GDPR-Zusatz zur Datenverarbeitung
Diese Vereinbarung zur Datenverarbeitung nach der Datenschutz-Grundverordnung (diese "DSGVO") wird von und zwischen Celartem, Inc. d.b.a. Extensis oder LizardTech ("Extensis") und dem Partner geschlossen und regelt die Verarbeitung personenbezogener Daten durch Extensis, soweit sich diese personenbezogenen Daten auf natürliche Personen im Europäischen Wirtschaftsraum ("EWR"), im Vereinigten Königreich ("UK") oder in der Schweiz im Zusammenhang mit den Verpflichtungen von Extensis aus der Vereinbarung beziehen. Sofern nicht anders angegeben, haben alle in dieser DPA verwendeten, aber nicht definierten Begriffe die Bedeutung, die ihnen in der Verordnung (EU) 2016/679, der Allgemeinen Datenschutzverordnung ("DSGVO"), zukommt.
Die Parteien vereinbaren, dass für die Zwecke dieser DPA der Partner ein Data Controller und Extensis ein Data Processor ist.
- Anwendbares Recht. Extensis sichert zu und gewährleistet, dass es alle geltenden Datenschutzgesetze einhält.
- Anweisungen des Partners. Extensis wird personenbezogene Daten nur auf dokumentierte Anweisungen des Partners hin verarbeiten, auch im Hinblick auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, es sei denn, dies ist nach dem Recht der Europäischen Union oder eines Mitgliedstaates, dem Extensis unterliegt, erforderlich. Extensis wird den Partner unverzüglich informieren, wenn die Befolgung der Anweisungen des Partners zu einem Verstoß gegen geltendes Datenschutzrecht führen würde oder wenn Extensis Persönliche Daten aufgrund einer gesetzlichen Verpflichtung offenlegen muss (es sei denn, die gesetzliche Verpflichtung verbietet Extensis eine solche Offenlegung). Um jeden Zweifel auszuschließen, schließen die dokumentierten Anweisungen des Partners diese DPA ein.
- Vertraulichkeit. Extensis wird den Zugang zu Persönlichen Daten auf die autorisierten Personen beschränken, die diese Informationen zur Erbringung der Dienstleistungen benötigen. Extensis wird sicherstellen, dass diese autorisierten Personen zur Wahrung der Vertraulichkeit aller Persönlichen Daten verpflichtet sind.
- Sicherheit. Extensis wird geeignete technische und organisatorische Maßnahmen ergreifen, um ein angemessenes Sicherheitsniveau für die vom Partner bereitgestellten und von Extensis verarbeiteten Persönlichen Daten zu gewährleisten.
- Unterauftragsverarbeiter. Der Partner erklärt sich damit einverstanden, dass Extensis andere Auftragsverarbeiter ("Unterauftragsverarbeiter") mit der Erbringung der Dienstleistungen in Übereinstimmung mit dieser DPA beauftragt. Extensis wird eine Liste dieser Unterauftragsverarbeiter über einen Link auf der Website zur Verfügung stellen. Der Partner verfügt über eine Frist von 30 Kalendertagen ab dem Datum der Aktualisierung der Liste, um dem Einsatz neuer Unterauftragsverarbeiter durch Extensis zu widersprechen; nach Ablauf dieser Frist wird davon ausgegangen, dass der Partner die Liste der Unterauftragsverarbeiter von Extensis akzeptiert. Der Widerspruch des Partners ist nur dann wirksam, wenn er objektive, vertretbare Gründe dafür anführt, warum er der Ansicht ist, dass die neuen Unterauftragsverarbeiter nicht in der Lage sind, personenbezogene Daten in Übereinstimmung mit dieser DPA oder dem geltenden Datenschutzrecht angemessen zu schützen.
- Verpflichtungen des Unterauftragsverarbeiters. Beauftragt Extensis einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten im Namen des Partners, so werden diesem Unterauftragsverarbeiter durch einen Vertrag oder einen anderen Rechtsakt nach EU-Recht oder dem Recht eines Mitgliedstaates dieselben Datenschutzverpflichtungen auferlegt, wie sie in dieser DSGVO festgelegt sind, insbesondere die Bereitstellung ausreichender Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen, so dass die Verarbeitung den Anforderungen des EU-Datenschutzrechts entspricht. Kommt der Unterauftragsverarbeiter seinen Datenschutzverpflichtungen nicht nach, bleibt Extensis gegenüber dem Partner in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters haftbar.
- Zugriffsanträge. Extensis hat angemessene technische und organisatorische Maßnahmen ergriffen und wird diese beibehalten, um den Partner in die Lage zu versetzen, auf Anfragen von betroffenen Personen nach Auskunft, Berichtigung, Übermittlung, Einschränkung der Verarbeitung oder Löschung der von Extensis gespeicherten personenbezogenen Daten zu reagieren.
- Aufbewahrung von Aufzeichnungen. Auf Verlangen einer Aufsichtsbehörde nach Aufzeichnungen über personenbezogene Daten wird Extensis kooperieren, um der Aufsichtsbehörde Aufzeichnungen über die im Auftrag des Partners durchgeführten Verarbeitungstätigkeiten zur Verfügung zu stellen, einschließlich Informationen über die Kategorien der verarbeiteten personenbezogenen Daten und die Zwecke der Verarbeitung, die Inanspruchnahme von Dienstleistern in Bezug auf diese Verarbeitung, jegliche Offenlegung von Daten oder deren Weitergabe an Dritte sowie eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zum Schutz der Sicherheit dieser Daten.
- Zusammenarbeit. Extensis kooperiert im angemessenen Umfang mit dem Partner im Zusammenhang mit Anfragen zu Datenschutz-Folgenabschätzungen und Konsultationen mit Aufsichtsbehörden sowie zur Erfüllung der Verpflichtung des Partners, auf Anfragen zur Ausübung der Rechte einer betroffenen Person gemäß Kapitel III der DSGVO zu reagieren. Extensis behält sich das Recht vor, dem Partner die angemessenen Kosten für die Erhebung und Vorbereitung der personenbezogenen Daten für die Übermittlung sowie für besondere Vorkehrungen zur Durchführung der Übermittlung in Rechnung zu stellen.
- Anfragen von Dritten. Erhält Extensis im Zusammenhang mit einer behördlichen Untersuchung oder einem gerichtlichen Verfahren eine Anfrage von einem Dritten, von der Extensis glaubt, dass sie die Herausgabe von Persönlichen Daten erfordert, wird Extensis den Partner schriftlich über diese Anfrage informieren und mit ihm zusammenarbeiten, wenn der Partner eine solche Offenlegung einschränken, anfechten oder sich dagegen schützen möchte, soweit dies nach geltendem Recht zulässig ist.
- Der Partner ermächtigt Extensis,personenbezogeneDaten in die Vereinigten Staaten oder in ein anderes Land, in dem Extensis oder seine Unterauftragsverarbeiter Einrichtungen unterhalten, zu übertragen, zu speichern oder zu verarbeiten. Der Partner beauftragt Extensis mit der Durchführung eines solchen Transfers von Persönlichen Daten in ein solches Land und mit der Speicherung und Verarbeitung von Persönlichen Daten zur Erbringung der Dienstleistungen. Extensis wird alle derartigen Aktivitäten in Übereinstimmung mit dieser DPA, dem geltenden Recht und den Anweisungen des Partners durchführen.
- Datenübertragungen außerhalb der EU. Soweit die Dienstleistungen eine Übermittlung personenbezogener Daten von den Systemen einer der Parteien im EWR, im Vereinigten Königreich oder in der Schweiz an die Systeme von Extensis in Ländern außerhalb des EWR, des Vereinigten Königreichs oder der Schweiz beinhalten, für die kein verbindlicher Angemessenheitsbeschluss der zuständigen Behörde vorliegt, werden die Parteien die anwendbaren Standardvertragsklauseln im Anhang des Durchführungsbeschlusses (EU) 2021/914 der EU-Kommission und im Falle des Vereinigten Königreichs das vom Information Commissioner's Office herausgegebene internationale Datentransferabkommen anwenden.
- Aufbewahrung. Die vom Partner erhaltenen personenbezogenen Daten werden nur so lange aufbewahrt, wie es im Zusammenhang mit der Erfüllung dieser DPA durch Extensis erforderlich ist oder wie es nach geltendem Recht erforderlich ist.
- Löschung oder Rückgabe. Nach Wahl des Partners wird Extensis alle im Zusammenhang mit den Dienstleistungen verarbeiteten personenbezogenen Daten nach Beendigung der Erbringung dieser Dienstleistungen löschen oder an den Partner zurückgeben und vorhandene Kopien löschen, es sei denn, das anwendbare Recht verlangt die Aufbewahrung der personenbezogenen Daten. Extensis wird die Anweisungen des Partners an alle Unterauftragsverarbeiter weiterleiten.
- Benachrichtigung über Verstöße. Nachdem Extensis von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt hat, wird es den Partner unverzüglich über Folgendes informieren: (a) die Art der Verletzung des Schutzes personenbezogener Daten; (b) die Anzahl und die Kategorien der betroffenen Personen und Datensätze; und (c) den Namen und die Kontaktdaten der zuständigen Kontaktperson bei Extensis.
- Überprüfungen. Auf Anfrage wird Extensis dem Partner alle notwendigen Informationen zur Verfügung stellen und Audits, einschließlich Inspektionen, die vom Partner oder einem anderen vom Partner beauftragten Prüfer durchgeführt werden, ermöglichen und dazu beitragen, die Einhaltung von Artikel 28 der DSGVO nachzuweisen. Der Klarheit halber sei darauf hingewiesen, dass sich solche Audits oder Inspektionen ausschließlich auf die Verarbeitung personenbezogener Daten durch Extensis beschränken, nicht jedoch auf andere Aspekte des Geschäfts oder der Informationssysteme von Extensis. Wenn der Partner von Extensis verlangt, an Audits oder Inspektionen mitzuwirken, die für den Nachweis der Einhaltung der Datenschutzbestimmungen notwendig sind, wird der Partner Extensis mindestens 60 Tage vor einem solchen Audit oder einer solchen Inspektion schriftlich darüber informieren. In dieser schriftlichen Benachrichtigung werden die zur Verfügung zu stellenden Gegenstände, Personen, Orte oder Dokumente angegeben. Eine solche schriftliche Mitteilung und alles, was als Reaktion darauf produziert wird (einschließlich abgeleiteter Arbeitsprodukte wie z.B. Gesprächsnotizen), wird als vertrauliche Information betrachtet und bleibt für immer oder für die längste nach geltendem Recht zulässige Zeit nach Beendigung dieser DPA vertrauliche Information. Derartige Materialien und abgeleitete Arbeitsprodukte, die als Reaktion auf die Anfrage des Partners erstellt wurden, werden ohne vorherige schriftliche Genehmigung von Extensis an niemanden weitergegeben, es sei denn, eine solche Weitergabe ist nach geltendem Recht erforderlich. Ist eine solche Offenlegung nach geltendem Recht erforderlich, wird der Partner Extensis unverzüglich schriftlich über diese Anforderung informieren und ihm die Möglichkeit geben, eine Schutzanordnung zu erwirken, um eine solche Offenlegung zu verbieten oder einzuschränken, es sei denn, eine solche Mitteilung ist nach geltendem Recht oder auf Anordnung eines Gerichts oder einer Regierungsbehörde verboten. Der Partner wird sich nach Kräften bemühen, mit Extensis zusammenzuarbeiten, um Audits oder Inspektionen zu Zeiten zu planen, die für Extensis günstig sind. Sollte der Partner nach Prüfung der Antwort von Extensis auf seinen Audit- oder Inspektionsantrag zusätzliche Audits oder Inspektionen benötigen, erkennt der Partner an und erklärt sich damit einverstanden, dass er die alleinige Verantwortung für alle Kosten trägt, die im Zusammenhang mit solchen zusätzlichen Audits oder Inspektionen entstehen.