das Ausmaß der erforderlichen Unterstützung.

(c)        Bei der Erfüllung seiner Verpflichtungen gemäß den Paragrafen a) und b) hält sich der Datenimporteur an die Anweisungen des für die Verarbeitung Verantwortlichen, die ihm vom Datenexporteur mitgeteilt werden.

Klausel 11

Abhilfe

(a)        Der Datenimporteur muss die betroffenen Personen in transparenter und leicht zugänglicher Form durch individuelle Benachrichtigung oder auf seiner Website über einen befugten Ansprechpartner informieren, der Beschwerden entgegennimmt. Er muss Beschwerden, die er von betroffenen Personen erhält, umgehend bearbeiten.

(b)        Im Falle eines Streits zwischen einer betroffenen Person und einer der Parteien hinsichtlich der Einhaltung dieser Klauseln wird die betreffende Partei alle Anstrengungen unternehmen, um das Problem auf freundliche Weise und zeitnah zu lösen. Die Parteien werden sich über solche Streitigkeiten informieren und, wenn angemessen, bei deren Lösung zusammenarbeiten.

(c)        Wenn die betroffene Person gemäß Klausel 3 ein Recht als Drittbegünstigter geltend macht, muss der Datenimporteur die Entscheidung der betroffenen Person akzeptieren:

(i)         eine Beschwerde bei der Aufsichtsbehörde im Mitgliedstaat seines/ihres gewöhnlichen Aufenthaltsortes oder Arbeitsplatzes oder der zuständigen Aufsichtsbehörde gemäß Klausel 13 einzureichen;

(ii)        den Streit den zuständigen Gerichten im Sinne von Klausel 18 vorzulegen.

(d)        Die Parteien akzeptieren, dass die betroffene Person unter den in Artikel 80 Absatz 1 der Verordnung (EU) 2016/679 festgelegten Bedingungen durch eine gemeinnützige Einrichtung, Organisation oder Vereinigung vertreten werden kann.

(e)        Der Datenimporteur muss eine Entscheidung befolgen, die nach dem anwendbaren EU-Recht oder dem Recht des Mitgliedstaats verbindlich ist.

(f)         Der Datenimporteur stimmt zu, dass die vom Dateninhaber getroffene Wahl seine materiellen und prozessualen Rechte zur Durchsetzung von Rechtsbehelfen gemäß den geltenden Gesetzen nicht beeinträchtigen wird.

Klausel 12

Haftung

(a)        Jede Partei haftet gegenüber der/den anderen Partei(en) für den Schaden, den sie der/den anderen Partei(en) durch einen Verstoß gegen diese Klauseln zufügt.

(b)        Der Datenimporteur haftet gegenüber der betroffenen Person, und die betroffene Person hat Anspruch auf Entschädigung für jeglichen materiellen oder immateriellen Schaden, den der Datenimporteur oder sein Unterauftragsverarbeiter der betroffenen Person durch Verletzung der Rechte als Drittbegünstigter gemäß diesen Klauseln zufügt.

(c)        Ungeachtet des Absatzes (b) haftet der Datenexporteur gegenüber der betroffenen Person, und die betroffene Person hat Anspruch auf Entschädigung für jeglichen materiellen oder immateriellen Schaden, den der Datenexporteur oder der Datenimporteur (oder sein Unterauftragsverarbeiter) der betroffenen Person durch Verletzung der Rechte als Drittbegünstigter gemäß diesen Klauseln zufügt. Dies berührt nicht die Haftung des Datenexporteurs und, wenn der Datenexporteur ein Auftragsverarbeiter ist, der im Namen eines Verantwortlichen handelt, nicht die Haftung des Verantwortlichen gemäß der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725, je nach Anwendbarkeit.

(d)        Die Parteien sind sich einig, dass wenn der Datenexporteur gemäß Absatz (c) für Schäden, die durch den Datenimporteur (oder seinen Unterauftragsverarbeiter) verursacht wurden, haftbar gemacht wird, er berechtigt ist, vom Datenimporteur den Teil der Entschädigung zurückzufordern, der der Verantwortlichkeit des Datenimporteurs für den Schaden entspricht.

(e)        Wenn mehr als eine Partei für einen Schaden verantwortlich ist, der dem Dateninhaber infolge eines Verstoßes gegen diese Klauseln entsteht, haften alle verantwortlichen Parteien solidarisch, und die betroffene Person ist berechtigt, vor Gericht gegen eine dieser Parteien Klage zu erheben.

(f)         Die Parteien sind sich einig, dass wenn eine Partei gemäß Absatz (e) haftbar gemacht wird, sie berechtigt ist, von der anderen Partei(en) den Teil der Entschädigung zurückzufordern, der ihrer Verantwortlichkeit für den Schaden entspricht.

(g)        Der Datenimporteur kann das Verhalten eines Unterauftragsverarbeiters nicht geltend machen, um seine eigene Haftung zu vermeiden.

Klausel 13

(a)        Wenn der Datenexporteur in einem EU-Mitgliedstaat ansässig ist: Die Aufsichtsbehörde, die für die Überwachung der Einhaltung durch den Datenexporteur gemäß der Verordnung (EU) 2016/679 in Bezug auf die Datenübermittlung zuständig ist, wie in Anhang I.C angegeben, fungiert als zuständige Aufsichtsbehörde.

Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat ansässig ist, aber gemäß Artikel 3 Absatz 2 der Verordnung (EU) 2016/679 in den territorialen Anwendungsbereich dieser Verordnung fällt, ohne jedoch gemäß Artikel 27 Absatz 2 der Verordnung (EU) 2016/679 einen Vertreter bestellen zu müssen: Die Aufsichtsbehörde eines der Mitgliedstaaten, in dem die betroffenen Personen, deren personenbezogene Daten gemäß diesen Klauseln im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an sie übermittelt werden oder deren Verhalten überwacht wird, gemäß Anhang I.C angegeben sind, fungiert als zuständige Aufsichtsbehörde.

(b)        Der Datenimporteur erklärt sich damit einverstanden, sich der Zuständigkeit der zuständigen Aufsichtsbehörde zu unterwerfen und mit dieser zusammenzuarbeiten bei allen Verfahren, die darauf abzielen, die Einhaltung dieser Klauseln sicherzustellen. Insbesondere erklärt sich der Datenimporteur damit einverstanden, auf Anfragen zu antworten, sich Audits zu unterziehen und die von der Aufsichtsbehörde beschlossenen Maßnahmen, einschließlich Abhilfe- und Ausgleichsmaßnahmen, zu befolgen. Er bestätigt der Aufsichtsbehörde schriftlich, dass die erforderlichen Maßnahmen ergriffen wurden.

ABSCHNITT III – LOKALE GESETZE UND VERPFLICHTUNGEN BEI ZUGRIFF DURCH BEHÖRDEN

Klausel 14

Lokale Gesetze und Praktiken, die die Einhaltung der Klauseln beeinflussen

(a)       Die Parteien versichern, dass sie keinen Grund haben zu der Annahme, dass die Gesetze und Praktiken im Drittlandesziel, die auf die Verarbeitung der personenbezogenen Daten durch den Datenimporteur anwendbar sind, einschließlich etwaiger Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen zur Autorisierung des Zugriffs durch öffentliche Behörden, den Datenimporteur daran hindern, seinen Verpflichtungen gemäß diesen Klauseln nachzukommen. Dies beruht auf dem Verständnis, dass Gesetze und Praktiken, die den Kern der grundlegenden Rechte und Freiheiten respektieren und nicht über das hinausgehen, was in einer demokratischen Gesellschaft notwendig und angemessen ist, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele zu schützen, nicht im Widerspruch zu diesen Klauseln stehen.

(b)        Die Parteien erklären, dass sie bei der Bereitstellung der Gewährleistung gemäß Absatz (a) insbesondere die folgenden Elemente angemessen berücksichtigt haben:

(i)         die spezifischen Umstände der Übermittlung, einschließlich der Dauer der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übermittlungskanäle; beabsichtigte nachfolgende Übermittlungen; die Art des Empfängers; der Zweck der Verarbeitung; die Kategorien und das Format der übermittelnden personenbezogenen Daten; der Wirtschaftssektor, in dem die Übermittlung erfolgt; der Speicherort der übermittelnden Daten;

(ii)        die Gesetze und Praktiken des Drittlandes des Bestimmungsorts – einschließlich derjenigen, die die Offenlegung von Daten an öffentliche Behörden erfordern oder den Zugriff durch solche Behörden autorisieren –, die im Hinblick auf die spezifischen Umstände der Übermittlung relevant sind, sowie die anwendbaren Beschränkungen und Sicherheitsvorkehrungen;

(iii)       alle relevanten vertraglichen, technischen oder organisatorischen Sicherheitsvorkehrungen, die zusätzlich zu den Sicherheitsvorkehrungen gemäß diesen Klauseln implementiert wurden, einschließlich der während der Übertragung angewandten Maßnahmen und der Verarbeitung der personenbezogenen Daten im Bestimmungsland.

(c)        Der Datenimporteur garantiert, dass er bei der Durchführung der Bewertung gemäß Absatz (b) sein Bestes gegeben hat, um dem Datenexporteur relevante Informationen zur Verfügung zu stellen, und stimmt zu, dass er weiterhin mit dem Datenexporteur zusammenarbeiten wird, um die Einhaltung dieser Klauseln sicherzustellen.

(d)        Die Parteien stimmen zu, die Bewertung gemäß Absatz (b) zu dokumentieren und sie auf Anfrage der zuständigen Aufsichtsbehörde zur Verfügung zu stellen.

(e)        Der Datenimporteur verpflichtet sich, den Datenexporteur unverzüglich zu benachrichtigen, wenn er nach Zustimmung zu diesen Klauseln und für die Dauer des Vertrags Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterliegen könnte, die nicht den Anforderungen gemäß Absatz (a) entsprechen, einschließlich nach einer Änderung der Gesetze des Drittlandes oder einer Maßnahme (wie einer Offenlegungsanfrage), die darauf hinweist, dass eine solche Gesetzgebung in der Praxis nicht den Anforderungen in Absatz (a) entspricht. Der Datenexporteur leitet die Meldung an den für die Verarbeitung Verantwortlichen weiter.

(f)         Nach einer Benachrichtigung gemäß Absatz (e) oder wenn der Datenexporteur anderweitig Grund hat zu glauben, dass der Datenimporteur seine Verpflichtungen gemäß diesen Klauseln nicht mehr erfüllen kann, hat der Datenexporteur unverzüglich geeignete Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Sicherstellung der Sicherheit und Vertraulichkeit), die vom Datenexporteur und/oder Datenimporteur zu ergreifen sind, um der Situation zu begegnen, gegebenenfalls in Absprache mit dem für die Verarbeitung Verantwortlichen. Der Datenexporteur soll die Datenübermittlung aussetzen, wenn er der Ansicht ist, dass keine angemessenen Sicherheitsvorkehrungen für eine solche Übermittlung gewährleistet werden können, oder wenn er von dem für die Verarbeitung Verantwortlichen oder der zuständigen Aufsichtsbehörde angewiesen wird, dies zu tun. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft. Wenn der Vertrag mehr als zwei Parteien betrifft, kann der Datenexporteur dieses Kündigungsrecht nur gegenüber der betreffenden Partei ausüben, es sei denn, die Parteien haben etwas anderes vereinbart. Wenn der Vertrag gemäß dieser Klausel gekündigt wird, gelten Klausel 16(d) und (e).

Klausel 15

Verpflichtungen des Datenimporteurs bei Zugriff durch öffentliche Behörden

15.1   Benachrichtigung

(a)        Der Datenimporteur erklärt sich damit einverstanden, den Datenexporteur und, soweit möglich, den betroffenen Datenbetroffenen unverzüglich zu benachrichtigen (falls erforderlich mithilfe des Datenexporteurs), wenn er:

(i)         einen rechtlich bindenden Antrag von einer öffentlichen Behörde, einschließlich Justizbehörden, unter den Gesetzen des Bestimmungslandes für die Offenlegung von gemäß diesen Klauseln übermittelnden personenbezogenen Daten erhält; eine solche Benachrichtigung soll Informationen über die angeforderten personenbezogenen Daten, die anfordernde Behörde, die rechtliche Grundlage für die Anfrage und die gegebene Antwort enthalten; oder

(ii)        Kenntnis von einem direkten Zugriff öffentlicher Behörden auf gemäß diesen Klauseln übermittelnden personenbezogene Daten gemäß den Gesetzen des Bestimmungslandes erlangt; eine solche Benachrichtigung soll alle dem Importeur zur Verfügung stehenden Informationen enthalten.

Der Datenexporteur leitet die Meldung an den für die Verarbeitung Verantwortlichen weiter.

(b)         Wenn der Datenimporteur gemäß den Gesetzen des Bestimmungslandes daran gehindert ist, den Datenexporteur und/oder den betroffenen Datenbetroffenen zu benachrichtigen, erklärt sich der Datenimporteur damit einverstanden, sein Bestes zu tun, um eine Befreiung von dem Verbot zu erwirken, mit dem Ziel, so bald wie möglich so viele Informationen wie möglich zu kommunizieren. Der Datenimporteur erklärt sich damit einverstanden, seine besten Bemühungen zu dokumentieren, um sie auf Anfrage des Datenexporteurs nachweisen zu können.

(c)         Soweit dies nach den Gesetzen des Bestimmungslandes zulässig ist, erklärt sich der Datenimporteur damit einverstanden, dem Datenexporteur in regelmäßigen Abständen für die Dauer des Vertrags so viele relevante Informationen wie möglich über die erhaltenen Anfragen zur Verfügung zu stellen (insbesondere Anzahl der Anfragen, Art der angeforderten Daten, anfordernde Behörde/n, ob Anfragen angefochten wurden und das Ergebnis solcher Anfechtungen usw.). Der Datenexporteur leitet die Informationen an den für die Verarbeitung Verantwortlichen weiter.

(d)         Der Datenimporteur erklärt sich damit einverstanden, die Informationen gemäß den Absätzen (a) bis (c) für die Dauer des Vertrags aufzubewahren und sie auf Anfrage der zuständigen Aufsichtsbehörde zur Verfügung zu stellen.

(e)         Die Absätze (a) bis (c) berühren nicht die Verpflichtung des Datenimporteurs gemäß Klausel 14(e) und Klausel 16, den Datenexporteur unverzüglich zu informieren, wenn er diesen Klauseln nicht nachkommen kann.

15.2   Überprüfung der Rechtmäßigkeit und Datenminimierung

(a)        Der Datenimporteur erklärt sich damit einverstanden, die Rechtmäßigkeit des Offenlegungsantrags zu überprüfen, insbesondere ob er sich innerhalb der Befugnisse befindet, die der anfordernden Behörde erteilt wurden, und den Antrag anzufechten, wenn er nach sorgfältiger Prüfung zu dem Schluss kommt, dass es vernünftige Gründe gibt anzunehmen, dass der Antrag nach den Gesetzen des Bestimmungslandes, den anwendbaren Verpflichtungen des Völkerrechts und den Grundsätzen des Völkervertragsrechts rechtswidrig ist. Der Datenimporteur wird unter denselben Bedingungen Möglichkeiten der Berufung verfolgen. Beim Anfechten eines Antrags wird der Datenimporteur vorläufige Maßnahmen mit dem Ziel suchen, die Auswirkungen des Antrags auszusetzen, bis die zuständige gerichtliche Behörde über seine Rechtmäßigkeit entschieden hat. Er darf die angeforderten personenbezogenen Daten nicht offenlegen, bis er dazu gemäß den anwendbaren Verfahrensregeln verpflichtet ist. Diese Anforderungen berühren nicht die Verpflichtungen des Datenimporteurs gemäß Klausel 14(e).

(b)        Der Datenimporteur verpflichtet sich, seine rechtliche Bewertung und eventuelle Anfechtung des Auskunftsersuchens zu dokumentieren und die Dokumentation, soweit dies nach den Gesetzen des Bestimmungslandes zulässig ist, dem Datenexporteur zur Verfügung zu stellen. Er wird es auch auf Anfrage der zuständigen Aufsichtsbehörde zur Verfügung stellen. Der Datenexporteur stellt dem für die Verarbeitung Verantwortlichen die Bewertung zur Verfügung.

(c)        Der Datenimporteur verpflichtet sich, bei der Beantwortung eines Auskunftsersuchens auf der Grundlage einer angemessenen Auslegung des Ersuchens die minimal zulässige Menge an Informationen bereitzustellen.

ABSCHNITT IV – SCHLUSSBESTIMMUNGEN

Klausel 16

Nichteinhaltung der Klauseln und Beendigung

(a)        Der Datenimporteur wird den Datenexporteur umgehend informieren, wenn er aus irgendeinem Grund diesen Klauseln nicht nachkommen kann.

(b)        Im Falle eines Verstoßes gegen diese Klauseln oder der Unfähigkeit, diesen Klauseln nachzukommen, wird der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aussetzen, bis die Einhaltung wieder gewährleistet ist oder der Vertrag gekündigt wird. Dies berührt nicht die Bestimmung gemäß Klausel 14(f).

(c)        Der Datenexporteur ist berechtigt, den Vertrag insoweit zu kündigen, als er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn:

(i)         der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Absatz (b) ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist und auf jeden Fall innerhalb eines Monats nach der Aussetzung wiederhergestellt wird.

(ii)        der Datenimporteur diese Klauseln in wesentlicher oder anhaltender Weise verletzt; oder

(iii)       der Datenimporteur einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer Aufsichtsbehörde bezüglich seiner Verpflichtungen aus diesen Klauseln nicht nachkommt.

In diesen Fällen informiert er die zuständige Aufsichtsbehörde und den für die Verarbeitung Verantwortlichen über eine solche Nichterfüllung. Sind an dem Vertrag mehr als zwei Parteien beteiligt, kann der Datenexporteur dieses Kündigungsrecht nur gegenüber der betreffenden Partei ausüben, es sei denn, die Parteien haben etwas anderes vereinbart.

(d)        Personenbezogene Daten, die vor der Kündigung des Vertrags gemäß Absatz (c) übermittelt wurden, werden auf Wunsch des Datenexporteurs unverzüglich entweder an den Datenexporteur zurückgegeben oder vollständig gelöscht. Dasselbe gilt für alle Kopien der Daten. Der Datenimporteur soll dem Datenexporteur die Löschung der Daten bescheinigen. Bis die Daten gelöscht oder zurückgegeben werden, muss der Datenimporteur weiterhin sicherstellen, dass diese Klauseln eingehalten werden. Im Falle von geltenden lokalen Gesetzen, die es dem Datenimporteur verbieten, die übermittelten personenbezogenen Daten zurückzugeben oder zu löschen, sichert der Datenimporteur zu, die Einhaltung dieser Klauseln weiterhin zu gewährleisten und die Daten nur in dem Umfang und für die Dauer zu verarbeiten, die nach diesem lokalen Recht erforderlich sind.

(e)        Jede Partei kann ihr Einverständnis, an diese Klauseln gebunden zu sein, widerrufen, wenn (i) die Europäische Kommission einen Beschluss gemäß Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 erlässt, der die Übermittlung personenbezogener Daten betrifft, für die diese Klauseln gelten, oder (ii) die Verordnung (EU) 2016/679 Teil des rechtlichen Frameworks des Landes wird, in das die personenbezogenen Daten übermittelt werden. Dies berührt nicht andere Verpflichtungen, die für die betreffende Verarbeitung gemäß der Verordnung (EU) 2016/679 gelten.

Klausel 17

Geltendes Recht

Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, sofern dieses Recht Drittbegünstigtenrechte zulässt. Die Parteien sind sich einig, dass dies das Recht der Republik Irland sein soll.

Klausel 18

Wahl des Gerichtsstands und der Gerichtsbarkeit

(a)        Alle Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten eines EU-Mitgliedsstaates entschieden

(b)        Die Parteien vereinbaren, dass dies die Gerichte der Republik Irland sein sollen.

(c)        Ein betroffenes Individuum kann auch rechtliche Schritte gegen den Datenexporteur und/oder Datenimporteur vor den Gerichten des Mitgliedstaats einleiten, in dem er/sie seinen/ihren gewöhnlichen Aufenthalt hat.

(d)        Die Parteien erklären sich damit einverstanden, sich der Gerichtsbarkeit dieser Gerichte zu unterwerfen.

 

ANHANG I

  1. LISTE DER PARTEIEN

Datenexporteur(e):

Name: Das Unternehmen, das in dem DPA oder der Vereinbarung als „Kunde“ bezeichnet wird.

Adresse: Die Adresse des Kunden, wie sie in dem DPA oder der Vereinbarung angegeben ist.

Name, Position und Kontaktdaten der Kontaktperson: Die Kontaktdaten des Kunden, wie in dem DPA oder in der Vereinbarung angegeben.

Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: die in Abschnitt 2.3 und Anhang 1 des DPA genannten Tätigkeiten.

Unterschrift und Datum: Mit dem Abschluss der Vereinbarung und des DPA und der Nutzung der Services für EWR-Übermittlungen wird davon ausgegangen, dass der Datenexporteur diese Standardvertragsklauseln und ihre jeweiligen Anhänge unterzeichnet hat.

Rolle (Verantwortlicher/Verarbeiter): Verarbeiter

Datenimporteur(e):

Name: monday.com, wie in dem DPA angegeben.

Adresse: die Adresse von monday.com, wie sie in der Vereinbarung angegeben ist.

Name, Position und Kontaktdaten der Kontaktperson: Die in der Vereinbarung angegebenen Kontaktdaten für monday.com.

Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind:

Die in Abschnitt 2.3 und Anhang 1 des DPA genannten Tätigkeiten.

Unterschrift und Datum: Durch den Abschluss der Vereinbarung und des DPA und die Durchführung von EWR-Übermittlungen als Datenimporteur im Namen des Datenexporteurs wird davon ausgegangen, dass der Datenimporteur diese Standardvertragsklauseln und ihre jeweiligen Anhänge unterzeichnet hat.

Rolle (Verantwortlicher/Verarbeiter): Verarbeiter

  1. BESCHREIBUNG DER ÜBERMITTLUNG

Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden

Die Kategorien der betroffenen Personen sind in Anhang 1 (Einzelheiten der Verarbeitung) des DPA beschrieben.

Kategorien der übermittelten personenbezogenen Daten

Die Kategorien personenbezogener Daten sind in Anhang 1 (Einzelheiten der Verarbeitung) des DPA beschrieben.

Übermittelte sensible Daten (falls zutreffend) und angewandte Einschränkungen oder Sicherheitsvorkehrungen, die die Art der Daten und die damit verbundenen Risiken vollständig berücksichtigen, wie etwa strikte Zweckbindung, Zugriffsbeschränkungen (einschließlich Zugang nur für Mitarbeiter, die eine spezialisierte Schulung absolviert haben), das Führen eines Zugriffsprotokolls auf die Daten, Einschränkungen für Weiterübermittlungen oder zusätzliche Sicherheitsmaßnahmen.

Die Parteien beabsichtigen nicht, sensible Daten zu übermitteln, außer in Übereinstimmung mit Abschnitt 2.5 des DPA.

Die Häufigkeit der Übermittlung (z. B. ob die Daten einmalig oder kontinuierlich übermitteln werden).

Personenbezogene Daten werden entsprechend der Nutzung der Services durch den Kunden und der Übermittlung personenbezogener Daten an die Services kontinuierlich übertragen.

Art der Verarbeitung

Die Art der Verarbeitung ist in Anhang 1 (Einzelheiten der Verarbeitung) des DPA beschrieben.

Zweck(e) der Datenübermittlung und -verarbeitung

Der Zweck der Verarbeitung ist in Anhang 1 (Einzelheiten der Verarbeitung) des DPA beschrieben.

Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, nach denen dieser Zeitraum festgelegt wird

Personenbezogene Daten werden für die Dauer der Vereinbarung aufbewahrt, es sei denn, in der Vereinbarung und/oder dem DPA wurde etwas anderes vereinbart.

Bei Übermittlungen an (Unter-)Verarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben

In Bezug auf die Übermittlung an Unterauftragsverarbeiter sind der Gegenstand und die Art der Verarbeitung unter dem Link in Abschnitt 5.2.1 des DPA aufgeführt. Die Dauer der Verarbeitung durch Unterauftragsverarbeiter entspricht der Dauer des Vertrags, sofern im Vertrag und/oder in dem DPA nichts anderes vereinbart wurde.

  1. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

Bestimmung der zuständigen Aufsichtsbehörde(n) gemäß Klausel 13

Die zuständige Aufsichtsbehörde des Datenexporteurs wird in Übereinstimmung mit der DSGVO bestimmt.

ANHANG II

TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MASSNAHMEN, UM DIE SICHERHEIT DER DATEN SICHERZUSTELLEN

Beschreibung der technischen und organisatorischen Maßnahmen, die vom Datenimporteur(en) umgesetzt wurden (einschließlich aller relevanten Zertifizierungen), um ein angemessenes Sicherheitsniveau zu gewährleisten, unter Berücksichtigung der Art, des Umfangs, des Kontexts und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen.

Die technischen und organisatorischen Maßnahmen (einschließlich der vom Datenimporteur gehaltenen Zertifizierungen) sowie der Umfang und das Ausmaß der erforderlichen Unterstützung, um auf Anfragen von betroffenen Personen zu reagieren, sind in dem DPA und der Sicherheitsdokumentation beschrieben.

Bei Übermittlungen an (Unter-)Auftragsverarbeiter müssen außerdem die spezifischen technischen und organisatorischen Maßnahmen beschrieben werden, die der (Unter-)Auftragsverarbeiter ergreifen muss, um den für die Verarbeitung Verantwortlichen und – bei Übermittlungen von einem Auftragsverarbeiter an einen Unterauftragsverarbeiter – den Datenexporteur unterstützen zu können.

Die technischen und organisatorischen Maßnahmen, die der Datenimporteur den Unterauftragsverarbeitern auferlegen wird, sind in dem DPA beschrieben.

ANHANG III

GRENZÜBERSCHREITENDE ÜBERMITTLUNGEN UK

Tabelle 1: Die Parteien: wie in Anhang I.A festgelegt.

Tabelle 2: Ausgewählte SVK, Module und ausgewählte Klauseln: wie in Anhang I festgelegt.

Tabelle 3: Anhangsinformationen: bezieht sich auf die Informationen, die für die ausgewählten Module gemäß dem Anhang der EU-SVK (außer den Parteien) bereitgestellt werden müssen und die für diesen Anhang III in Anhang I dargelegt sind.

Anahme dieses Anhangs III:

  1. Jede Partei erklärt sich damit einverstanden, an die in diesem Anhang III festgelegten Bedingungen gebunden zu sein, und zwar im Gegenzug dafür, dass die andere Partei sich ebenfalls mit diesem Anhang III einverstanden erklärt.
  2. Obwohl Anhang I.A und Klausel 7 der EU-SVK die Unterzeichnung durch die Parteien erfordern, können die Parteien für die Zwecke der Übermittlung von Daten in das Vereinigte Königreich diesen Anhang III in einer Weise abschließen, die ihn für die Parteien rechtsverbindlich macht und es den betroffenen Personen ermöglicht, ihre in diesem Anhang III festgelegten Rechte durchzusetzen. Die Annahme dieses Anhangs III hat die gleiche Wirkung wie die Unterzeichnung der EU-SVK und jedes Teils der EU-SVK.

Auslegung dieses Anhangs III:

  1.  Wenn in diesem Anhang III Begriffe verwendet werden, die in den EU-SVK definiert sind, haben diese Begriffe die gleiche Bedeutung wie in den EU-SVK. Darüber hinaus haben die folgenden Begriffe die folgende Bedeutung:
Nachtrag zu den EU-Standardvertragsklauseln (EU-SVK) Die Version(en) der EU-SVK, an die dieser Anhang III angehängt ist, wie in Tabelle 2 dargelegt, einschließlich der Anhangsinformationen.
Informationen zum Anhang Wie in Tabelle 3 dargelegt.
Angemessene Sicherheitsvorkehrungen Das Schutzniveau für die personenbezogenen Daten und die Rechte der betroffenen Personen, das nach den Datenschutzgesetzen im Vereinigten Königreich erforderlich ist, wenn die Parteien eine Übermittlung in das Vereinigte Königreich vornehmen und sich dabei auf die Standard-Datenschutzklauseln gemäß Artikel 46(2)(d) DSGVO des Vereinigten Königreichs stützen.
Standardvertragsklauseln Wie in dem DPA definiert
ICO Der Informationsbeauftragte.
ANHANG III Dieser Anhang III, der aus diesem Anhang III besteht, einschließlich des Nachtrags zu den EU-SVK.
UK Nachtrag Wie in dem DPA definiert
UK Datenschutzgesetze Alle Gesetze zum Datenschutz, zur Verarbeitung personenbezogener Daten, zum Schutz der Privatsphäre und/oder zur elektronischen Kommunikation, die von Zeit zu Zeit im Vereinigten Königreich gelten, einschließlich der DSGVO des Vereinigten Königreichs und des Data Protection Act 2018.
DSGVO des Vereinigten Königreichs Wie in Abschnitt 3 des Data Protection Act 2018 definiert.
UK Das Vereinigte Königreich von Großbritannien und Nordirland.
Übermittlung UK Eine Übermittlung, die unter Kapitel V der DSGVO des Vereinigten Königreichs fällt.

 

  1.  Dieser Anhang III muss immer so ausgelegt werden, dass er mit den Datenschutzgesetzen im Vereinigten Königreich übereinstimmt und er die Verpflichtung der Vertragsparteien erfüllt, die angemessenen Sicherheitsvorkehrungen zu treffen.
  2.   Sollten die im Nachtrag EU-SVK enthaltenen Bestimmungen die EU-SVK in einer Weise ändern, die nach den EU-SVK oder diesem Anhang III nicht zulässig ist, werden diese Änderung(en) nicht in diesen Anhang III übernommen und die entsprechende Bestimmung der EU-SVK tritt an ihre Stelle.
  3.    Im Falle von Widersprüchen oder Konflikten zwischen den Datenschutzgesetzen des Vereinigten Königreichs und diesem Anhang III gelten die Datenschutzgesetze des Vereinigten Königreichs.
  4.    Wenn die Bedeutung dieses Anhangs III unklar ist oder es mehr als eine Bedeutung gibt, gilt die Bedeutung, die am ehesten mit den Datenschutzgesetzen des Vereinigten Königreichs übereinstimmt.
  5.  Jede Bezugnahme auf Rechtsvorschriften (oder bestimmte Bestimmungen von Rechtsvorschriften) bedeutet, dass sich die Rechtsvorschriften (oder bestimmte Bestimmungen) im Laufe der Zeit ändern können. Dies gilt auch für den Fall, dass diese Gesetzgebung (oder eine spezifische Bestimmung) konsolidiert, wieder in Kraft gesetzt und/oder ersetzt wurde, nachdem dieses DPA abgeschlossen wurde.

Hierarchie:

  1.   Obwohl Klausel 5 der EU-SVK festlegt, dass die EU-SVK Vorrang vor allen verwandten Vereinbarungen zwischen den Parteien haben, stimmen die Parteien zu, dass für eine Übermittlung in das Vereinigte Königreich die Hierarchie in Abschnitt ‎10 unten Vorrang haben wird.
  2. Wenn es Unstimmigkeiten oder Konflikte zwischen diesem Anhang III und dem Nachtrag zu den EU-SVK (soweit anwendbar) gibt, hat dieser Anhang III Vorrang vor dem Nachtrag zu den EU-SVK, es sei denn, die unstimmigen oder widersprüchlichen Bedingungen des Nachtrags zu den EU-SVK bieten einen größeren Schutz für die betroffenen Personen. In diesem Fall haben diese Bedingungen Vorrang vor den Bestimmungen dieses Anhangs III.
  3. Wenn dieser Anhang III den Nachtrag zu den EU-SVK enthält, der abgeschlossen wurde, um Übermittlungen zu schützen, die der Datenschutz-Grundverordnung (EU) 2016/679 unterliegen, dann erkennen die Parteien an, dass nichts in diesem Anhang III diesen Nachtrag der EU-SVK beeinträchtigt.

Einbeziehung und Änderungen der EU-SVK:

  1. Dieser Anhang III enthält den Nachtrag der EU-SVK, das im erforderlichen Umfang geändert wird, sodass:
  2.    Sie gelten gemeinsam für Datenübermittlungen durch den Datenexporteur an den Datenimporteur, soweit die Datenschutzgesetze des Vereinigten Königreichs auf die Verarbeitung durch den Datenexporteur bei dieser Datenübermittlung anwendbar sind, und sie bieten angemessene Sicherheitsvorkehrungen für diese Datenübermittlung;
  3.    Die Abschnitte 9 bis 11 setzen Klausel 5 (Hierarchie) der EU-SVK außer Kraft; und
  4.  Dieser Anhang III (einschließlich des darin enthaltenen Nachtrags EU-SVK) unterliegt (1) dem Recht von England und Wales und (2) alle sich daraus ergebenden Streitigkeiten werden von den Gerichten von England und Wales entschieden, es sei denn, die Parteien haben ausdrücklich die Gesetze und/oder Gerichte von Schottland oder Nordirland gewählt.
  5. Sofern die Parteien keine alternativen Änderungen vereinbart haben, die den Anforderungen des Abschnitts 12 oben entsprechen, gelten die Bestimmungen des Abschnitts ‎15 unten.
  6. Änderungen an den EU-SVK dürfen nur vorgenommen werden, um die Anforderungen des Abschnitts ‎12 oben zu erfüllen.
  7. Es werden die folgenden Änderungen am Nachtrag EU-SVK (für die Zwecke von Abschnitt 12 oben) vorgenommen:
  8.    Verweise auf die „Klauseln“ beziehen sich auf diesen Anhang III, einschließlich des Nachtrags der EU-SVK;
  9.    In Klausel 2 werden die Worte gestrichen:

„und, in Bezug auf die Übermittlung von Daten von Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter, Standardvertragsklauseln gemäß Artikel 28(7) der

Verordnung (EU) 2016/679“;

  1.     Klausel 6 (Beschreibung der Übermittlung(en)) wird ersetzt durch:

„Die Einzelheiten der Übermittlung(en) und insbesondere die Kategorien personenbezogener Daten, die übermittelt werden, und der Zweck/die Zwecke, zu dem/denen sie übermittelt werden, sind in Anhang I.B aufgeführt, wenn die Datenschutzgesetze des Vereinigten Königreichs für die Verarbeitung durch den Datenexporteur bei der Übermittlung gelten.“

  1.    Klausel 8.8 wird ersetzt durch:

„die Übermittlung erfolgt in ein Land, das von den Bestimmungen zur Angemessenheit gemäß Abschnitt 17A der DSGVO des Vereinigten Königreichs profitiert, die die Übermittlung abdeckt;“

  1.   Verweise auf „Verordnung (EU) 2016/679“, „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und über den freien Datenverkehr (Datenschutz-Grundverordnung)“ und „diese Verordnung“ werden alle durch „UK Datenschutzgesetze“ ersetzt. Verweise auf spezifische Artikel der „Verordnung (EU) 2016/679“ werden durch den entsprechenden Artikel oder Abschnitt der UK Datenschutzgesetze ersetzt.
  2.      Verweise auf die Verordnung (EU) 2018/1725 werden entfernt;
  3.    Verweise auf die „Europäische Union“, „Union“, „EU“, „EU-Mitgliedstaat“, „Mitgliedstaat“ und „EU oder Mitgliedstaat“ werden alle durch „UK (Vereinigtes Königreich)“ ersetzt;
  4.    Klausel 13(a) und Teil C von Anhang I werden nicht verwendet;
  5.    Die Begriffe „zuständige Aufsichtsbehörde“ und „Aufsichtsbehörde“ werden beide durch „Informationsbeauftragter“ ersetzt;
  6.      In Klausel 16(e) erhält Unterabschnitt (i) folgende Fassung:

„der Minister erlässt Verordnungen gemäß Abschnitt 17A des Data Protection Act 2018, die die Übermittlung personenbezogener Daten betreffen, auf die diese Klauseln Anwendung finden;“;

  1.     Klausel 17 wird ersetzt durch:

„Diese Klauseln unterliegen den Gesetzen von England und Wales.“;

  1.      Klausel 8.8 wird ersetzt durch:

„Alle Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten in England und Wales entschieden. Eine betroffene Person kann auch vor den Gerichten eines jeden Landes im Vereinigten Königreich gegen den Datenexporteur und/oder Datenimporteur klagen. Die Parteien erklären sich damit einverstanden, sich der Gerichtsbarkeit dieser Gerichte zu unterwerfen.“; und

 

  1. Die Fußnoten zu den EU-SVK sind mit Ausnahme der Fußnoten 8, 9, 10 und 11 nicht Teil dieses Anhangs III.

Änderungen zu diesem Anhang III:

  1. Die Parteien können vereinbaren, Klausel 17 und/oder 18 dieses Anhangs III zu ändern, um auf die Gesetze und/oder Gerichte von Schottland oder Nordirland zu verweisen.
  2. Wenn die Vertragsparteien das Format der in den Tabellen 1, 2 oder 3 dieses Anhangs III enthaltenen Informationen ändern möchten, können sie dies tun, indem sie der Änderung schriftlich zustimmen, vorausgesetzt, dass die Änderung nicht zu einer Verringerung der angemessenen Sicherheitsvorkehrungen führt.
  3. Von Zeit zu Zeit kann die ICO einen überarbeiteten UK-Nachtrag herausgeben, das:
  4.   angemessene und verhältnismäßige Änderungen am UK-Nachtrag vornimmt, einschließlich der Korrektur von Fehlern im UK Nachtrag; und/oder
  5.    die Änderungen der Datenschutzgesetze im Vereinigten Königreich widerspiegelt;

Der überarbeitete UK-Nachtrag wird das Startdatum festlegen, ab dem die Änderungen am UK-Nachtrag wirksam werden, und ob die Parteien diesen Anhang III einschließlich der Anhangsinformationen überprüfen müssen. Dieser Anhang III wird ab dem angegebenen Anfangsdatum automatisch gemäß dem überarbeiteten UK-Nachtrag geändert.

  1. Wenn die ICO gemäß Abschnitt ‎18 einen überarbeiteten UK-Nachtrag herausgibt und wenn eine Partei als direkte Folge der Änderungen im UK-Nachtrag einen erheblichen, unverhältnismäßigen und nachweisbaren Anstieg hat:
  2.    Die direkten Kosten für die Erfüllung seiner Verpflichtungen gemäß diesem Anhang III und/oder
  3.    Sein Risiko im Rahmen dieses Anhangs III,

und sie in beiden Fällen zunächst angemessene Schritte unternommen hat, um diese Kosten oder Risiken zu verringern, sodass sie nicht erheblich und unverhältnismäßig sind, kann diese Vertragspartei diesen Anhang III nach Ablauf einer angemessenen Kündigungsfrist beenden, indem sie der anderen Vertragspartei vor dem Beginn des geänderten UK-Nachtrags eine schriftliche Mitteilung für diesen Zeitraum übermittelt.

  1. Die Vertragsparteien benötigen nicht die Zustimmung Dritter, um Änderungen an diesem Anhang III vorzunehmen, aber alle Änderungen müssen im Einklang mit dessen Bestimmungen erfolgen.

ANHANG IV

GRENZÜBERSCHREITENDE ÜBERMITTLUNGEN SCHWEIZ

Die Parteien sind sich einig, dass die EU-SVK, wie durch Anhang I geändert, wie unten dargelegt angepasst werden, wenn das Bundesgesetz über den Datenschutz vom 19. Juni 1992 (das „BDS“) und in der überarbeiteten Fassung vom 25. September 2020 (das „überarbeitete BDS“) auf Übermittlungen in die Schweiz anwendbar ist:

  1.    Verweise auf die EU-SVK beziehen sich auf die EU-SVK in der durch Anhang IV geänderten Fassung;
  2. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte („FDPIC“) ist die alleinige Aufsichtsbehörde für Übermittlungen in die Schweiz, die ausschließlich dem BDS unterliegen.
  3.  Die Begriffe „Allgemeine Datenschutzverordnung“ oder „Verordnung (EU) 2016/679“, wie sie in den EU-SVK verwendet werden, sind so auszulegen, dass sie das BDS in Bezug auf Übermittlungen in die Schweiz einschließen.
  4.    Verweise auf die Verordnung (EU) 2018/1725 werden entfernt.
  5.  Die Übermittlung von Daten in die Schweiz, die sowohl dem BDS als auch der DSGVO unterliegen, wird von der in Anhang I genannten EU-Aufsichtsbehörde gehandhabt;
  6.    Verweise auf die „Union“, die „EU“ und den „EU-Mitgliedstaat“ sind nicht so auszulegen, dass sie betroffene Personen in der Schweiz von der Möglichkeit ausschließen, ihre Rechte an ihrem gewöhnlichen Aufenthaltsort (Schweiz) gemäß Artikel 18(c) der EU-SVK auszuüben;
  7.    Wenn Übermittlungen in die Schweiz ausschließlich dem BDS unterliegen, sind alle Verweise auf die DSGVO in den EU-SVK als Verweise auf das BDS zu verstehen;
  8.    Wenn Übermittlungen in die Schweiz sowohl dem BDS als auch der EU-DSGVO unterliegen, sind alle Verweise auf die DSGVO in den EU-SVK so zu verstehen, dass sie sich auf das FADP beziehen, soweit die Übermittlung in die Schweiz dem BDS unterliegen.
  9.   Die schweizerischen SVK schützen auch die persönlichen Daten von juristischen Personen bis zum Inkrafttreten des revidierten BDS.

ANHANG V

ZUSÄTZLICHE SICHERHEITSVORKEHRUNGEN

  1. Im Falle einer Übermittlung, auf die die Standardvertragsklauseln Anwendung finden, vereinbaren die Parteien, diese gegebenenfalls durch die folgenden Sicherheitsvorkehrungen und Zusicherungen zu ergänzen:

(a) Der Datenimporteur verfügt über Maßnahmen zum Schutz der personenbezogenen Daten vor dem Abfangen (einschließlich des Transits vom Datenexporteur zum Datenimporteur und zwischen verschiedenen Systemen und Diensten) und hält diese in Übereinstimmung mit der guten Industriepraxis aufrecht. Dazu gehört die Einrichtung und Aufrechterhaltung eines Netzwerkschutzes, der Angreifern das Abfangen von Daten verwehrt, sowie die Verschlüsselung personenbezogener Daten während der Übertragung und im Ruhezustand, um Angreifern das Lesen von Daten zu verwehren.

(b) Der Datenimporteur unternimmt alle wirtschaftlich vertretbaren Anstrengungen, um sich vorbehaltlich der anwendbaren Gesetze jedem Ersuchen um Massenüberwachung in Bezug auf personenbezogene Daten zu widersetzen, die im Rahmen der DSGVO, der DSGVO des Vereinigten Königreichs oder des BDS geschützt sind, einschließlich im Rahmen von Abschnitt 702 des United States Foreign Intelligence Surveillance Act („FISA“);

(c) Wenn der Datenimporteur davon Kenntnis erlangt, dass eine staatliche Behörde (einschließlich der Strafverfolgungsbehörden) auf freiwilliger oder obligatorischer Basis Zugriff auf einige oder alle personenbezogenen Daten oder eine Kopie davon erhalten möchte, dann gilt dies, sofern es nicht gesetzlich verboten ist oder ein zwingender gesetzlicher Zwang etwas anderes verlangt:

(i) Der Datenimporteur informiert die zuständige staatliche Behörde darüber, dass der Datenimporteur ein Verarbeiter der personenbezogenen Daten ist und der Datenexporteur den Datenimporteur nicht ermächtigt hat, die personenbezogenen Daten an die staatliche Behörde weiterzugeben, und informiert die zuständige staatliche Behörde darüber, dass alle Anträge oder Forderungen nach Zugriff auf die personenbezogenen Daten daher dem Datenexporteur schriftlich mitgeteilt oder zugestellt werden sollten;

(ii) Der Datenimporteur wird wirtschaftlich vertretbare rechtliche Mechanismen nutzen, um jede derartige Forderung nach Zugriff auf personenbezogene Daten, die sich unter der Kontrolle des Datenimporteurs befinden, anzufechten. Ungeachtet des Vorstehenden (a) erkennt der Datenexporteur an, dass eine solche Anfechtung angesichts der Art, des Umfangs, des Kontextes und der Zwecke des beabsichtigten behördlichen Zugriffs nicht immer sinnvoll oder möglich ist, und (b) wenn der Datenimporteur unter Berücksichtigung der Art, des Umfangs, des Kontextes und der Zwecke des beabsichtigten behördlichen Zugriffs auf personenbezogene Daten in gutem Glauben und in angemessener Weise davon ausgeht, dass ein dringender Zugriff erforderlich ist, um die unmittelbare Gefahr eines ernsthaften Schadens für eine natürliche oder juristische Person abzuwenden, gilt dieser Unterabschnitt (e)(II) nicht. In einem solchen Fall benachrichtigt der Datenimporteur den Datenexporteur so schnell wie möglich nach dem Zugriff durch die Regierungsbehörde und teilt dem Datenexporteur die entsprechenden Einzelheiten mit, sofern dies nicht gesetzlich verboten ist.

  1. Einmal in jedem 12-Monats-Zeitraum informiert der Datenimporteur den Datenexporteur auf dessen schriftliches Ersuchen hin über die Arten verbindlicher rechtlicher Anforderungen an personenbezogene Daten, die er erhalten hat, und zwar ausschließlich in dem Umfang, in dem solche Anforderungen eingegangen sind, einschließlich nationaler Sicherheitsanordnungen und -direktiven, die alle gemäß Abschnitt 702 des FISA erlassenen Verfahren einschließen.
HAFTUNGSAUSSCHLUSS: Bei dieser Version handelt es sich um eine Übersetzung des englischen Originals, die nur zur Vereinfachung bereitgestellt wird. Das englische Original ist die offizielle und rechtlich verbindliche Version und hat im Falle einer Abweichung Vorrang.

Wir befähigen Teams, gemeinsam mehr zu erreichen

14-tägige kostenlose Testversion | Keine Kreditkarte erforderlich