Diese Vereinbarung zur Datenverarbeitung nach der Datenschutz-Grundverordnung („DVV“) wird von und zwischen Celartem, Inc. DBA Extensis oder LizardTech („Extensis“) und dem Partner geschlossen und regelt die Verarbeitung personenbezogener Daten durch Extensis, soweit sich diese personenbezogenen Daten auf natürliche Personen im Europäischen Wirtschaftsraum („EWR“), im Vereinigten Königreich („UK“) oder in der Schweiz im Zusammenhang mit den Verpflichtungen von Extensis aus der Vereinbarung beziehen.
Die Parteien vereinbaren zum Zweck dieser DPA, dass der Partner ein Datenverantwortlicher und Extensis ein Datenverarbeiter ist.
- Anwendbares Recht. Extensis sichert zu und gewährleistet, dass es die Einhaltung aller anwendbaren Rechtsvorschriften zum Datenschutz stets beachten wird.
- Weisung vom Partner. Extensis wird personenbezogene Daten nur auf Basis einer dokumentierten Weisung vom Partner verarbeiten, einschließlich bezüglich der Übertragung von personenbezogenen Daten in ein Drittland oder zu einer internationalen Organisation, soweit dies nicht durch die Rechtsvorschriften der Europäischen Union oder eines Mitgliedstaates, denen Extensis Folge zu leisten hat, verlangt wird. Extensis wird den Partner unverzüglich informieren, falls die Weisung des Partners zu einem Verstoß gegen geltende Datenschutzvorschriften führen würde oder falls Extensis personenbezogene Daten in Erfüllung einer rechtlichen Verpflichtung offenlegen muss (soweit die rechtliche Verpflichtung Extensis nicht untersagt, eine solche Offenlegung durchzuführen). Zur Vermeidung von Zweifeln gilt, dass die dokumentierte Weisung des Partners die vorliegende DPA einschließt.
- Vertraulichkeit. Extensis wird den Zugriff auf personenbezogene Daten auf jene befugten Personen beschränken, die solche Informationen benötigen, um die Dienste bereitzustellen. Extensis wird sicherstellen, dass solche befugten Personen der Verpflichtung unterliegen, die Vertraulichkeit jeglicher personenbezogener Daten zu bewahren.
- Sicherheit. Extensis wird entsprechende technische und organisatorische Maßnahmen treffen, um für ein Sicherheitsniveau zu sorgen, das für die vom Partner bereitgestellten und von Extensis verarbeiteten personenbezogenen Daten angemessen ist.
- Unterauftragsverarbeiter. Der Partner stimmt zu, dass Extensis andere Verarbeiter („Unterauftragsverarbeiter“) beauftragen kann, um die Bereitstellung der Dienste im Einklang mit den Bestimmungen dieser DPA zu unterstützen. Extensis wird eine Liste solcher Unterauftragsverarbeiter über einen Webseiten-Link zur Verfügung stellen. Dem Partner wird eine Frist von 30 Kalendertagen ab Datum der Aktualisierung der Liste gewährt, um dem Einsatz der neuen Unterauftragsverarbeiter von Extensis zu widersprechen. Nach diesem Zeitraum gilt, dass die Liste mit Unterauftragsverarbeitern von Extensis durch den Partner stillschweigend angenommen wurde. Der Widerspruch des Partners ist nur dann wirksam, wenn darin objektive, gerechtfertigte Gründe überzeugend aufgeführt werden, dass neue Unterauftragsverarbeiter personenbezogene Daten in Übereinstimmung mit dieser DPA bzw. der anwendbaren Datenschutzgesetzgebung nicht adäquat schützen können.
- Verpflichtungen des Unterauftragsverarbeiters. In Fällen, in denen Extensis einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungsaufgaben im Namen des Partners beauftragt, werden dem jeweiligen Unterauftragsverarbeiter die gleichen Verpflichtungen zum Datenschutz gemäß den Bestimmungen in dieser DPA auferlegt. Dies erfolgt durch einen Vertrag oder ein sonstiges Rechtsgeschäft im Einklang mit der Gesetzgebung der EU oder eines Mitgliedstaats, um insbesondere hinreichende Garantien für die Implementierung angemessener technischer und organisatorischer Maßnahmen auf eine Weise abzusichern, die die Anforderungen der EU-Datenschutzgesetzgebung an die Verarbeitung von Daten erfüllt. In Fällen, in denen der Unterauftragsverarbeiter seine Datenschutzverpflichtungen nicht einhält, bleibt Extensis dem Partner gegenüber für die Erfüllung der Verpflichtungen dieses Unterauftragsverarbeiters in vollem Umfang verantwortlich.
- Zugriffsanfragen. Extensis hat die angemessenen technischen und organisatorischen Maßnahmen eingeführt und wird diese weiter pflegen, die erforderlich sind, damit der Partner auf Anfragen von betroffenen Personen reagieren kann, die den Zugriff auf die Korrektur, die Übermittlung, die Einschränkung der Verarbeitung oder die Löschung von relevanten, von Extensis gehaltenen personenbezogenen Daten fordern.
- Führung eines Verzeichnisses. Nach einer durch eine Aufsichtsbehörde verlangten Anforderung von Aufzeichnungen bezüglich personenbezogener Daten wird Extensis kooperieren und der Aufsichtsbehörde die Aufzeichnungen zukommen lassen, die mit den Verarbeitungstätigkeiten im Auftrag des Partners verbunden sind. Dazu gehören unter anderem Informationen im Hinblick auf die Kategorien der verarbeiteten personenbezogenen Daten und die Zwecke der Verarbeitung, die Nutzung von Dienstanbietern bezüglich einer solchen Verarbeitung, jegliche Datenoffenlegung oder -übermittlung an Dritte und eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen, um die Sicherheit solcher Daten zu schützen.
- Zusammenarbeit. Extensis wird in dem Umfang kooperieren, der vernünftigerweise erforderlich ist, um im Zusammenhang mit den Anfragen des Partners bezüglich der Datenschutz-Folgenabschätzung und -Konsultation mit Aufsichtsbehörden zusammenzuarbeiten, und um die Erfüllung der Verpflichtung des Partners, auf Anfragen von betroffenen Personen zur Ausübung ihrer Rechte gemäß Kapitel III der DSGVO zu reagieren, sicherzustellen. Extensis behält sich das Recht vor, Partnern angemessene Kosten zu berechnen, die Extensis bei der Erhebung und Vorbereitung personenbezogener Daten für eine Übermittlung und für besondere Vorkehrungen für die Durchführung der Übermittlung entstehen.
- Anfragen von Dritten. Wenn Extensis eine Anfrage von Dritten im Zusammenhang mit staatlichen Untersuchungen oder juristischen Verfahren erhält und Extensis der Ansicht ist, dass dies die Vorlage von personenbezogenen Daten erforderlich machen könnte, wird Extensis den Partner schriftlich über eine solche Anfrage informieren und mit dem Partner im Rahmen des anwendbaren Rechts zusammenarbeiten, falls der Partner eine derartige Offenlegung einschränken, anfechten oder sich dagegen schützen will.
- Übermittlung personenbezogener Daten; Bevollmächtigung. Der Partner erteilt Extensis die Befugnis, personenbezogene Daten in die USA oder in ein anderes Land, in dem Extensis oder seine Unterauftragsverarbeiter Einrichtungen betreiben, zu übermitteln, diese dort zu speichern oder zu verarbeiten. Der Partner bevollmächtigt Extensis, jegliche derartige Übermittlung in ein solches Land durchzuführen und personenbezogene Daten zu speichern und zu verarbeiten, um die Dienste bereitzustellen. Extensis wird sämtliche dieser Tätigkeiten unter Einhaltung dieser DPA, der anwendbaren Gesetze und der Weisung des Partners durchführen.
- Datenübermittlung außerhalb der EU. Soweit die Services eine Übermittlung personenbezogener Daten von den Systemen einer der Parteien im EWR, im Vereinigten Königreich oder in der Schweiz an die Systeme von Extensis in Ländern außerhalb des EWR, des Vereinigten Königreichs oder der Schweiz beinhalten, die keinen verbindlichen Angemessenheitsbeschluss der zuständigen Behörde erhalten haben, wenden die Parteien die anwendbaren Standardvertragsklauseln im Anhang des Durchführungsbeschlusses (EU) 2021/914 der EU-Kommission und im Falle des Vereinigten Königreichs das vom Information Commissioner's Office herausgegebene International Data Transfer Agreement (Internationale Datenübermittlungsvereinbarung) an.
- Speicherung. Personenbezogene Daten, die vom Partner bereitgestellt wurden, werden nur so lange gespeichert wie es im Rahmen der Erfüllung dieser DPA durch Extensis erforderlich ist oder wie es anderweitig nach geltendem Recht notwendig sein sollte.
- Löschung oder Rückgabe. Nach Entscheidung des Partners wird Extensis alle personenbezogenen Daten in Verbindung zu den Diensten löschen oder an den Partner zurückgeben, nachdem die Bereitstellung derartiger Dienste beendet ist, und Extensis wird bestehende Kopien löschen, sofern geltendes Recht die Speicherung der personenbezogenen Daten nicht verlangt. Extensis wird die Weisung des Partners an alle Unterauftragsverarbeiter weiterleiten.
- Unterrichtung über Datenschutzverstoß. Nachdem ein Verstoß gegen den Datenschutz erkannt wurde, wird Extensis den Partner unverzüglich über Folgendes unterrichten: (a) die Art des Datenschutzverstoßes, (b) die Anzahl und die Kategorien der betroffenen Personen und der betroffenen Datensätze und (c) den Namen und die Kontaktangaben des relevanten Ansprechpartners bei Extensis.
- Überprüfungen. Auf Verlangen wird Extensis dem Partner alle notwendigen Informationen zur Verfügung stellen sowie Überprüfungen gestatten und an ihnen mitwirken. Dazu zählen Nachprüfungen, die vom Partner oder einem vom Partner beauftragten Prüfer durchgeführt werden, um die Einhaltung von Artikel 28 der DSGVO nachzuweisen. Aus Gründen der Klarheit wird hier erläutert, dass solche Überprüfungen und Nachprüfungen ausschließlich auf die Verarbeitung von personenbezogenen Daten durch Extensis beschränkt sind und sich nicht auf jeglichen anderen Aspekt der Unternehmens- oder Informationssysteme von Extensis beziehen. Falls es für den Partner erforderlich ist, dass Extensis sich an Überprüfungen oder Nachprüfungen zum Nachweis der Einhaltung der gesetzlichen Vorgaben beteiligt, wird der Partner Extensis mindestens 60 Tage im Voraus vor einer solchen Überprüfung oder Nachprüfung über diesen Umstand in Schriftform benachrichtigen. Eine solche schriftliche Mitteilung wird die Dinge, Personen, Stellen oder Dokumente spezifizieren, die zur Verfügung gestellt werden sollen. Eine solche schriftliche Mitteilung und jedwede Korrespondenz als Reaktion darauf (einschließlich daraus abgeleiteter Arbeitsergebnisse, zum Beispiel Gesprächsaufzeichnungen) gelten als vertrauliche Informationen und bleiben für unbegrenzte Dauer oder für den längsten Zeitraum, der nach Beendigung dieser DPA laut geltenden Gesetzen zulässig ist, vertrauliche Informationen. Derartige Unterlagen und davon abgeleitete Arbeitsergebnisse, die als Reaktion auf die Anfragen von Partnern erstellt wurden, dürfen nicht ohne eine vorherige schriftliche Zustimmung von Extensis für andere Personen offengelegt werden, es sei denn, eine solche Offenlegung ist aufgrund anwendbarer Gesetze erforderlich. Wenn eine Offenlegung aufgrund anwendbarer Gesetze notwendig ist, benachrichtigt der Partner Extensis unverzüglich und in Schriftform über diese Notwendigkeit und verschafft Extensis die Möglichkeit, eine Schutzverfügung zur Verhinderung oder Beschränkung einer solchen Offenlegung zu erwirken, ausgenommen ist eine solche Benachrichtigung nur insoweit, wenn sie nicht durch geltende Gesetze oder durch den Beschluss eines Gerichts oder einer staatlichen Behörde untersagt ist. Der Partner wird alle Anstrengungen zur Zusammenarbeit mit Extensis unternehmen, um Termine für Überprüfungen und Nachprüfungen festzulegen, die für Extensis zweckmäßig sind. Falls der Partner nach einer Bewertung der Reaktion von Extensis auf seine Überprüfungs- oder Nachprüfungsanfrage Bedarf für zusätzliche Überprüfungen oder Nachprüfungen für notwendig erachtet, akzeptiert und bestätigt der Partner, dass ausschließlich der Partner für alle anfallenden Kosten im Hinblick auf solche zusätzlichen Überprüfungen oder Nachprüfungen verantwortlich ist.