Human Design Gemeinschaft
EU-Datenverarbeitungszusatz Anhang 1 für das Online Netzwerk

Mighty Networks EU-Datenverarbeitungszusatz Anhang 1


Letzte Aktualisierung: 05. Mai 2022


(MODUL 2 – CONTROLLER ZUM PROZESSOR)

ABSCHNITT I

Klausel 1

Zweck und Umfang

(a) Der Zweck dieser Standardvertragsklauseln besteht darin, die Einhaltung der Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sicherzustellen Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) bei der Übermittlung personenbezogener Daten in ein Drittland.

(b) Die Parteien:

(i) die natürliche oder juristische(n) Person(en), Behörde(n), Agentur(en) oder andere Stelle(n) (im Folgenden „Entität(en“)), die die personenbezogenen Daten übermitteln, wie in Anhang I.A aufgeführt (im Folgenden jeder „Datenexporteur“) ), Und

(ii) die Stelle(n) in einem Drittland, die die personenbezogenen Daten direkt oder indirekt über eine andere Stelle, die ebenfalls Vertragspartei dieser Klauseln ist, vom Datenexporteur erhält, wie in Anhang I.A aufgeführt (im Folgenden jeweils „Datenimporteur“)

haben diesen Standardvertragsklauseln (im Folgenden: „Klauseln“) zugestimmt.

(c) Diese Klauseln gelten für die Übermittlung personenbezogener Daten gemäß Anhang I.B.

(d) Der Anhang zu diesen Klauseln mit den darin genannten Anhängen ist integraler Bestandteil dieser Klauseln.

Klausel 2

Wirkung und Unveränderlichkeit der Klauseln

(a) Diese Klauseln legen geeignete Garantien fest, einschließlich durchsetzbarer Rechte betroffener Personen und wirksamer Rechtsbehelfe, gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 und in Bezug auf Daten Übermittlungen von Verantwortlichen an Auftragsverarbeiter und/oder Auftragsverarbeiter an Auftragsverarbeiter, Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679, sofern sie nicht geändert werden, außer um das/die entsprechende(n) Modul(e) auszuwählen oder hinzuzufügen oder Update-Informationen im Anhang. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfassenderen Vertrag aufzunehmen und/oder andere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern sie diesen Klauseln nicht direkt oder indirekt widersprechen oder die Grundrechte beeinträchtigen oder Freiheiten der betroffenen Personen.

(b) Diese Klauseln berühren nicht die Verpflichtungen, denen der Datenexporteur aufgrund der Verordnung (EU) 2016/679 unterliegt.

Klausel 3

Drittbegünstigte

(a) Betroffene Personen können sich als Drittbegünstigte auf diese Klauseln gegenüber dem Datenexporteur und/oder Datenimporteur berufen und diese durchsetzen, mit folgenden Ausnahmen:

(i) Klausel 1, Klausel 2, Klausel 3, Klausel 6, Klausel 7;

(ii) Klausel 8.1(b), 8.9(a), (c), (d) und (e);

(iii) Klausel 9(a), (c), (d) und (e);

(iv) Klausel 12(a), (d) und (f);

(v) Klausel 13;

(vi) Klausel 15.1(c), (d) und (e);

(vii) Klausel 16(e); Und

(viii) Klausel 18(a) und (b).

(b) Absatz (a) berührt nicht die Rechte der betroffenen Personen gemäß der Verordnung (EU) 2016/679.

Klausel 4

Deutung

(a) Wenn in diesen Klauseln Begriffe verwendet werden, die in der Verordnung (EU) 2016/679 definiert sind, haben diese Begriffe dieselbe Bedeutung wie in dieser Verordnung.

(b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 zu lesen und auszulegen.

(c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die im Widerspruch zu den in der Verordnung (EU) 2016/679 vorgesehenen Rechten und Pflichten steht.

Klausel 5

Hierarchie

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen verwandter Vereinbarungen zwischen den Parteien, die zum Zeitpunkt der Vereinbarung dieser Klauseln oder des Abschlusses danach bestehen, haben diese Klauseln Vorrang.

Klausel 6

Beschreibung der Übertragung(en)

Die Einzelheiten der Übermittlung(en) und insbesondere die Kategorien der übermittelten personenbezogenen Daten sowie der/die Zweck(e) für die Übermittlung sind in Anhang I.B aufgeführt.

Klausel 7

Docking-Klausel

(a) Ein Unternehmen, das nicht Vertragspartei dieser Klauseln ist, kann mit Zustimmung der Parteien diesen Klauseln jederzeit entweder als Datenexporteur oder als Datenimporteur beitreten, indem es den Anhang ausfüllt und Anhang I.A unterzeichnet.

(b) Sobald das beitretende Unternehmen den Anhang ausgefüllt und Anhang I.A unterzeichnet hat, wird es Vertragspartei dieser Klauseln und hat die Rechte und Pflichten eines Datenexporteurs oder Datenimporteurs gemäß seiner Bezeichnung in Anhang I.A.

(c) Das beitretende Unternehmen hat keine Rechte oder Pflichten aus diesen Klauseln aus der Zeit vor seinem Beitritt zur Vertragspartei.

ABSCHNITT II – PFLICHTEN DER PARTEIEN

Klausel 8

Datenschutzmaßnahmen

Der Datenexporteur gewährleistet, dass er angemessene Anstrengungen unternommen hat, um sicherzustellen, dass der Datenimporteur durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen in der Lage ist, seinen Verpflichtungen aus diesen Klauseln nachzukommen.

8.1 Anweisungen

(a) Der Datenimporteur darf die personenbezogenen Daten nur auf dokumentierte Weisung des Datenexporteurs verarbeiten. Der Datenexporteur kann solche Weisungen während der gesamten Vertragslaufzeit erteilen.

(b) Der Datenimporteur muss den Datenexporteur unverzüglich informieren, wenn er diesen Anweisungen nicht folgen kann.

8.2 Zweckbindung

Der Datenimporteur darf die personenbezogenen Daten nur für die spezifischen Zwecke der Übermittlung gemäß Anhang I.B verarbeiten, es sei denn, der Datenexporteur erteilt ihm weitere Anweisungen.

8.3 Transparenz

Auf Anfrage stellt der Datenexporteur der betroffenen Person kostenlos eine Kopie dieser Klauseln einschließlich des von den Parteien ausgefüllten Anhangs zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich der in Anhang II beschriebenen Maßnahmen, und personenbezogener Daten erforderlich ist, kann der Datenexporteur vor der Weitergabe einer Kopie einen Teil des Textes des Anhangs zu diesen Klauseln schwärzen, muss jedoch eine aussagekräftige Kopie bereitstellen Zusammenfassung, wenn die betroffene Person andernfalls nicht in der Lage wäre, den Inhalt zu verstehen oder ihre Rechte nicht wahrzunehmen. Auf Anfrage teilen die Parteien der betroffenen Person die Gründe für die Schwärzungen mit, soweit möglich ohne Offenlegung der geschwärzten Informationen. Diese Klausel lässt die Pflichten des Datenexporteurs gemäß den Artikeln 13 und 14 der Verordnung (EU) 2016/679 unberührt.

8.4 Genauigkeit

Stellt der Datenimporteur fest, dass die von ihm erhaltenen personenbezogenen Daten unrichtig oder veraltet sind, teilt er dies dem Datenexporteur unverzüglich mit. In diesem Fall arbeitet der Datenimporteur mit dem Datenexporteur zusammen, um die Daten zu löschen oder zu berichtigen.

8.5 Dauer der Verarbeitung und Löschung bzw. Rückgabe der Daten

Die Verarbeitung durch den Datenimporteur erfolgt nur für die in Anhang I.B genannte Dauer. Nach Beendigung der Erbringung der Verarbeitungsdienstleistungen löscht der Datenimporteur nach Wahl des Datenexporteurs alle im Auftrag des Datenexporteurs verarbeiteten personenbezogenen Daten und bescheinigt dem Datenexporteur dies oder gibt sie zurück Der Datenexporteur verarbeitet alle in seinem Auftrag verarbeiteten personenbezogenen Daten und löscht vorhandene Kopien. Bis zur Löschung oder Rückgabe der Daten stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Sollten für den Datenimporteur lokale Gesetze gelten, die die Rückgabe oder Löschung der personenbezogenen Daten verbieten, garantiert der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln gewährleistet und diese nur in dem Umfang und für die Dauer verarbeitet, wie dies erforderlich ist lokales Gesetz. Dies gilt unbeschadet der Klausel 14, insbesondere der Verpflichtung des Datenimporteurs gemäß Klausel 14(e), den Datenexporteur während der gesamten Vertragslaufzeit zu benachrichtigen, wenn er Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterliegt nicht im Einklang mit den Anforderungen gemäß Klausel 14(a).

8.6 Sicherheit der Verarbeitung

(a) Der Datenimporteur und bei der Übermittlung auch der Datenexporteur müssen geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor Sicherheitsverletzungen, die zu versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Änderung oder unbefugter Offenlegung führen oder Zugriff auf diese Daten (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Sicherheitsniveaus berücksichtigen die Parteien gebührend den Stand der Technik, die Implementierungskosten, die Art, den Umfang, den Kontext und den/die Zweck(e) der Verarbeitung sowie die mit der Verarbeitung für die betroffenen Personen verbundenen Risiken . Die Parteien erwägen insbesondere den Einsatz einer Verschlüsselung oder Pseudonymisierung auch bei der Übermittlung, soweit der Zweck der Verarbeitung auf diese Weise erfüllt werden kann. Im Falle einer Pseudonymisierung bleiben die zusätzlichen Informationen zur Zuordnung der personenbezogenen Daten zu einer bestimmten betroffenen Person nach Möglichkeit unter der ausschließlichen Kontrolle des Datenexporteurs. Bei der Erfüllung seiner Verpflichtungen aus diesem Absatz muss der Datenimporteur mindestens die in Anhang II genannten technischen und organisatorischen Maßnahmen umsetzen. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Sicherheitsniveau bieten.

(b) Der Datenimporteur gewährt seinen Mitarbeitern Zugriff auf die personenbezogenen Daten nur in dem Umfang, der für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Sie stellt sicher, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Verschwiegenheit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(c) Im Falle einer Datenschutzverletzung in Bezug auf personenbezogene Daten, die vom Datenimporteur im Rahmen dieser Klauseln verarbeitet werden, ergreift der Datenimporteur geeignete Maßnahmen, um den Verstoß zu beheben, einschließlich Maßnahmen zur Abmilderung seiner nachteiligen Auswirkungen. Der Datenimporteur hat den Datenexporteur außerdem unverzüglich zu benachrichtigen, nachdem er von dem Verstoß Kenntnis erlangt hat. Diese Benachrichtigung muss die Angaben zu einer Kontaktstelle enthalten, bei der weitere Informationen eingeholt werden können, eine Beschreibung der Art des Verstoßes (einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen und personenbezogenen Datensätze), seiner wahrscheinlichen Folgen und der ergriffene oder vorgeschlagene Maßnahmen zur Behebung des Verstoßes, einschließlich gegebenenfalls Maßnahmen zur Abmilderung seiner möglichen nachteiligen Auswirkungen. Wenn und soweit es nicht möglich ist, alle Informationen gleichzeitig bereitzustellen, muss die Erstmeldung die dann verfügbaren Informationen enthalten und weitere Informationen werden, sobald sie verfügbar sind, anschließend unverzüglich bereitgestellt.

(d) Der Datenimporteur arbeitet mit dem Datenexporteur zusammen und unterstützt ihn, um es dem Datenexporteur zu ermöglichen, seinen Pflichten gemäß der Verordnung (EU) 2016/679 nachzukommen, insbesondere um die zuständige Aufsichtsbehörde und die betroffenen betroffenen Personen zu benachrichtigen die Art der Verarbeitung und die dem Datenimporteur zur Verfügung stehenden Informationen.

8.7 Sensible Daten

Sofern es sich bei der Übermittlung um personenbezogene Daten handelt, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetische Daten oder biometrische Daten zum Zwecke der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit oder das Sexualleben einer Person oder B. sexuelle Orientierung oder Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten (im Folgenden „sensible Daten“), muss der Datenimporteur die in Anhang I.B beschriebenen spezifischen Beschränkungen und/oder zusätzlichen Schutzmaßnahmen anwenden.

8.8 Weiterübertragungen

Der Datenimporteur darf die personenbezogenen Daten nur auf dokumentierte Weisung des Datenexporteurs an Dritte weitergeben. Darüber hinaus ist eine Weitergabe der Daten an Dritte mit Sitz außerhalb der Europäischen Union (im selben Land wie der Datenimporteur oder in einem anderen Drittland, nachfolgend „Weiterübermittlung“) nur dann zulässig, wenn der Dritte hierzu verpflichtet ist oder einer solchen Verpflichtung zustimmt diese Klauseln oder wenn:

(i) die Weiterübermittlung erfolgt in ein Land, für das ein Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 vorliegt, der die Weiterübermittlung abdeckt;

(ii) der Dritte sorgt anderweitig für angemessene Garantien gemäß Artikel 46 oder 47 der Verordnung (EU) 2016/679 in Bezug auf die betreffende Verarbeitung;

(iii) die Weitergabe ist für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen bestimmter Verwaltungs-, Regulierungs- oder Gerichtsverfahren erforderlich; oder

(iv) die Weitergabe ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich.

Jede Weiterübermittlung unterliegt der Einhaltung aller anderen Garantien dieser Klauseln durch den Datenimporteur, insbesondere der Zweckbindung.

8.9 Dokumentation und Compliance

(a) Der Datenimporteur muss Anfragen des Datenexporteurs, die sich auf die Verarbeitung gemäß diesen Klauseln beziehen, umgehend und angemessen bearbeiten.

(b) Die Parteien müssen in der Lage sein, die Einhaltung dieser Klauseln nachzuweisen. Insbesondere führt der Datenimporteur eine angemessene Dokumentation über die im Auftrag des Datenexporteurs durchgeführten Verarbeitungstätigkeiten.

(c) Der Datenimporteur stellt dem Datenexporteur alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der in diesen Klauseln festgelegten Verpflichtungen erforderlich sind, und ermöglicht auf Anfrage des Datenexporteurs Prüfungen der von diesen Klauseln abgedeckten Verarbeitungstätigkeiten und trägt dazu bei angemessenen Zeitabständen oder wenn Anzeichen für eine Nichteinhaltung vorliegen. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Datenexporteur relevante Zertifizierungen des Datenimporteurs berücksichtigen.

(d) Der Datenexporteur kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Audits können Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Datenimporteurs umfassen und müssen gegebenenfalls mit angemessener Vorankündigung durchgeführt werden.

(e) Die Vertragsparteien stellen der zuständigen Aufsichtsbehörde auf Anfrage die in den Absätzen (b) und (c) genannten Informationen, einschließlich der Ergebnisse etwaiger Prüfungen, zur Verfügung.

Klausel 9

Einsatz von Unterauftragsverarbeitern

(a) Der Datenimporteur verfügt über die allgemeine Genehmigung des Datenexporteurs für die Beauftragung von Unterauftragsverarbeitern aus einer vereinbarten Liste. Der Datenimporteur muss den Datenexporteur mindestens 10 Tage im Voraus ausdrücklich und schriftlich über alle beabsichtigten Änderungen dieser Liste durch die Hinzufügung oder Ersetzung von Unterauftragsverarbeitern informieren und dem Datenexporteur so ausreichend Zeit geben, um solchen Änderungen zuvor widersprechen zu können auf die Beauftragung des/der Unterauftragsverarbeiter(s). Der Datenimporteur stellt dem Datenexporteur die Informationen zur Verfügung, die erforderlich sind, damit der Datenexporteur sein Widerspruchsrecht ausüben kann.

(b) Beauftragt der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Datenexporteurs), erfolgt dies im Wege eines schriftlichen Vertrags, der im Wesentlichen dieselben Datenschutzverpflichtungen vorsieht wie diejenigen, die den Datenimporteur gemäß diesen Klauseln binden, auch im Hinblick auf die Rechte Dritter für betroffene Personen. Die Parteien vereinbaren, dass der Datenimporteur durch die Einhaltung dieser Klausel seinen Pflichten gemäß Klausel 8.8 nachkommt. Der Datenimporteur stellt sicher, dass der Unterauftragsverarbeiter die Verpflichtungen einhält, denen der Datenimporteur gemäß diesen Klauseln unterliegt.

(c) Der Datenimporteur stellt dem Datenexporteur auf Anfrage eine Kopie einer solchen Unterauftragsverarbeitervereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Datenimporteur den Vertragstext vor der Weitergabe einer Kopie redigieren.

(d) Der Datenimporteur bleibt gegenüber dem Datenexporteur in vollem Umfang für die Erfüllung der Pflichten des Unterauftragsverarbeiters aus seinem Vertrag mit dem Datenimporteur verantwortlich. Der Datenimporteur benachrichtigt den Datenexporteur über jedes Versäumnis des Unterauftragsverarbeiters, seinen Verpflichtungen aus diesem Vertrag nachzukommen.

(e) Der Datenimporteur muss mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel vereinbaren, wonach der Datenexporteur das Recht hat, zu kündigen, wenn der Datenimporteur faktisch verschwunden ist, rechtlich nicht mehr existiert oder zahlungsunfähig geworden ist den Vertrag mit dem Unterauftragsverarbeiter zu erfüllen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

Klausel 10

Rechte der betroffenen Person

(a) Der Datenimporteur benachrichtigt den Datenexporteur und gegebenenfalls den für die Verarbeitung Verantwortlichen unverzüglich über alle Anfragen, die er von einer betroffenen Person erhalten hat, ohne auf diese Anfragen zu antworten, es sei denn, er wurde vom für die Verarbeitung Verantwortlichen dazu ermächtigt.

(b) Der Datenimporteur unterstützt den Datenexporteur bei der Erfüllung seiner Pflichten, auf Anträge betroffener Personen auf Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679 zu reagieren. In diesem Zusammenhang legen die Vertragsparteien in Anhang II unter Berücksichtigung der Art der Verarbeitung, durch die die Unterstützung geleistet werden soll, sowie des Umfangs und des Ausmaßes der erforderlichen Unterstützung die geeigneten technischen und organisatorischen Maßnahmen fest.

(c) Bei der Erfüllung seiner Verpflichtungen gemäß den Absätzen (a) und (b) muss der Datenimporteur die Anweisungen des Datenexporteurs befolgen.

Klausel 11

Wiedergutmachung

(a) Der Datenimporteur informiert die betroffenen Personen in einem transparenten und leicht zugänglichen Format durch individuelle Mitteilung oder auf seiner Website über eine für die Bearbeitung von Beschwerden zuständige Kontaktstelle. Sie wird alle Beschwerden, die sie von einer betroffenen Person erhält, umgehend bearbeiten.

(b) Im Falle einer Streitigkeit zwischen einer betroffenen Person und einer der Parteien hinsichtlich der Einhaltung dieser Klauseln wird sich diese Partei nach besten Kräften bemühen, die Angelegenheit zeitnah gütlich zu lösen. Die Vertragsparteien halten sich gegenseitig über solche Streitigkeiten auf dem Laufenden und arbeiten gegebenenfalls bei der Lösung dieser Streitigkeiten zusammen.

(c) Wenn sich die betroffene Person gemäß Klausel 3 auf ein Recht als Drittbegünstigter beruft, muss der Datenimporteur die Entscheidung der betroffenen Person akzeptieren:

(i) eine Beschwerde bei der Aufsichtsbehörde in dem Mitgliedstaat seines/ihres gewöhnlichen Aufenthalts oder Arbeitsplatzes oder bei der zuständigen Aufsichtsbehörde gemäß Klausel 13 einreichen;

(ii) die Streitigkeit an die zuständigen Gerichte im Sinne von Klausel 18 weiterleiten.

(d) Die Vertragsparteien akzeptieren, dass die betroffene Person unter den in Artikel 80 Absatz 1 der Verordnung (EU) 2016/679 festgelegten Bedingungen durch eine gemeinnützige Einrichtung, Organisation oder Vereinigung vertreten werden kann.

(e) Der Datenimporteur muss sich an eine Entscheidung halten, die nach geltendem EU-Recht oder Recht eines Mitgliedstaats bindend ist.

(f) Der Datenimporteur erklärt sich damit einverstanden, dass die von der betroffenen Person getroffene Wahl ihre materiellen und verfahrensrechtlichen Rechte auf Rechtsbehelfe gemäß den geltenden Gesetzen nicht beeinträchtigt.

Klausel 12

Haftung

(a) Jede Partei haftet gegenüber der anderen Partei/den anderen Parteien für alle Schäden, die sie der anderen Partei/den anderen Parteien durch einen Verstoß gegen diese Klauseln verursacht.

(b) Der Datenimporteur haftet gegenüber der betroffenen Person und die betroffene Person hat Anspruch auf Schadensersatz für alle materiellen oder immateriellen Schäden, die der Datenimporteur oder sein Unterauftragsverarbeiter der betroffenen Person durch einen Verstoß gegen das Recht Dritter verursacht. Rechte der Parteibegünstigten gemäß diesen Klauseln.

(c) Ungeachtet des Absatzes (b) haftet der Datenexporteur gegenüber der betroffenen Person und die betroffene Person hat Anspruch auf Entschädigung für alle materiellen oder immateriellen Schäden, die dem Datenexporteur oder dem Datenimporteur (oder seinen Untergebenen) entstehen -Auftragsverarbeiter) verursacht, dass die betroffene Person die Drittbegünstigtenrechte gemäß diesen Klauseln verletzt. Dies gilt unbeschadet der Haftung des Datenexporteurs und, wenn der Datenexporteur ein Auftragsverarbeiter ist, der im Namen eines Verantwortlichen handelt, der Haftung des Verantwortlichen gemäß der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725. soweit zutreffend.

(d) Die Parteien vereinbaren, dass der Datenexporteur, wenn er gemäß Absatz (c) für Schäden haftbar gemacht wird, die vom Datenimporteur (oder seinem Unterauftragsverarbeiter) verursacht wurden, berechtigt ist, diesen Teil der Entschädigung vom Datenimporteur zurückzufordern entsprechend der Haftung des Datenimporteurs für den Schaden.

(e) Wenn mehr als eine Partei für einen Schaden verantwortlich ist, der der betroffenen Person infolge eines Verstoßes gegen diese Klauseln entsteht, haften alle verantwortlichen Parteien gesamtschuldnerisch und die betroffene Person ist berechtigt, gerichtlich dagegen vorzugehen einer dieser Parteien.

(f) Die Parteien vereinbaren, dass, wenn eine Partei gemäß Absatz (e) haftbar gemacht wird, sie berechtigt ist, von der anderen Partei/den anderen Parteien den Teil der Entschädigung zurückzufordern, der ihrer Verantwortung für den Schaden entspricht.

(g) Der Datenimporteur darf sich nicht auf das Verhalten eines Unterauftragsverarbeiters berufen, um seiner eigenen Haftung zu entgehen.

Klausel 13

Aufsicht

(a) Wenn der Datenexporteur seinen Sitz in einem EU-Mitgliedstaat hat, fungiert die Aufsichtsbehörde, die dafür verantwortlich ist, sicherzustellen, dass der Datenexporteur die Verordnung (EU) 2016/679 in Bezug auf die Datenübertragung gemäß Anhang I.C einhält, als zuständige Aufsichtsbehörde.

Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen ist, aber gemäß Artikel 3 Absatz 2 der Verordnung (EU) 2016/679 in den räumlichen Anwendungsbereich fällt und einen Vertreter gemäß Artikel 27 Absatz 1 ernannt hat Gemäß der Verordnung (EU) 2016/679 fungiert die Aufsichtsbehörde des Mitgliedstaats als zuständig, in dem der Vertreter im Sinne von Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 gemäß Anhang I.C niedergelassen ist Aufsichtsbehörde.

Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat ansässig ist, aber gemäß Artikel 3 Absatz 2 der Verordnung (EU) 2016/679 in den räumlichen Anwendungsbereich fällt, ohne jedoch einen Vertreter gemäß Artikel 27 bestellen zu müssen( 2) der Verordnung (EU) 2016/679 ist die Aufsichtsbehörde eines der Mitgliedstaaten, in dem die betroffenen Personen, deren personenbezogene Daten gemäß diesen Klauseln im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an sie übermittelt werden, oder deren Verhalten überwacht wird , wie in Anhang I.C angegeben, ihren Sitz haben, fungieren als zuständige Aufsichtsbehörde.

(b) Der Datenimporteur erklärt sich damit einverstanden, sich der Gerichtsbarkeit der zuständigen Aufsichtsbehörde zu unterwerfen und bei allen Verfahren zur Gewährleistung der Einhaltung dieser Klauseln mit ihr zusammenzuarbeiten. Insbesondere verpflichtet sich der Datenimporteur, Anfragen zu beantworten, sich Prüfungen zu unterziehen und die von der Aufsichtsbehörde beschlossenen Maßnahmen, einschließlich Abhilfe- und Ausgleichsmaßnahmen, einzuhalten. Sie bestätigt der Aufsichtsbehörde schriftlich, dass die erforderlichen Maßnahmen ergriffen wurden.

ABSCHNITT III – ÖRTLICHE GESETZE UND VERPFLICHTUNGEN IM FALLE DES ZUGRIFFS DURCH ÖFFENTLICHE BEHÖRDEN

Klausel 14

Lokale Gesetze und Praktiken, die sich auf die Einhaltung der Klauseln auswirken

(a) Die Parteien garantieren, dass sie keinen Grund zu der Annahme haben, dass die Gesetze und Praktiken im Bestimmungsdrittland für die Verarbeitung personenbezogener Daten durch den Datenimporteur gelten, einschließlich etwaiger Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die den Zugriff der Öffentlichkeit gestatten Behörden hindern den Datenimporteur daran, seinen Pflichten aus diesen Klauseln nachzukommen. Dies basiert auf dem Verständnis, dass Gesetze und Praktiken, die den Wesensgehalt der Grundrechte und Grundfreiheiten achten und nicht über das hinausgehen, was in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) aufgeführten Ziele zu wahren ) 2016/679, stehen nicht im Widerspruch zu diesen Klauseln.

(b) Die Parteien erklären, dass sie bei der Gewährleistung gemäß Absatz (a) insbesondere die folgenden Elemente gebührend berücksichtigt haben:

(i) die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle; beabsichtigte Weiterübertragungen; die Art des Empfängers; der Zweck der Verarbeitung; die Kategorien und das Format der übermittelten personenbezogenen Daten; der Wirtschaftszweig, in dem die Übertragung erfolgt; den Speicherort der übertragenen Daten;

(ii) die Gesetze und Praktiken des Bestimmungsdrittlandes – einschließlich derjenigen, die die Offenlegung von Daten gegenüber Behörden erfordern oder den Zugriff durch diese Behörden genehmigen –, die im Hinblick auf die spezifischen Umstände der Übermittlung sowie die geltenden Beschränkungen und Schutzmaßnahmen relevant sind;

(iii) alle relevanten vertraglichen, technischen oder organisatorischen Schutzmaßnahmen, die zusätzlich zu den Schutzmaßnahmen gemäß diesen Klauseln getroffen wurden, einschließlich Maßnahmen, die während der Übermittlung und Verarbeitung der personenbezogenen Daten im Zielland angewendet werden.

(c) Der Datenimporteur gewährleistet, dass er sich bei der Durchführung der Bewertung gemäß Absatz (b) nach besten Kräften bemüht hat, dem Datenexporteur relevante Informationen zur Verfügung zu stellen, und stimmt zu, dass er weiterhin mit dem Datenexporteur zusammenarbeiten wird, um die Einhaltung sicherzustellen diese Klauseln.

(d) Die Vertragsparteien vereinbaren, die Bewertung gemäß Absatz (b) zu dokumentieren und der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

(e) Der Datenimporteur verpflichtet sich, den Datenexporteur unverzüglich zu benachrichtigen, wenn er nach Zustimmung zu diesen Klauseln und für die Dauer des Vertrags Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterliegt, die nicht im Einklang mit den Bestimmungen stehen Anforderungen gemäß Absatz (a), einschließlich nach einer Änderung der Gesetze des Drittlandes oder einer Maßnahme (z. B. einer Offenlegungsanfrage), die auf eine Anwendung dieser Gesetze in der Praxis hinweist, die nicht mit den Anforderungen in Absatz (a) im Einklang steht.

(f) Nach einer Benachrichtigung gemäß Absatz (e) oder wenn der Datenexporteur aus anderen Gründen Grund zu der Annahme hat, dass der Datenimporteur seinen Verpflichtungen aus diesen Klauseln nicht mehr nachkommen kann, muss der Datenexporteur unverzüglich geeignete Maßnahmen (z. B. technischer oder organisatorischer Art) ermitteln Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit), die der Datenexporteur und/oder Datenimporteur zur Lösung der Situation ergreifen muss. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Ansicht ist, dass keine angemessenen Garantien für die Übermittlung gewährleistet werden können, oder wenn er von der zuständigen Aufsichtsbehörde dazu aufgefordert wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit es sich um die Verarbeitung personenbezogener Daten gemäß diesen Klauseln handelt. Sind an dem Vertrag mehr als zwei Parteien beteiligt, kann der Datenexporteur dieses Kündigungsrecht nur gegenüber der betreffenden Partei ausüben, sofern die Parteien nichts anderes vereinbart haben. Wenn der Vertrag gemäß dieser Klausel gekündigt wird, gelten Klausel 16(d) und (e).

Klausel 15

Pflichten des Datenimporteurs bei Zugriff durch Behörden

15.1 Benachrichtigung

(a) Der Datenimporteur verpflichtet sich, den Datenexporteur und, soweit möglich, die betroffene Person unverzüglich (ggf. mit Hilfe des Datenexporteurs) zu benachrichtigen, wenn:

(i) von einer Behörde, einschließlich Justizbehörden, nach den Gesetzen des Ziellandes eine rechtsverbindliche Anfrage zur Offenlegung der gemäß diesen Klauseln übermittelten personenbezogenen Daten erhält; Diese Benachrichtigung muss Informationen über die angeforderten personenbezogenen Daten, die anfragende Behörde, die Rechtsgrundlage für die Anfrage und die bereitgestellte Antwort enthalten. oder

(ii) Kenntnis von einem direkten Zugriff staatlicher Stellen auf personenbezogene Daten erhält, die gemäß diesen Klauseln gemäß den Gesetzen des Bestimmungslandes übermittelt werden; Diese Mitteilung muss alle dem Importeur zur Verfügung stehenden Informationen enthalten.

(b) Wenn es dem Datenimporteur nach den Gesetzen des Bestimmungslandes untersagt ist, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, verpflichtet sich der Datenimporteur, sich nach besten Kräften zu bemühen, um eine Aufhebung des Verbots zu erreichen So schnell wie möglich so viele Informationen wie möglich kommunizieren. Der Datenimporteur verpflichtet sich, seine Bemühungen zu dokumentieren, um diese auf Verlangen des Datenexporteurs nachweisen zu können.

(c) Soweit nach den Gesetzen des Bestimmungslandes zulässig, verpflichtet sich der Datenimporteur, dem Datenexporteur während der Vertragsdauer in regelmäßigen Abständen möglichst viele relevante Informationen zu den eingegangenen Anfragen (insbesondere Anzahl) zur Verfügung zu stellen Anzahl der Anfragen, Art der angeforderten Daten, anfragende Behörde(n), ob Anfragen angefochten wurden und das Ergebnis solcher Anfechtungen usw.).

(d) Der Datenimporteur verpflichtet sich, die Informationen gemäß den Absätzen (a) bis (c) für die Dauer des Vertrags aufzubewahren und der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

(e) Die Absätze (a) bis (c) berühren nicht die Verpflichtung des Datenimporteurs gemäß Klausel 14(e) und Klausel 16, den Datenexporteur unverzüglich zu informieren, wenn er diesen Klauseln nicht nachkommen kann.

15.2 Überprüfung der Rechtmäßigkeit und Datenminimierung

(a) Der Datenimporteur verpflichtet sich, die Rechtmäßigkeit des Offenlegungsantrags zu prüfen, insbesondere, ob er im Rahmen der der ersuchenden Behörde eingeräumten Befugnisse bleibt, und den Antrag anzufechten, wenn er nach sorgfältiger Prüfung zu dem Schluss kommt, dass dafür triftige Gründe vorliegen zu berücksichtigen, dass die Anfrage nach den Gesetzen des Ziellandes, den geltenden Verpflichtungen des Völkerrechts und den Grundsätzen der internationalen Gemeinschaft rechtswidrig ist. Der Datenimporteur hat unter den gleichen Voraussetzungen Rechtsmittel einzulegen. Bei der Anfechtung eines Antrags ergreift der Datenimporteur einstweilige Maßnahmen mit dem Ziel, die Wirkung des Antrags auszusetzen, bis die zuständige Justizbehörde über die Begründetheit entschieden hat. Die Offenlegung der angeforderten personenbezogenen Daten erfolgt erst, wenn die geltenden Verfahrensregeln dies erfordern. Diese Anforderungen gelten unbeschadet der Pflichten des Datenimporteurs gemäß Klausel 14(e).

(b) Der Datenimporteur verpflichtet sich, seine rechtliche Beurteilung und etwaige Anfechtungen des Offenlegungsantrags zu dokumentieren und die Dokumentation, soweit nach den Gesetzen des Bestimmungslandes zulässig, dem Datenexporteur zur Verfügung zu stellen. Sie stellt sie auf Verlangen auch der zuständigen Aufsichtsbehörde zur Verfügung. Der Datenexporteur stellt die Bewertung dem Verantwortlichen zur Verfügung.

(c) Der Datenimporteur verpflichtet sich, bei der Beantwortung einer Offenlegungsanfrage die zulässige Mindestmenge an Informationen bereitzustellen, die auf einer angemessenen Auslegung der Anfrage basiert.

ABSCHNITT IV – SCHLUSSBESTIMMUNGEN

Klausel 16

Nichteinhaltung der Klauseln und Kündigung

(a) Der Datenimporteur muss den Datenexporteur unverzüglich informieren, wenn er aus irgendeinem Grund nicht in der Lage ist, diese Klauseln einzuhalten.

(b) Für den Fall, dass der Datenimporteur gegen diese Klauseln verstößt oder nicht in der Lage ist, diese Klauseln einzuhalten, wird der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aussetzen, bis die Einhaltung wieder gewährleistet ist oder der Vertrag gekündigt wird. Klausel 14(f) bleibt hiervon unberührt.

(c) Der Datenexporteur ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn:

(i) der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Absatz (b) ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Zeit und auf jeden Fall nicht innerhalb eines Monats nach der Aussetzung wiederhergestellt wird;

(ii) der Datenimporteur verstößt erheblich oder dauerhaft gegen diese Klauseln; oder

(iii) der Datenimporteur einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer Aufsichtsbehörde bezüglich seiner Verpflichtungen aus diesen Klauseln nicht nachkommt.

In diesen Fällen hat sie die zuständige Aufsichtsbehörde und den Verantwortlichen über die Nichteinhaltung zu informieren. Beteiligt sich der Vertrag an mehr als zwei Vertragsparteien, kann der Datenexporteur dieses Kündigungsrecht nur gegenüber der betreffenden Vertragspartei ausüben, sofern die Vertragsparteien nichts anderes vereinbart haben.

(d) Personenbezogene Daten, die vor Vertragsbeendigung gemäß Absatz (c) übermittelt wurden, sind nach Wahl des Datenexporteurs unverzüglich an den Datenexporteur zurückzugeben oder vollständig zu löschen. Dasselbe gilt für etwaige Kopien der Daten. Der Datenimporteur muss dem Datenexporteur die Löschung der Daten bescheinigen. Bis zur Löschung oder Rückgabe der Daten stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Sollten für den Datenimporteur lokale Gesetze gelten, die die Rückgabe oder Löschung der übermittelten personenbezogenen Daten verbieten, gewährleistet der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln gewährleistet und die Daten nur in dem Umfang und für die Dauer verarbeitet, wie dies der Fall ist gemäß diesem örtlichen Gesetz erforderlich.

(e) Jede Partei kann ihre Zustimmung zur Bindung an diese Klauseln widerrufen, wenn (i) die Europäische Kommission einen Beschluss gemäß Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 erlässt, der die Übermittlung personenbezogener Daten, auf die diese Klauseln abzielen, betrifft Es gelten Klauseln; oder (ii) die Verordnung (EU) 2016/679 Teil des Rechtsrahmens des Landes wird, in das die personenbezogenen Daten übermittelt werden. Dies gilt unbeschadet anderer Verpflichtungen, die für die betreffende Verarbeitung gemäß der Verordnung (EU) 2016/679 gelten.

Klausel 17

Geltendes Recht

Für diese Klauseln gilt das Recht eines EU-Mitgliedstaates, sofern dieses Recht Drittbegünstigtenrechte zulässt. Die Parteien vereinbaren, dass dies das Recht der Niederlande ist.

Klausel 18

Wahl des Gerichtsstands und der Gerichtsbarkeit

(a) Alle Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten eines EU-Mitgliedstaats entschieden.

(b) Die Parteien vereinbaren, dass dies die Gerichte der Niederlande sind.

(c) Eine betroffene Person kann gegen den Datenexporteur und/oder Datenimporteur auch vor den Gerichten des Mitgliedstaats klagen, in dem sie ihren gewöhnlichen Aufenthalt hat.

(d) Die Parteien vereinbaren, sich der Zuständigkeit dieser Gerichte zu unterwerfen.

ANHANG

ANHANG I

A. LISTE DER PARTEIEN

Datenexporteur(en):

Name: Gastgeber

Adresse: Wie in Vereinbarung zwischen den Parteien angegeben

Name, Position und Kontaktdaten der Kontaktperson: Wie in der Vereinbarung zwischen den Parteien festgelegt

Aktivitäten, die für die gemäß diesen Klauseln übertragenen Daten relevant sind: Um Mighty Software die Bereitstellung seiner Dienste (wie in der Vereinbarung zwischen den Parteien definiert) für Host zu ermöglichen, nämlich Mighty Software zu ermöglichen, Einzelpersonen Einladungen zu senden, um Mitglieder des Mighty-Netzwerks von Host zu werden; um Gastgeber und Mitglieder einzubinden; die Teilnahme am Mighty Network des Hosts erleichtern; um Gastgeber- und Mitgliederinhalte im Mighty Network des Gastgebers zu verarbeiten, zu speichern und verfügbar zu machen. Darüber hinaus halten Sie sich an die Gesetze, führen Analysen der Nutzung des Mighty Network des Hosts durch Gastgeber und Mitglieder durch und verhindern den Missbrauch des Mighty Network des Hosts und Verstöße gegen die Richtlinien zur akzeptablen Nutzung

Rolle (Verantwortlicher/Auftragsverarbeiter): Verantwortlicher

Datenimporteur(en):

Name: Mighty Software, Inc.

Adresse: 530 Lytton Ave 2nd Fl, Büro Nr. 208, Palo Alto, CA 94301

Name, Position und Kontaktdaten des Ansprechpartners:

Marny Sumrall
SVP-Geschäftsbetrieb
marny@mightynetworks.com

Aktivitäten, die für die gemäß diesen Klauseln übertragenen Daten relevant sind: Um Mighty Software die Bereitstellung seiner Dienste (wie in der Vereinbarung zwischen den Parteien definiert) für Host zu ermöglichen, nämlich das Versenden von Einladungen an Einzelpersonen, Mitglieder des Mighty-Netzwerks von Host zu werden; Onboard-Gastgeber und Mitglieder; die Teilnahme am Mighty Network des Hosts erleichtern; Host- und Mitgliederinhalte im Mighty Network des Hosts verarbeiten, speichern und verfügbar machen. Darüber hinaus beachten

Wir führen Analysen der Nutzung des Mighty-Netzwerks des Gastgebers durch den Gastgeber und seiner Mitglieder durch und verhindern den Missbrauch des Mighty-Netzwerks des Gastgebers sowie Verstöße gegen die Richtlinien zur akzeptablen Nutzung

Rolle (Verantwortlicher/Auftragsverarbeiter): Auftragsverarbeiter

B. BESCHREIBUNG DER ÜBERTRAGUNG

Kategorien betroffener Personen, deren personenbezogene Daten übermittelt werden
Siehe Abschnitt 4.4.e des DPA

Kategorien der übermittelten personenbezogenen Daten
Siehe Abschnitt 4.4.f des DPA

Sensible Daten werden übertragen (falls zutreffend)
n / A
Die Häufigkeit der Übermittlung (z. B. ob die Daten einmalig oder kontinuierlich übermittelt werden).
kontinuierlich

Art der Verarbeitung
Siehe Abschnitt 4.4.d des DPA

Zweck(e) der Datenübermittlung und Weiterverarbeitung
Siehe Abschnitt 4.4.c des DPA

Der Zeitraum, für den die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien zur Bestimmung dieses Zeitraums
Siehe Abschnitt 4.4b des DPA

Bei Übermittlungen an (Unter-)Auftragsverarbeiter geben Sie bitte auch den Gegenstand, die Art und die Dauer der Verarbeitung an
das gleiche wie oben

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

Der Datenexporteur hat seinen Sitz in einem EWR-Land.

Die zuständige Aufsichtsbehörde ist Autoriteit Persoonsgegevens, Niederlande.

ANHANG II

Technische und organisatorische Maßnahmen, einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Daten

Siehe Abschnitt 6.1 des DPA