Datenverarbeitungsvereinbarung

Forward Email Datenverarbeitungsvereinbarung

Wichtige Begriffe

Begriff Wert
Vereinbarung Diese DPA ergänzt die Nutzungsbedingungen
Genehmigte Unterauftragsverarbeiter Cloudflare (USA; DNS-, Netzwerk- und Sicherheitsanbieter), DataPacket (USA/UK; Hosting-Anbieter), Digital Ocean (USA; Hosting-Anbieter), GitHub (USA; Quellcode-Hosting, CI/CD und Projektmanagement), Vultr (USA; Hosting-Anbieter), Stripe (USA; Zahlungsabwickler), PayPal (USA; Zahlungsabwickler)
Kontakt für Sicherheit beim Anbieter security@forwardemail.net
Sicherheitsrichtlinie Siehe unsere Sicherheitsrichtlinie auf GitHub
Geltender Staat Der Bundesstaat Delaware, Vereinigte Staaten

Änderungen der Vereinbarung

Dieses Dokument ist eine Ableitung der Common Paper DPA Standard Terms (Version 1.0) und folgende Änderungen wurden vorgenommen:

  1. Anwendbares Recht und Gerichtsstand wurde als nachfolgender Abschnitt aufgenommen, wobei der Governing State oben angegeben ist.
  2. Beziehung zum Dienstleister wurde als nachfolgender Abschnitt aufgenommen.

1. Beziehungen zwischen Auftragsverarbeiter und Unterauftragsverarbeiter

1. Anbieter als Auftragsverarbeiter

In Fällen, in denen Kunde Verantwortlicher der Kundendaten ist, gilt Anbieter als Auftragsverarbeiter, der personenbezogene Daten im Auftrag des Kunden verarbeitet.

2. Anbieter als Unterauftragsverarbeiter

In Fällen, in denen Kunde Auftragsverarbeiter der Kundendaten ist, gilt Anbieter als Unterauftragsverarbeiter der Kundendaten.

2. Verarbeitung

1. Verarbeitungsdetails

Anhang I(B) auf der Titelseite beschreibt den Gegenstand, die Art, den Zweck und die Dauer dieser Verarbeitung sowie die Kategorien personenbezogener Daten und die Kategorien betroffener Personen.

2. Verarbeitungsanweisungen

Kunde weist Anbieter an, Kundendaten zu verarbeiten: (a) zur Bereitstellung und Wartung des Dienstes; (b) wie möglicherweise weiter spezifiziert durch die Nutzung des Dienstes durch den Kunden; (c) wie im Vertrag dokumentiert; und (d) wie in sonstigen schriftlichen Anweisungen des Kunden zur Verarbeitung von Kundendaten unter dieser DPA dokumentiert und vom Anbieter bestätigt. Anbieter wird diese Anweisungen befolgen, es sei denn, dies ist durch geltendes Recht untersagt. Anbieter wird Kunde unverzüglich informieren, wenn er die Verarbeitungsanweisungen nicht befolgen kann. Kunde hat Anweisungen gegeben und wird nur solche geben, die mit geltendem Recht übereinstimmen.

3. Verarbeitung durch Anbieter

Anbieter wird Kundendaten nur gemäß dieser DPA verarbeiten, einschließlich der Angaben auf der Titelseite. Wenn Anbieter den Dienst aktualisiert, um bestehende oder neue Produkte, Funktionen oder Funktionalitäten einzuführen, kann Anbieter die Kategorien betroffener Personen, Kategorien personenbezogener Daten, besondere Kategorien von Daten, Einschränkungen oder Schutzmaßnahmen für besondere Kategorien von Daten, Häufigkeit der Übermittlung, Art und Zweck der Verarbeitung sowie Dauer der Verarbeitung nach Bedarf anpassen, um die Aktualisierungen widerzuspiegeln, indem Kunde über die Aktualisierungen und Änderungen informiert wird.

4. Verarbeitung durch Kunde

Wenn Kunde Auftragsverarbeiter und Anbieter Unterauftragsverarbeiter ist, wird Kunde alle geltenden Gesetze einhalten, die für die Verarbeitung von Kundendaten durch Kunde gelten. Die Vereinbarung des Kunden mit seinem Verantwortlichen wird ebenfalls verlangen, dass Kunde alle geltenden Gesetze einhält, die für Kunde als Auftragsverarbeiter gelten. Darüber hinaus wird Kunde die Anforderungen an Unterauftragsverarbeiter in der Vereinbarung mit seinem Verantwortlichen einhalten.

Kunde hat alle geltenden Datenschutzgesetze im Zusammenhang mit der Bereitstellung von Kundendaten an Anbieter und/oder den Dienst eingehalten und wird dies weiterhin tun, einschließlich aller Offenlegungen, Einholung aller Einwilligungen, Bereitstellung angemessener Wahlmöglichkeiten und Umsetzung relevanter Schutzmaßnahmen, die nach geltendem Datenschutzrecht erforderlich sind.

6. Subprozessoren

a. Provider wird keine Kundendaten an einen Subprozessor bereitstellen, übertragen oder übergeben, es sei denn, Kunde hat den Subprozessor genehmigt. Die aktuelle Liste der Genehmigten Subprozessoren enthält die Identitäten der Subprozessoren, deren Standortland und die voraussichtlichen Verarbeitungstätigkeiten. Provider wird Kunde mindestens 10 Werktage im Voraus und schriftlich über beabsichtigte Änderungen der Genehmigten Subprozessoren informieren, sei es durch Hinzufügung oder Ersatz eines Subprozessors, sodass Kunde genügend Zeit hat, den Änderungen zu widersprechen, bevor Provider den neuen Subprozessor(en) nutzt. Provider wird Kunde die notwendigen Informationen zur Verfügung stellen, damit Kunde sein Recht ausüben kann, der Änderung der Genehmigten Subprozessoren zu widersprechen. Kunde hat 30 Tage nach Mitteilung einer Änderung der Genehmigten Subprozessoren Zeit, Widerspruch einzulegen, andernfalls gilt die Änderung als akzeptiert. Wenn Kunde innerhalb von 30 Tagen nach Mitteilung Widerspruch einlegt, werden Kunde und Provider in gutem Glauben zusammenarbeiten, um den Widerspruch oder die Bedenken von Kunde zu klären.

b. Bei der Beauftragung eines Subprozessors wird Provider eine schriftliche Vereinbarung mit dem Subprozessor abschließen, die sicherstellt, dass der Subprozessor nur auf Kundendaten zugreift und diese nur (i) im erforderlichen Umfang zur Erfüllung der an ihn vergebenen Verpflichtungen nutzt und (ii) im Einklang mit den Bedingungen der Vereinbarung.

c. Wenn die DSGVO auf die Verarbeitung von Kundendaten anwendbar ist, (i) gelten die in diesem DPA beschriebenen Datenschutzpflichten (wie in Artikel 28 Absatz 3 der DSGVO genannt, falls zutreffend) auch für den Subprozessor, und (ii) wird die Vereinbarung von Provider mit dem Subprozessor diese Pflichten einbeziehen, einschließlich Details darüber, wie Provider und sein Subprozessor bei Anfragen oder Anforderungen bezüglich der Verarbeitung von Kundendaten zusammenarbeiten. Darüber hinaus wird Provider auf Anfrage von Kunde eine Kopie seiner Vereinbarungen (einschließlich etwaiger Änderungen) mit seinen Subprozessoren bereitstellen. Soweit erforderlich zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, kann Provider den Text seiner Vereinbarung mit dem Subprozessor vor der Weitergabe schwärzen.

d. Provider bleibt voll verantwortlich für alle an seine Subprozessoren vergebenen Verpflichtungen, einschließlich der Handlungen und Unterlassungen seiner Subprozessoren bei der Verarbeitung von Kundendaten. Provider wird Kunde über jegliches Versäumnis seiner Subprozessoren informieren, eine wesentliche Verpflichtung bezüglich der Kundendaten aus der Vereinbarung zwischen Provider und dem Subprozessor zu erfüllen.

3. Eingeschränkte Übermittlungen

1. Genehmigung

Kunde stimmt zu, dass Provider Kundendaten außerhalb des EWR, des Vereinigten Königreichs oder eines anderen relevanten geografischen Gebiets übertragen darf, soweit dies zur Erbringung der Dienstleistung erforderlich ist. Überträgt Provider Kundendaten in ein Gebiet, für das die Europäische Kommission oder eine andere zuständige Aufsichtsbehörde keine Angemessenheitsentscheidung erlassen hat, wird Provider geeignete Schutzmaßnahmen für die Übermittlung der Kundendaten in dieses Gebiet gemäß den geltenden Datenschutzgesetzen umsetzen.

2. Übermittlungen außerhalb des EWR

Kunde und Provider sind sich einig, dass, wenn die DSGVO die Übermittlung von Kundendaten schützt, die Übermittlung von Kunde aus dem EWR an Provider außerhalb des EWR erfolgt und die Übermittlung nicht durch eine Angemessenheitsentscheidung der Europäischen Kommission geregelt ist, durch den Abschluss dieses DPA Kunde und Provider als unterzeichnete die EWR-Standardvertragsklauseln (EEA SCCs) und deren Anhänge, die durch Verweis einbezogen sind. Jede solche Übermittlung erfolgt gemäß den EWR SCCs, die wie folgt ausgefüllt werden: a. Modul Zwei (Verantwortlicher zum Auftragsverarbeiter) der EWR-Standardvertragsklauseln (SCCs) gilt, wenn der Kunde ein Verantwortlicher ist und der Provider personenbezogene Daten des Kunden im Auftrag des Kunden als Auftragsverarbeiter verarbeitet.

b. Modul Drei (Auftragsverarbeiter zum Unterauftragsverarbeiter) der EWR-SCCs gilt, wenn der Kunde ein Auftragsverarbeiter ist und der Provider personenbezogene Daten des Kunden im Auftrag des Kunden als Unterauftragsverarbeiter verarbeitet.

c. Für jedes Modul gilt Folgendes (sofern anwendbar):

  1. Die optionale Andockklausel in Klausel 7 findet keine Anwendung;

  2. In Klausel 9 gilt Option 2 (allgemeine schriftliche Genehmigung), und die Mindestfrist für die vorherige Mitteilung von Änderungen bei Unterauftragsverarbeitern beträgt 10 Werktage;

  3. In Klausel 11 gilt die optionale Sprache nicht;

  4. Alle eckigen Klammern in Klausel 13 werden entfernt;

  5. In Klausel 17 (Option 1) unterliegen die EWR-SCCs dem Recht des geltenden Mitgliedstaats;

  6. In Klausel 18(b) werden Streitigkeiten vor den Gerichten des geltenden Mitgliedstaats beigelegt; und

  7. Die Titelseite dieses DPA enthält die in Anhang I, Anhang II und Anhang III der EWR-SCCs erforderlichen Informationen.

3. Ex-UK-Übermittlungen

Kunde und Provider vereinbaren, dass, wenn die UK GDPR die Übermittlung personenbezogener Daten des Kunden schützt, die Übermittlung vom Kunden innerhalb des Vereinigten Königreichs an den Provider außerhalb des Vereinigten Königreichs erfolgt und die Übermittlung nicht durch eine Angemessenheitsentscheidung des britischen Staatssekretärs geregelt wird, durch den Abschluss dieses DPA der Kunde und der Provider als unterzeichnete UK-Zusatzvereinbarung und deren Anhänge gelten, die durch Verweis einbezogen sind. Jede solche Übermittlung erfolgt gemäß der UK-Zusatzvereinbarung, die wie folgt ausgefüllt wird:

a. Abschnitt 3.2 dieses DPA enthält die in Tabelle 2 der UK-Zusatzvereinbarung erforderlichen Informationen.

b. Tabelle 4 der UK-Zusatzvereinbarung wird wie folgt geändert: Keine Partei darf die UK-Zusatzvereinbarung gemäß Abschnitt 19 der UK-Zusatzvereinbarung beenden; soweit die ICO eine überarbeitete genehmigte Zusatzvereinbarung gemäß Abschnitt ‎18 der UK-Zusatzvereinbarung herausgibt, werden die Parteien in gutem Glauben zusammenarbeiten, um dieses DPA entsprechend zu überarbeiten.

c. Die Titelseite enthält die von Anhang 1A, Anhang 1B, Anhang II und Anhang III der UK-Zusatzvereinbarung geforderten Informationen.

4. Andere internationale Übermittlungen

Für Übermittlungen personenbezogener Daten, bei denen schweizerisches Recht (und nicht das Recht eines EWR-Mitgliedstaats oder des Vereinigten Königreichs) auf die internationale Natur der Übermittlung anwendbar ist, werden Verweise auf die DSGVO in Klausel 4 der EWR-SCCs, soweit gesetzlich erforderlich, stattdessen auf das Schweizer Bundesgesetz über den Datenschutz oder dessen Nachfolger geändert, und das Konzept der Aufsichtsbehörde umfasst die Schweizerische Datenschutz- und Öffentlichkeitsbeauftragte.

4. Reaktion auf Sicherheitsvorfälle

  1. Sobald Provider von einem Sicherheitsvorfall Kenntnis erlangt, wird er: (a) Kunde unverzüglich benachrichtigen, wenn möglich, spätestens jedoch 72 Stunden nach Kenntnisnahme des Sicherheitsvorfalls; (b) zeitnah Informationen über den Sicherheitsvorfall bereitstellen, sobald diese bekannt werden oder von Kunde vernünftigerweise angefordert werden; und (c) unverzüglich angemessene Maßnahmen ergreifen, um den Sicherheitsvorfall einzudämmen und zu untersuchen. Die Benachrichtigung oder Reaktion des Providers auf einen Sicherheitsvorfall gemäß diesem DPA wird nicht als Anerkennung einer Schuld oder Haftung des Providers für den Sicherheitsvorfall ausgelegt.

5. Prüfung & Berichte

1. Prüfungsrechte

Provider wird Kunde alle vernünftigerweise erforderlichen Informationen zur Verfügung stellen, um die Einhaltung dieses DPA nachzuweisen, und Provider wird Prüfungen, einschließlich Inspektionen durch Kunde, zulassen und unterstützen, um die Einhaltung dieses DPA durch Provider zu bewerten. Provider kann jedoch den Zugang zu Daten oder Informationen einschränken, wenn der Zugang von Kunde zu den Informationen die geistigen Eigentumsrechte, Vertraulichkeitsverpflichtungen oder andere Verpflichtungen des Providers nach geltendem Recht negativ beeinträchtigen würde. Kunde erkennt an und stimmt zu, dass er seine Prüfungsrechte gemäß diesem DPA und etwaigen durch geltende Datenschutzgesetze gewährten Prüfungsrechten nur ausübt, indem er Provider anweist, die nachstehenden Berichts- und Sorgfaltspflichten einzuhalten. Provider wird Aufzeichnungen über die Einhaltung dieses DPA für 3 Jahre nach Beendigung des DPA aufbewahren.

2. Sicherheitsberichte

Kunde erkennt an, dass Anbieter regelmäßig von unabhängigen Dritten anhand der in der Sicherheitsrichtlinie definierten Standards geprüft wird. Auf schriftliche Anfrage wird Anbieter dem Kunden vertraulich eine Zusammenfassung seines jeweils aktuellen Berichts zur Verfügung stellen, damit der Kunde die Einhaltung der in der Sicherheitsrichtlinie definierten Standards durch den Anbieter überprüfen kann.

3. Sicherheits-Due-Diligence

Zusätzlich zum Bericht wird Anbieter auf angemessene Informationsanfragen des Kunden reagieren, um die Einhaltung dieser DPA durch den Anbieter zu bestätigen, einschließlich Antworten auf Informationssicherheits-, Due-Diligence- und Audit-Fragebögen oder durch die Bereitstellung zusätzlicher Informationen über sein Informationssicherheitsprogramm. Alle derartigen Anfragen müssen schriftlich erfolgen und an den Provider Security Contact gerichtet sein und dürfen nur einmal jährlich gestellt werden.

6. Koordination & Zusammenarbeit

1. Reaktion auf Anfragen

Wenn Anbieter eine Anfrage oder Aufforderung von Dritten bezüglich der Verarbeitung von Kundendaten erhält, wird Anbieter den Kunden über die Anfrage informieren und ohne vorherige Zustimmung des Kunden nicht auf die Anfrage reagieren. Beispiele für solche Anfragen und Aufforderungen sind gerichtliche, administrative oder behördliche Anordnungen bezüglich Kundendaten, sofern die Benachrichtigung des Kunden durch geltendes Recht nicht untersagt ist, oder eine Anfrage einer betroffenen Person. Sofern gesetzlich zulässig, wird Anbieter den angemessenen Anweisungen des Kunden zu diesen Anfragen folgen, einschließlich der Bereitstellung von Statusaktualisierungen und anderer vom Kunden vernünftigerweise angeforderter Informationen. Wenn eine betroffene Person gemäß den geltenden Datenschutzgesetzen eine gültige Anfrage zur Löschung oder zum Widerruf der Weitergabe von Kundendaten an Anbieter stellt, wird Anbieter den Kunden bei der Erfüllung dieser Anfrage gemäß den geltenden Datenschutzgesetzen unterstützen. Anbieter wird mit dem Kunden zusammenarbeiten und auf dessen Kosten angemessene Unterstützung bei rechtlichen Reaktionen oder sonstigen Verfahrenshandlungen leisten, die der Kunde als Reaktion auf eine Drittanfrage bezüglich der Verarbeitung von Kundendaten durch Anbieter im Rahmen dieser DPA unternimmt.

2. DPIAs und DTIAs

Sofern von den geltenden Datenschutzgesetzen verlangt, wird Anbieter den Kunden angemessen bei der Durchführung vorgeschriebener Datenschutz-Folgenabschätzungen oder Datenübertragungs-Folgenabschätzungen sowie bei Konsultationen mit den zuständigen Datenschutzbehörden unterstützen, wobei die Art der Verarbeitung und der Kundendaten berücksichtigt wird.

7. Löschung von Kundendaten

1. Löschung durch den Kunden

Anbieter wird dem Kunden ermöglichen, Kundendaten in einer mit der Funktionalität der Dienste vereinbaren Weise zu löschen. Anbieter wird dieser Anweisung so bald wie vernünftigerweise möglich nachkommen, außer wenn die weitere Speicherung der Kundendaten durch geltendes Recht erforderlich ist.

2. Löschung nach Ablauf der DPA

a. Nach Ablauf der DPA wird Anbieter die Kundendaten auf Anweisung des Kunden zurückgeben oder löschen, es sei denn, die weitere Speicherung der Kundendaten ist durch geltendes Recht erforderlich oder erlaubt. Wenn die Rückgabe oder Vernichtung unpraktikabel oder durch geltendes Recht verboten ist, wird Anbieter angemessene Anstrengungen unternehmen, um eine weitere Verarbeitung der Kundendaten zu verhindern und die verbleibenden Kundendaten in seinem Besitz, seiner Obhut oder Kontrolle weiterhin schützen. Zum Beispiel können geltende Gesetze Anbieter dazu verpflichten, Kundendaten weiterhin zu hosten oder zu verarbeiten. b. Wenn Kunde und Anbieter die EWR SCCs oder das UK Addendum als Teil dieses DPA vereinbart haben, wird Anbieter Kunde die in Klausel 8.1(d) und Klausel 8.5 der EWR SCCs beschriebene Löschbescheinigung personenbezogener Daten nur dann ausstellen, wenn Kunde eine solche anfordert.

8. Haftungsbeschränkung

1. Haftungsobergrenzen und Verzicht auf Schadensersatz

Soweit nach den anwendbaren Datenschutzgesetzen zulässig, unterliegt die gesamte kumulative Haftung jeder Partei gegenüber der anderen Partei, die sich aus oder im Zusammenhang mit diesem DPA ergibt, den im Vertrag festgelegten Verzichtserklärungen, Ausschlüssen und Haftungsbeschränkungen.

Jegliche Ansprüche gegen Anbieter oder seine verbundenen Unternehmen, die sich aus oder im Zusammenhang mit diesem DPA ergeben, dürfen nur von der Kunden-Einheit geltend gemacht werden, die Partei des Vertrags ist.

3. Ausnahmen

  1. Dieses DPA beschränkt keine Haftung gegenüber einer Person hinsichtlich der Datenschutzrechte dieser Person nach den anwendbaren Datenschutzgesetzen. Darüber hinaus beschränkt dieses DPA keine Haftung zwischen den Parteien für Verstöße gegen die EWR SCCs oder das UK Addendum.

9. Widersprüche zwischen Dokumenten

  1. Dieses DPA ist Bestandteil des Vertrags und ergänzt diesen. Bei Unstimmigkeiten zwischen diesem DPA, dem Vertrag oder Teilen davon gilt für diese Unstimmigkeit die zuerst genannte Regelung vorrangig gegenüber der später genannten: (1) die EWR SCCs oder das UK Addendum, (2) dieses DPA und dann (3) der Vertrag.

10. Vertragslaufzeit

Dieses DPA beginnt, wenn Anbieter und Kunde einer Deckblattseite für das DPA zustimmen und den Vertrag unterzeichnen oder elektronisch akzeptieren, und läuft bis zum Ablauf oder zur Beendigung des Vertrags. Anbieter und Kunde bleiben jedoch jeweils den Verpflichtungen dieses DPA und den anwendbaren Datenschutzgesetzen unterworfen, bis Kunde die Übermittlung personenbezogener Kundendaten an Anbieter einstellt und Anbieter die Verarbeitung personenbezogener Kundendaten einstellt.

11. Anwendbares Recht und Gerichtsstand

Ungeachtet der Rechtswahl- oder ähnlichen Klauseln des Vertrags unterliegen alle Auslegungen und Streitigkeiten über dieses DPA dem Recht des Governing State ohne Berücksichtigung seiner kollisionsrechtlichen Bestimmungen. Zusätzlich und ungeachtet der Gerichtsstands-, Zuständigkeits- oder ähnlichen Klauseln des Vertrags vereinbaren die Parteien, dass alle Rechtsstreitigkeiten, Klagen oder Verfahren bezüglich dieses DPA vor den Gerichten des Governing State zu führen sind, und jede Partei sich unwiderruflich der ausschließlichen Zuständigkeit dieser Gerichte unterwirft.

12. Dienstleisterbeziehung

Soweit das California Consumer Privacy Act, Cal. Civ. Code § 1798.100 ff. ("CCPA") anwendbar ist, erkennen die Parteien an und stimmen zu, dass Anbieter ein Dienstleister ist und personenbezogene Daten von Kunde erhält, um die Dienstleistung wie im Vertrag vereinbart zu erbringen, was einen Geschäftszweck darstellt. Anbieter wird keine personenbezogenen Daten, die von Kunde im Rahmen des Vertrags bereitgestellt wurden, verkaufen. Darüber hinaus wird Anbieter keine personenbezogenen Daten, die von Kunde im Rahmen des Vertrags bereitgestellt wurden, aufbewahren, verwenden oder offenlegen, außer soweit dies zur Erbringung der Dienstleistung für Kunde, wie im Vertrag angegeben, oder gemäß den anwendbaren Datenschutzgesetzen zulässig ist. Anbieter bestätigt, dass er die Beschränkungen dieses Absatzes versteht.

13. Definitionen

  1. „Anwendbare Gesetze“ bezeichnet die Gesetze, Regeln, Vorschriften, Gerichtsbeschlüsse und sonstigen verbindlichen Anforderungen einer zuständigen Regierungsbehörde, die für eine Partei gelten oder diese regeln.

  2. „Anwendbare Datenschutzgesetze“ bezeichnet die Anwendbaren Gesetze, die regeln, wie der Dienst personenbezogene Informationen, personenbezogene Daten, persönlich identifizierbare Informationen oder einen anderen ähnlichen Begriff verarbeiten oder verwenden darf.

  3. „Verantwortlicher“ hat die Bedeutung(en), die ihm in den Anwendbaren Datenschutzgesetzen für das Unternehmen zugewiesen werden, das den Zweck und das Ausmaß der Verarbeitung personenbezogener Daten bestimmt.

  4. „Deckblatt“ bezeichnet ein Dokument, das von den Parteien unterzeichnet oder elektronisch akzeptiert wird, diese DPA-Standardbedingungen einbezieht und Provider, Customer sowie den Gegenstand und die Details der Datenverarbeitung identifiziert.

  5. „Kundendaten“ bezeichnet personenbezogene Daten, die Customer im Rahmen des Dienstes an Provider hochlädt oder bereitstellt und die dieser DPA unterliegen.

  6. „DPA“ bezeichnet diese DPA-Standardbedingungen, das Deckblatt zwischen Provider und Customer sowie die in oder an das Deckblatt angehängten oder darin referenzierten Richtlinien und Dokumente.

  7. „EWR-Standardvertragsklauseln (EEA SCCs)“ bezeichnet die der Durchführungsentscheidung 2021/914 der Europäischen Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates beigefügten Standardvertragsklauseln.

  8. „Europäischer Wirtschaftsraum“ oder „EWR“ bezeichnet die Mitgliedstaaten der Europäischen Union, Norwegen, Island und Liechtenstein.

  9. „DSGVO“ bezeichnet die Verordnung (EU) 2016/679, wie sie durch nationales Recht im jeweiligen EWR-Mitgliedstaat umgesetzt wird.

  10. „Personenbezogene Daten“ hat die Bedeutung(en), die ihm in den Anwendbaren Datenschutzgesetzen für personenbezogene Informationen, personenbezogene Daten oder einen anderen ähnlichen Begriff zugewiesen werden.

  11. „Verarbeitung“ oder „Verarbeiten“ hat die Bedeutung(en), die ihm in den Anwendbaren Datenschutzgesetzen für jede Nutzung von oder Durchführung eines Computerverfahrens mit personenbezogenen Daten, einschließlich automatischer Verfahren, zugewiesen werden.

  12. „Auftragsverarbeiter“ hat die Bedeutung(en), die ihm in den Anwendbaren Datenschutzgesetzen für das Unternehmen zugewiesen werden, das personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

  13. „Bericht“ bezeichnet Prüfberichte, die von einem anderen Unternehmen gemäß den im Sicherheitsleitfaden definierten Standards im Auftrag des Providers erstellt werden.

  14. „Eingeschränkte Übermittlung“ bezeichnet (a) im Anwendungsbereich der DSGVO eine Übermittlung personenbezogener Daten aus dem EWR in ein Land außerhalb des EWR, das nicht von der Europäischen Kommission als angemessen eingestuft wurde; und (b) im Anwendungsbereich des UK GDPR eine Übermittlung personenbezogener Daten aus dem Vereinigten Königreich in ein anderes Land, das nicht den Angemessenheitsregelungen gemäß Abschnitt 17A des britischen Datenschutzgesetzes 2018 unterliegt.

  15. „Sicherheitsvorfall“ bezeichnet eine Verletzung des Schutzes personenbezogener Daten im Sinne von Artikel 4 der DSGVO.

  16. „Dienst“ bezeichnet das im Vertrag beschriebene Produkt und/oder die beschriebenen Dienstleistungen.

  17. „Besondere Kategorien von Daten“ hat die Bedeutung, die ihm in Artikel 9 der DSGVO zugewiesen wird.

  18. „Unterauftragsverarbeiter“ hat die Bedeutung(en), die ihm in den Anwendbaren Datenschutzgesetzen für ein Unternehmen zugewiesen werden, das mit Zustimmung und Annahme des Verantwortlichen den Auftragsverarbeiter bei der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen unterstützt.

  19. „UK GDPR“ bezeichnet die Verordnung (EU) 2016/679, wie sie durch Abschnitt 3 des britischen European Union (Withdrawal) Act von 2018 im Vereinigten Königreich umgesetzt wird.

  20. „UK Zusatzvereinbarung“ bezeichnet die internationale Zusatzvereinbarung zu den EWR-Standardvertragsklauseln, die vom Information Commissioner für Parteien herausgegeben wurde, die Eingeschränkte Übermittlungen gemäß S119A(1) des britischen Datenschutzgesetzes 2018 vornehmen.

Credits

Dieses Dokument ist eine Ableitung der Common Paper DPA Standard Terms (Version 1.0) und steht unter der Lizenz CC BY 4.0.