Datenverarbeitungszusatz

DATENVERARBEITUNGSANHANG

Diese Datenverarbeitungsvereinbarung (’DPA’) ist an die Endbenutzer-Lizenzvereinbarung angehängt (verfügbar unter https://www.conduktor.io/eula) und bildet einen untrennbaren Bestandteil des zwischen Conduktor und dem Kunden geschlossenen Vertrages. Diese DPA legt die Bedingungen und Konditionen für die Verarbeitung personenbezogener Daten durch Conduktor im Auftrag des Kunden im Rahmen des Vertrages fest.

DEFINIZIONEN

1. Die großgeschriebenen Begriffe, die in dieser DPA verwendet, aber nicht definiert sind, haben die in dem Vertrag festgelegte Bedeutung. Die folgenden großgeschriebenen Begriffe, die in dieser DPA verwendet werden, werden wie folgt definiert:

"Anwendbare Datenschutzgesetze" bedeutet alle anwendbaren Gesetze, Regelungen, Vorschriften und staatlichen Anforderungen in Bezug auf die Privatsphäre, Vertraulichkeit oder Sicherheit personenbezogener Daten, wie sie von Zeit zu Zeit geändert oder anderweitig aktualisiert werden können.

"Verantwortlicher Affiliate" bedeutet einen Affiliate des Verantwortlichen, der ein Begünstigter des Vertrages ist.

"Abgedeckte Daten" bedeutet personenbezogene Daten, die: (a) vom Verantwortlichen oder im Auftrag des Verantwortlichen dem Verarbeiter im Zusammenhang mit den Dienstleistungen bereitgestellt werden; oder (b) vom Verarbeiter oder dessen Vertretern oder Unterauftragnehmern erhalten, entwickelt, produziert oder anderweitig verarbeitet werden, um die Dienstleistungen bereitzustellen.

"Betroffene Person" bedeutet eine natürliche Person, deren personenbezogene Daten verarbeitet werden.

"Deidentifizierte Daten" bedeutet Daten, die unter Verwendung abgedeckter Daten erstellt wurden und die sich vernünftigerweise nicht direkt oder indirekt mit solchen abgedeckten Daten verknüpfen lassen.

"EU" bedeutet den Europäischen Wirtschaftsraum, einschließlich der Europäischen Union ("EU").

"DSGVO" bedeutet die Verordnung (EU) 2016/679 (die "EU-DSGVO") oder, falls zutreffend, die "UK-DSGVO", wie sie Teil des Rechts von England und Wales, Schottland und Nordirland im Sinne des Abschnitts 3 des UK European Union (Withdrawal) Act 2018 ist oder, falls anwendbar, die entsprechende Bestimmung des schweizerischen Datenschutzrechts.

"Mitgliedstaat" bedeutet einen Mitgliedstaat des EWR, der Mitgliedstaat der Europäischen Union, Island, Norwegen oder Liechtenstein ist.

"Personenbezogene Daten" bedeutet alle Daten oder Informationen, die: (a) mit einer identifizierten oder identifizierbaren natürlichen Person verknüpft sind oder verknüpft werden können; oder (b) anderweitig "personenbezogene Daten", "persönliche Informationen" oder "personenidentifizierbare Informationen" oder ähnlich definierte Daten oder Informationen gemäß den Anwendbaren Datenschutzgesetzen sind.

"Verarbeitung" bedeutet jede Operation oder Reihe von Operationen, die an personenbezogenen Daten oder an Mengen von personenbezogenen Daten durchgeführt wird, unabhängig davon, ob sie automatisiert erfolgt oder nicht. "Verarbeiten", "Verarbeitungen" und "Verarbeitet" werden entsprechend ausgelegt.

"Sicherheitsvorfall" bedeutet einen bestätigten oder vernünftigerweise vermuteten Sicherheitsvorfall, der zu der unbeabsichtigten oder unrechtmäßigen Zerstörung, dem Verlust, der Änderung, der unbefugten Offenlegung oder dem unbefugten Zugang zu abgedeckten Daten führt (einschließlich unbefugten internen Zugriffs).

"Dienstleistungen" bedeutet die vom Verarbeiter gemäß dem Vertrag zu erbringenden Dienstleistungen.

"Standardvertragsklauseln" oder "SCCs" bedeutet Modul Zwei (Verantwortlicher zu Verarbeiter) und/oder Modul Drei (Verarbeiter zu Verarbeiter) der Standardvertragsklauseln, die an die Durchführungsentscheidung (EU) 2021/914 angehängt sind.

"Unterverarbeiter" bedeutet eine vom Verarbeiter ernannte Einheit, um abgedeckte Daten in seinem Auftrag zu verarbeiten.

"VK" bedeutet das Vereinigte Königreich.

"US-Datenschutzgesetze" bedeutet, soweit zutreffend, Bundes- und Landesgesetze, die den Datenschutz, die Verarbeitung personenbezogener Daten, die Privatsphäre und/oder den Datenschutz von Zeit zu Zeit in den Vereinigten Staaten regeln.

INTERAKTION MIT DEM VERTRAG

1. Diese DPA ist in den Vertrag integriert und bildet einen integralen Bestandteil des Vertrages. Diese DPA ergänzt und (im Falle von Widersprüchen) ersetzt den Vertrag in Bezug auf die Verarbeitung abgedeckter Daten.

2. Jede Verarbeitung, die in Klausel 4 (Einzelheiten der Datenverarbeitung) und Anhang 1** zu dieser DPA beschrieben wird, unterliegt dieser DPA.

3. Verantwortlicher Affiliates sind Begünstigte dieser DPA und können über den Verantwortlichen (siehe Klauseln 2.4 und 2.5) das Recht durchsetzen, alle Rechte in Bezug auf abgedeckte Daten zu geltend zu machen, die von dem jeweiligen Affiliate bereitgestellt wurden. Der Verantwortliche wird sicherstellen, dass alle Verpflichtungen aus dieser DPA an den jeweiligen Verantwortlichen Affiliate weitergegeben werden.

4. Der Verantwortliche gewährleistet, dass er ordnungsgemäß von allen Verantwortlichen Affiliates, in deren Auftrag der Verarbeiter abgedeckte Daten gemäß dieser DPA verarbeitet, mandatiert wurde, um (a) die Bedingungen dieser DPA im Namen der Verantwortlichen Affiliates durchzusetzen und um im Namen der Verantwortlichen Affiliates in der Verwaltung und beim Umgang mit Ansprüchen zu handeln, die in Verbindung mit dieser DPA entstehen; und (b) alle Mitteilungen oder Kommunikationen gemäß dieser DPA im Namen der Verantwortlichen Affiliates zu empfangen und darauf zu reagieren.

5. Der Verantwortliche wird der einzige Ansprechpartner für alle Kommunikationen zwischen den Verantwortlichen Affiliates und dem Verarbeiter sein. ROLLE DER PARTIEN

Die Parteien erkennen an und stimmen zu, dass:

1. für die Zwecke der DSGVO handelt der Verarbeiter als "Verarbeiter" oder "Unterverarbeiter" (wie in der DSGVO definiert). Die Funktion des Verarbeiters als Verarbeiter oder Unterverarbeiter wird durch die Funktion des Verantwortlichen bestimmt:

   1. Wenn der Verantwortliche als Verantwortlicher handelt, handelt der Verarbeiter als Verarbeiter.

   2. Wenn der Verantwortliche als Verarbeiter im Auftrag eines anderen Verantwortlichen handelt, handelt der Verarbeiter als Unterverarbeiter.

2. für die Zwecke der US-Datenschutzgesetze wird der Verarbeiter als "Dienstleister" oder "Verarbeiter" (wie in den US-Datenschutzgesetzen definiert) tätig, je nach anwendbar, bei der Erfüllung seiner Verpflichtungen gemäß dem Vertrag und dieser DPA.

1. DETAILS DER DATENVERARBEITUNG

   1. Die Einzelheiten der Verarbeitung personenbezogener Daten im Rahmen des Vertrages und dieser DPA (wie Gegenstand, Natur und Zweck der Verarbeitung, Kategorien personenbezogener Daten und betroffene Personen) sind im Vertrag und in Anhang 1** zu dieser DPA beschrieben.

   2. Abgedeckte Daten werden nur im Auftrag des Verantwortlichen und gemäß dessen Anweisungen und in Übereinstimmung mit den Anwendbaren Datenschutzgesetzen verarbeitet. Der Vertrag und diese DPA stellen im Allgemeinen die Anweisungen für die Verarbeitung abgedeckter Daten dar. Der Verantwortliche kann weitere schriftliche Anweisungen gemäß dieser DPA erteilen. Unbeschadet des Vorstehenden ist der Verarbeiter untersagt:

      1. abgedeckte Daten zu verkaufen oder anderweitig abgedeckte Daten zu einem Dritten gegen monetäre oder andere wertvolle Gegenleistungen zugänglich zu machen;

      2. abgedeckte Daten mit einem Dritten für kontextübergreifendeBehavioral-Werbung zu teilen;

      3. abgedeckte Daten für andere Zwecke als die in dem Vertrag angegebenen Geschäftszwecke oder wie sonst von den Anwendbaren Datenschutzgesetzen zugelassen zu behalten, zu verwenden oder offenzulegen;

      4. abgedeckte Daten außerhalb der unmittelbaren Geschäftsbeziehung zwischen den Parteien zu behalten, zu verwenden oder offenzulegen; und

      5. außer wie anders von den Anwendbaren Datenschutzgesetzen erlaubt, abgedeckte Daten mit personenbezogenen Daten zu kombinieren, die der Verarbeiter von einer anderen Person oder von Personen erhalten hat, oder die er aus seinen eigenen Interaktionen mit der betroffenen Person gesammelt hat.

   3. Der Verarbeiter wird den Zugang zu abgedeckten Daten auf Mitarbeiter beschränken, die ein geschäftliches Bedürfnis haben, auf solche abgedeckten Daten zuzugreifen, und wird sicherstellen, dass solche Mitarbeiter Verpflichtungen unterliegen, die mindestens so schützend für die abgedeckten Daten sind wie die Bedingungen dieser DPA und des Vertrages.

   4. Der Verarbeiter kann (unbeschadet von Klausel 11) abgedeckte Daten überall dort verarbeiten, wo der Verarbeiter oder seine Unterverarbeiter Einrichtungen unterhalten, vorbehaltlich der Klausel 5 dieser DPA.

   5. Der Verarbeiter wird dem Verantwortlichen Informationen zur Verfügung stellen, um dem Verantwortlichen zu ermöglichen, alle erforderlichen Datenschutzbewertungen gemäß den Anwendbaren Datenschutzgesetzen durchzuführen und zu dokumentieren. Darüber hinaus wird der Verarbeiter den Verantwortlichen umgehend benachrichtigen, wenn der Verarbeiter feststellt, dass er seinen Verpflichtungen gemäß den Anwendbaren Datenschutzgesetzen nicht mehr nachkommen kann.

   6. Der Verantwortliche hat das Recht, angemessene und geeignete Schritte zu unternehmen, um sicherzustellen, dass der Verarbeiter die abgedeckten Daten in einer Weise verwendet, die mit den Verpflichtungen des Verantwortlichen gemäß den Anwendbaren Datenschutzgesetzen übereinstimmt.

2. UNTERVERARBEITER

   1. Der Verantwortliche gewährt dem Verarbeiter die allgemeine Genehmigung, Unterverarbeiter zu beauftragen, vorbehaltlich der Klausel 5.2 sowie der vom Verarbeiter derzeit in Anhang 5 aufgeführten Unterverarbeiter.

   2. Der Verarbeiter wird mit jedem Unterverarbeiter eine schriftliche Vereinbarung schließen, in der Datenschutzverpflichtungen festgelegt sind, die inhaltlich nicht weniger schützend für die abgedeckten Daten sind als die Verpflichtungen des Verarbeiters gemäß dieser DPA.

   3. Der Verarbeiter wird dem Verantwortlichen mindestens fünfzehn (15) Tage Vorankündigung für geplante Änderungen der Unterverarbeiter, die er zur Verarbeitung der abgedeckten Daten einsetzt, geben. Der Verantwortliche kann der Verwendung eines neuen Unterverarbeiters des Verarbeiters widersprechen (einschließlich, wenn er sein Widerspruchsrecht gemäß Klausel 9(a) der SCCs, falls anwendbar, ausübt), indem er dem Verarbeiter innerhalb von zehn (10) Tagen nach Erhalt der Mitteilung des Verarbeiters über eine solche geplante Änderung eine schriftliche Mitteilung über den Widerspruch zusendet (ein "Widerspruch"). Wenn der Verantwortliche nicht innerhalb der Widerspruchsfrist Widerspruch gegen die Beauftragung erhebt, wird die Zustimmung zur Beauftragung angenommen. Im Falle eines Widerspruchs des Verantwortlichen gegen die Beauftragung eines neuen Unterverarbeiters werden der Verantwortliche und der Verarbeiter in gutem Glauben zusammenarbeiten, um eine einvernehmliche Lösung für den Widerspruch zu finden. Wenn die Parteien innerhalb eines angemessenen Zeitrahmens keine einvernehmliche Lösung finden können, kann jede Partei als einzige und ausschließliche Abhilfe den Teil des Vertrages kündigen, der sich auf die von einer solchen Änderung betroffenen Dienstleistungen bezieht, indem sie der anderen Partei eine schriftliche Mitteilung übermittelt. Während eines solchen Widerspruchszeitraums kann der Verarbeiter den betroffenen Teil der Dienstleistungen aussetzen.

3. ANFRAGEN ZUR RECHTE DER BETROFFENEN PERSON

   1. Im Verhältnis zwischen den Parteien hat der Verantwortliche die ausschließliche Entscheidungsbefugnis und Verantwortung, auf die Rechte einzugehen, die von einer Person in Bezug auf die abgedeckten Daten gemäß den Anwendbaren Datenschutzgesetzen geltend gemacht werden (jeweils eine "Anfrage der betroffenen Person").

   2. Der Verarbeiter wird jede von ihm oder einem Unterverarbeiter erhaltene Anfrage der betroffenen Person umgehend ohne unangemessene Verzögerung an den Verantwortlichen weiterleiten und kann die betroffene Person anweisen, ihre Anfrage direkt an den Verantwortlichen zu richten.

   3. Der Verarbeiter wird dem Verantwortlichen angemessene Unterstützung nach Bedarf bieten, damit der Verantwortliche seiner Verpflichtung nach den Anwendbaren Datenschutzgesetzen nachkommen kann, um auf Anfragen der betroffenen Personen zu reagieren, einschließlich, falls anwendbar, der Verpflichtung des Verantwortlichen, auf Anfragen zu reagieren, um die in den Anwendbaren Datenschutzgesetzen festgelegten Rechte auszuüben.

4. SICHERHEIT UND AUDITS

   1. Der Verarbeiter wird angemessene technische und organisatorische Maßnahmen zum Datenschutz und zur Sicherheitsüberwachung implementieren und aufrechterhalten, um die Sicherheit abgedeckter Daten zu gewährleisten, einschließlich, aber nicht beschränkt auf, Schutz gegen unbefugte oder unrechtmäßige Verarbeitung und gegen unbeabsichtigten Verlust, Zerstörung oder Beschädigung derselben. Bei der Bewertung des angemessenen Sicherheitsniveaus werden insbesondere die Natur, der Umfang, der Kontext und der Zweck der Verarbeitung sowie die Risiken berücksichtigt, die durch die Verarbeitung entstehen, insbesondere durch unbeabsichtigte oder unrechtmäßige Zerstörung, Verlust, Änderung, unbefugte Offenlegung oder den Zugang zu abgedeckten Daten.

   2. Der Verarbeiter wird mindestens die in Anhang 2 dargelegten Maßnahmen umsetzen und aufrechterhalten.

   3. Der Verantwortliche hat das Recht, die Einhaltung dieser DPA durch den Verarbeiter zu prüfen. Die Parteien vereinbaren, dass alle solchen Prüfungen durchgeführt werden:

      1. nach angemessener schriftlicher Mitteilung an den Verarbeiter;

      2. nur einmal im Jahr; und

      3. nur während der regulären Geschäftszeiten des Verarbeiters.

   4. 
      

   5. Um eine Prüfung zu beantragen, muss der Verantwortliche dem Verarbeiter mindestens zwei Wochen vor dem geplanten Prüfungstermin einen detaillierten Prüfungsplan vorlegen. Der Verarbeiter wird den vorgeschlagenen Prüfungsplan überprüfen und kooperativ mit dem Verantwortlichen zusammenarbeiten, um einen endgültigen Prüfungsplan zu vereinbaren. Alle solchen Prüfungen müssen gemäß dem vereinbarten endgültigen Prüfungsplan und den Gesundheits- und Sicherheits- oder anderen relevanten Richtlinien des Verarbeiters durchgeführt werden.

   6. Der Verantwortliche wird den Verarbeiter umgehend über etwaige bei einer Prüfung festgestellte Nichteinhaltungen informieren.

   7. Der Verantwortliche trägt die Kosten für jede vom Verantwortlichen eingeleitete Prüfung, es sei denn, die Prüfung zeigt wesentliche Nichteinhaltungen der Anforderungen dieser DPA auf.

   8. Auf Anfrage wird der Verarbeiter dem Verantwortlichen Dokumente zur Verfügung stellen, die angemessen belegen, dass die technischen und organisatorischen Maßnahmen zum Datenschutz gemäß den Branchenstandards umgesetzt wurden. Der Verarbeiter kann nach eigenem Ermessen Datenschutzkonformitätsbescheinigungen von einem allgemein anerkannten Zertifikatsaussteller bereitstellen, die von einem Experten für Datensicherheit geprüft wurden, oder von einer öffentlich zertifizierten Prüfgesellschaft. Wenn der beantragte Prüfungsumfang in einer solchen Zertifizierung abgedeckt ist, die von einem qualifizierten externen Prüfer innerhalb von zwölf (12) Monaten nach der Anfrage des Verantwortlichen zur Prüfung ausgegeben wurde und der Verarbeiter bestätigt, dass keine bekannten wesentlichen Änderungen in den überprüften Kontrollen vorliegen, stimmt der Verantwortliche zu, diese Feststellungen anstelle einer Prüfung der durch den Bericht abgedeckten Kontrollen zu akzeptieren.

   9. Der Verarbeiter wird seine Unterverarbeiter regelmäßig überprüfen und auf Anfrage des Verantwortlichen deren Einhaltung der Anwendbaren Datenschutzgesetze und der vertraglichen Verpflichtungen der Unterverarbeiter bestätigen.

5. SICHERHEITSVORFÄLLE

Der Verarbeiter wird den Verantwortlichen schriftlich ohne unangemessene Verzögerung benachrichtigen, nachdem er von einem Sicherheitsvorfall Kenntnis erlangt hat, und wird in angemessenem Umfang bei der Erfüllung etwaiger Benachrichtigungspflichten des Verantwortlichen gemäß den Anwendbaren Datenschutzgesetzen mitwirken, wie z.B. bei Benachrichtigungen an Einzelpersonen oder Aufsichtsbehörden. Der Verarbeiter wird angemessene Schritte unternehmen, um etwaige Sicherheitsvorfälle zu begrenzen, zu untersuchen und zu mindern, und wird dem Verantwortlichen rechtzeitig Informationen über den Sicherheitsvorfall zukommen lassen, einschließlich, aber nicht beschränkt auf, die Art des Sicherheitsvorfalls, die ergriffenen Maßnahmen zur Minderung oder Eindämmung des Sicherheitsvorfalls und den Stand der Untersuchung. Die Benachrichtigung des Verarbeiters über oder die Reaktion auf einen Sicherheitsvorfall gemäß dieser Klausel 8 wird nicht als Anerkennung einer Schuld oder Haftung des Verarbeiters in Bezug auf den Sicherheitsvorfall gewertet.

Der Verarbeiter wird dem Verantwortlichen angemessene Unterstützung bei den Ermittlungen des Verantwortlichen zu dem möglichen Sicherheitsvorfall und jeglicher Benachrichtigungspflichten des Verantwortlichen gemäß den Anwendbaren Datenschutzgesetzen leisten, z.B. im Hinblick auf Einzelpersonen oder Aufsichtsbehörden.

LÖSCHUNG UND RÜCKGABE

Der Verarbeiter wird innerhalb von dreißig (30) Tagen nach Beendigung oder Ablauf des Vertrages (a) wenn dies innerhalb dieses Zeitraums vom Verantwortlichen angefordert wird, eine Kopie sämtlicher abgedeckter Daten zurückgeben oder eine Selbstbedienungsfunktion bereitstellen, die es dem Verantwortlichen ermöglicht, dies zu tun; und (b) alle anderen Kopien von abgedeckten Daten, die vom Verarbeiter oder von Unterverarbeitern verarbeitet wurden, löschen.

VERTRAGSDAUER

Diese DPA tritt gleichzeitig mit dem Vertrag in Kraft und bleibt, ungeachtet einer Beendigung des Vertrages, bis zur automatischen Ablaufdatum, wenn der Verarbeiter alle abgedeckten Daten wie in dieser DPA beschrieben löscht.

STANDARDVERTRAGSKLAUSEN

1. Die Parteien vereinbaren, dass die Bedingungen der Standardvertragsklauseln Modul Zwei (Verantwortlicher zu Verarbeiter) und Modul Drei (Verarbeiter zu Verarbeiter), wie in Annex 3 dieser DPA weiter spezifiziert, hiermit durch Verweis einbezogen werden und als von den Parteien ausgeführt gelten und auf alle Übertragungen von abgedeckten Daten, die in den Geltungsbereich der DSGVO fallen, vom Verantwortlichen (als Datenexporteur) zum Verarbeiter (als Datenimporteur) angewendet werden.

2. Soweit anwendbar, sind die länderspezifischen Ergänzungen zu den Standardvertragsklauseln, die in Annex 3 aufgeführt sind, ebenfalls hierin durch Verweis einbezogen und gelten als von den Parteien ausgeführt und gelten für alle Übertragungen von abgedeckten Daten, die in den Geltungsbereich der Anwendbaren Datenschutzgesetze in den aufgeführten Ländern fallen, vom Verantwortlichen (als Datenexporteur) zum Verarbeiter (als Datenimporteur).

3. Der Verarbeiter wird dem Verantwortlichen angemessene Unterstützung bieten, um die Einhaltung der Anforderungen an internationale Übertragungen abgedeckter Daten zu ermöglichen. Der Verarbeiter wird dem Verantwortlichen auf Anfrage Informationen bereitstellen, die für den Verantwortlichen erforderlich sind, um eine Transferauswirkungsbewertung ("TIA") gemäß den Anwendbaren Datenschutzgesetzen durchzuführen.

4. Der Verarbeiter verpflichtet sich ferner, die ergänzenden Maßnahmen zu implementieren, die in Annex 4 dieser DPA vereinbart sind, um die Einhaltung der Anforderungen an internationale Übertragungen abgedeckter Daten gemäß den Anwendbaren Datenschutzgesetzen zu ermöglichen. DEIDENTIFIZIERTE DATEN

Wenn der Verarbeiter deidentifizierte Daten von oder im Auftrag des Verantwortlichen erhält, verpflichtet sich der Verarbeiter:

1. angemessene Maßnahmen zu treffen, um sicherzustellen, dass die Informationen nicht mit einer betroffenen Person in Verbindung gebracht werden können.

2. öffentlich zu erklären, dass die deidentifizierten Daten ausschließlich in deidentifizierter Form verarbeitet werden und dass keine Versuche unternommen werden, die Informationen wieder zu identifizieren.

3. vertraglich zu verpflichten, dass alle Empfänger der deidentifizierten Daten die vorstehenden Anforderungen und die Anwendbaren Datenschutzgesetze einhalten.

1. ALLGEMEINES

   1. Die Parteien zertifizieren hiermit, dass sie die Anforderungen dieser DPA verstehen und ihnen nachkommen werden.

   2. Die Parteien stimmen zu, in gutem Glauben über Änderungen dieser DPA zu verhandeln, die aufgrund von Änderungen an den Anwendbaren Datenschutzgesetzen erforderlich sein können.

   3. Diese DPA und der Vertrag legen die gesamte Vereinbarung zwischen den Parteien in Bezug auf den Gegenstand hiervon fest.

   DETAILS DER VERARBEITUNG

   Liste der Parteien

Die Parteien sind im Präambel dieser DPA aufgeführt. Hinsichtlich aller Übertragungen von abgedeckten Daten, die in den Geltungsbereich der DSGVO fallen, sind weitere Informationen über den Datenexporteur und den Datenimporteur nachstehend aufgeführt.

Datenexporteur

Der Datenexporteur ist: jeder der Verantwortliche und/oder Verantwortliche Affiliates, die in den Ländern tätig sind, die den Europäischen Wirtschaftsraum, das VK und/oder die Schweiz bilden und/oder – soweit von den Parteien vereinbart – der Verantwortliche und/oder Verantwortliche Affiliates in jedem anderen Land, in dem die DSGVO Anwendung findet.

Die Kontaktdaten des Ansprechpartners des Datenexporteurs, der Name, die Position und die Kontaktdaten sowie (falls ernannt) der Name und die Kontaktdaten des Datenschutzbeauftragten sowie (falls relevant) die Kontaktdaten des Vertreters sind im Vertrag enthalten oder werden dem Verarbeiter auf Anfrage mitgeteilt.

Die für die Datenübertragung unter diesen Klauseln relevanten Aktivitäten werden durch den Vertrag definiert und die Datenexporteur entscheidet über den Umfang der Verarbeitung personenbezogener Daten im Zusammenhang mit den in Abschnitt B dieses Anhangs 1 weiter beschriebenen Dienstleistungen.

Datenimporteur

Der Datenimporteur ist: der Verarbeiter.

Die Kontaktdaten des Ansprechpartners des Datenimporteurs sind im Vertrag enthalten oder werden dem Verantwortlichen auf Anfrage mitgeteilt.

Die für die Datenübertragung unter diesen Klauseln relevanten Aktivitäten des Datenimporteurs sind folgende: Der Datenimporteur verarbeitet personenbezogene Daten, die vom Datenexporteur im Auftrag des Datenexporteurs bzgl. der Bereitstellung der Dienstleistungen an den Datenexporteur gemäß Abschnitt B dieses Anhangs 1 und im Vertrag bereitgestellt werden.

Beschreibung der Verarbeitung

Der Kunde hat die vollständige Kontrolle darüber, welche personenbezogenen Daten verarbeitet werden, indem er diese personenbezogenen Daten in die Cloud-Dienste hochlädt. Conduktor hat keine Sichtbarkeit auf die von dem Kunden bereitgestellten und hochgeladenen personenbezogenen Daten.

Kategorien betroffener Personen

Die Kategorien von betroffenen Personen, deren personenbezogene Daten verarbeitet werden: Mitarbeiter des Verantwortlichen und Verantwortlicher Affiliates sowie Kunden des Verantwortlichen und deren Mitarbeiter.

Kategorien personenbezogener Daten

Die verarbeiteten Kategorien personenbezogener Daten sind: Name, Telefonnummer, E-Mail-Adresse, Adressdaten, Name des Arbeitgebers.

Besondere Kategorien personenbezogener Daten (falls zutreffend)

Die verarbeiteten personenbezogenen Daten umfassen die folgenden besonderen Kategorien von Daten: Es werden keine besonderen Kategorien personenbezogener Daten verarbeitet.

Häufigkeit der Verarbeitung

Die Verarbeitung erfolgt kontinuierlich.

Gegenstand und Natur der Verarbeitung

Gegenstand der Verarbeitung ist: Hosting, Speicherung und Wartung der Daten, die der Kunde in die Cloud-Dienste eingegeben hat.

Speicherbeschränkung

Der Zeitraum, währenddessen die personenbezogenen Daten verarbeitet werden, oder, wenn dies nicht möglich ist, die Kriterien, die zur Bestimmung dieses Zeitraums verwendet werden: Wenn personenbezogene Daten nicht auf Anfrage des Verantwortlichen während der Laufzeit des Vertrages gelöscht werden, entspricht die Dauer der Verarbeitung der Laufzeit dieser DPA, wie in Klausel 9 der DPA definiert.

Unterverarbeiter (falls zutreffend)

Für die Verarbeitung durch Unterverarbeiter sind Gegenstand, Natur und Dauer der Verarbeitung anzugeben: Hosting, Speicherung und Wartung der Daten, die der Kunde in die Cloud-Dienste eingegeben hat.

Kompetente Aufsichtsbehörde

Die zuständige(n) Aufsichtsbehörde(n) gemäß Klausel 13 der SCCs identifizieren.

Wo der Datenexporteur in einem EU-Mitgliedstaat ansässig ist: Die Aufsichtsbehörde des Landes, in dem der Datenexporteur ansässig ist, ist die zuständige Behörde.

Wo der Datenexporteur nicht in einem EU-Mitgliedstaat ansässig ist, aber im Geltungsbereich der Anwendung der DSGVO gemäß Artikel 3(2) fällt und einen Vertreter gemäß Artikel 27(1) der DSGVO ernannt hat: Die zuständige Aufsichtsbehörde ist die in dem Mitgliedstaat, in dem der Vertreter ansässig ist.

Wo der Datenexporteur nicht in einem EU-Mitgliedstaat ansässig ist, aber im Geltungsbereich der Anwendung der DSGVO gemäß Artikel 3(2) fällt, ohne jedoch einen Vertreter gemäß Artikel 27(2) der DSGVO zu ernennen: Die zuständige Aufsichtsbehörde ist die Aufsichtsbehörde von Irland.

TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN

Der Verarbeiter hat die folgenden technischen und organisatorischen Maßnahmen (einschließlich aller relevanten Zertifizierungen) implementiert, um ein angemessenes Sicherheitsniveau sicherzustellen, unter Berücksichtigung der Natur, des Umfangs, des Kontexts und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen:

1. Organisatorisches Management und ein dediziertes Team, das für die Entwicklung, Implementierung und Wartung des Informationssicherheitsprogramms des Verarbeiters verantwortlich ist.

2. Audit- und Risikobewertungsverfahren zum Zwecke der regelmäßigen Überprüfung und Bewertung der Risiken für das Unternehmen des Verarbeiters, zur Überwachung und Aufrechterhaltung der Einhaltung der Richtlinien und Verfahren des Verarbeiters sowie zur Berichterstattung über den Zustand seiner Informationssicherheit und Einhaltung an das höhere Management.

3. Nutzung handelsüblicher und branchenüblicher Verschlüsselungstechnologien für abgedeckte Daten, die:

   1. vom Verarbeiter über öffentliche Netzwerke (d.h. das Internet) übertragen werden oder wenn sie drahtlos übertragen werden; oder

   2. im Ruhezustand sind.

4. Daten-sicherheitskontrollen, die mindestens, aber nicht beschränkt auf, die logische Trennung von Daten, logische Zugriffskontrollen zur Verwaltung des elektronischen Zugriffs auf Daten und Systemfunktionen basierend auf Autoritätsstufen und Arbeitsfunktionen (z.B. Zugriff auf der Grundlage des Bedarfs und des Grundsatzes der geringsten Berechtigung gewähren, Verwendung eindeutiger IDs und Passwörter für alle Benutzer, regelmäßige Überprüfung und Aufhebung/Änderung des Zugriffs umgehend, wenn Anstellungen enden oder sich die Arbeitsfunktionen ändern).

5. Passwortkontrollen zur Verwaltung und Kontrolle der Passwortstärke, das Ablaufen und die Nutzung von Passwörtern, einschließlich der Verhinderung der Weitergabe von Passwörtern, und die Anforderung, dass die Passwörter des Verarbeiters, die seinen Mitarbeitern zugewiesen wurden: (i) mindestens acht (8) Zeichen lang sind, (ii) nicht im lesbaren Format auf den Computersystemen des Verarbeiters gespeichert werden; (iii) über eine definierte Komplexität verfügen; (iv) über einen Verlauf verfügen, um eine Wiederverwendung kürzlich verwendeter Passwörter zu verhindern; und (v) neu ausgegebene Passwörter nach der ersten Verwendung geändert werden müssen.

6. Systemprotokollierung oder Ereignisprotokollierung und damit verbundene Überwachungsverfahren zur proaktiven Aufzeichnung des Benutzerzugriffs und der Systemaktivitäten zur routinemäßigen Überprüfung.

7. Physische und umwelttechnische Sicherheit von Rechenzentren, Serverräumen und anderen Bereichen mit personenbezogenen Daten, die darauf abzielen: (i) Informationsgüter vor unbefugtem physischen Zugriff zu schützen, (ii) den Zugang von Personen zu den Einrichtungen des Verarbeiters zu verwalten, zu überwachen und zu protokollieren und (iii) Umweltrisiken wie Hitze, Feuer und Wasserschäden abzuwehren.

8. Operative Verfahren und Kontrollen zur Bereitstellung der Konfiguration, Überwachung und Wartung von Technologie- und Informationssystemen, die den vorgeschriebenen internen und branchenüblichen Standards entsprechen, einschließlich der sicheren Entsorgung von Systemen und Medien, um alle Informationen oder Daten, die darin enthalten sind, unlesbar oder nicht wiederherstellbar zu machen, bevor sie endgültig entsorgt oder freigegeben werden.

9. Änderungsmanagementverfahren und Nachverfolgungsmechanismen, die Tests, Genehmigungen und die Überwachung aller Änderungen an den Technologie- und Informationsgütern des Verarbeiters umfassen.

10. Incident- / Problemmanagementverfahren, die es dem Verarbeiter ermöglichen, Ereignisse im Zusammenhang mit der Technologie und den Informationsgütern des Verarbeiters zu untersuchen, darauf zu reagieren, zu mindern und darüber zu benachrichtigen.

11. Netzwerksicherheitskontrollen, die die Verwendung von Firewallsystemen, Eindringungserkennungssystemen und anderen Traffics- und Ereigniskorrelation Verfahren umfassen, die darauf abzielen, Systeme vor Eindringen zu schützen und den Umfang eines erfolgreichen Angriffs zu begrenzen.

12. Sicherheitsanfälligkeit, Patchmanagement und Bedrohungschutztechnologien sowie geplante Überwachungsverfahren, die darauf abzielen, identifizierte Sicherheitsbedrohungen, Viren und andere bösartige Codes zu identifizieren, zu bewerten, zu mindern und zu schützen.

13. Geschäftsresilienz/ Notfall- und Wiederherstellungsverfahren, die darauf abzielen, einen Dienst aufrechtzuerhalten und/oder sich von absehbaren Notfällen oder Katastrophen zu erholen.

18

STANDARDVERTRAGSKLAUSEN

1. EU SCCS

Die Standardvertragsklauseln gelten für alle Verarbeitungen abgedeckter Daten, die der DSGVO unterliegen. Für die Zwecke der Standardvertragsklauseln:

1. Modul Zwei gilt im Fall der Verarbeitung gemäß Klausel 3(a)(i) der DPA und Modul Drei gilt im Fall der Verarbeitung gemäß Klausel 3(a)(ii) der DPA.

2. Klausel 7 der Standardvertragsklauseln (Docking Clause) gilt nicht.

3. Klausel 9(a) Option 2 (Allgemeine schriftliche Genehmigung) ist ausgewählt, und der Zeitraum, der festgelegt werden muss, wird in Klausel 5.3 der DPA bestimmt.

4. Die Option in Klausel 11(a) der Standardvertragsklauseln (Unabhängige Streitbeilegungsstelle) gilt nicht.

5. In Bezug auf Klausel 17 der Standardvertragsklauseln (Geltendes Recht) vereinbaren die Parteien, dass die Option 1 gilt und das geltende Recht das Recht der Republik Irland sein wird.

6. In Klausel 18 der Standardvertragsklauseln (Wahl des Gerichtsstands und der Gerichtsbarkeit) unterwerfen sich die Parteien der Gerichtsbarkeit der Gerichte der Republik Irland.

7. Für die Zwecke von Anlage I der Standardvertragsklauseln enthält Anhang 1 der DPA die Spezifikationen zu den Parteien, der Beschreibung der Übertragung und der zuständigen Aufsichtsbehörde.

8. Für die Zwecke von Anlage II der Standardvertragsklauseln enthält Anhang 2 der DPA die technischen und organisatorischen Maßnahmen.

9. Die Spezifikationen für Anlage III der Standardvertragsklauseln werden durch Klausel 5.1 der DPA bestimmt. Der Name, die Position und die Kontaktdaten des Ansprechpartners des Unterverarbeiters werden dem Verarbeiter auf Anfrage bereitgestellt. VK-ANHANG

Dieser VK-Anhang gilt für alle Verarbeitungen abgedeckter Daten, die der UK-DSGVO oder sowohl der UK-DSGVO als auch der DSGVO unterliegen.

1. Wie in diesem VK-Anhang verwendet:

"Genehmigter Anhang" bedeutet den von der UK Information Commissioner unter S119A(1) Data Protection Act 2018 herausgegebenen Vorlagenanhang, Version B.1.0, der am 2. Februar 2022 dem UK-Parlament vorgelegt wurde, wie er nach Abschnitt 18 der verpflichtenden Klauseln überarbeitet werden kann.

"Verpflichtende Klauseln" bedeutet "Teil 2: Verpflichtende Klauseln" des Genehmigten Anhangs.

1. Hinsichtlich aller Übertragungen abgedeckter Daten, die in den Geltungsbereich der UK-DSGVO fallen, vom Verantwortlichen (als Datenexporteur) zum Verarbeiter (als Datenimporteur):

   1. bildet der Genehmigte Anhang, wie in diesem Anhang 5 weiter spezifiziert, Teil dieser DPA, und die Standardvertragsklauseln werden im Lichte der Bestimmungen des Genehmigten Anhangs ausgelegt und interpretiert, soweit dies gemäß Klausel 12 lit. 1 der Verpflichtenden Klauseln erforderlich ist;

   2. Abweichend von Tabelle 1 des Genehmigten Anhangs und gemäß Klausel 17 der Verpflichtenden Klauseln sind die Parteien in Anhang 1A dieser DPA weiter spezifiziert.

   3. Die ausgewählten Module und Klauseln, die gemäß Tabelle 2 des Genehmigten Anhangs zu bestimmen sind, sind in diesem Anhang weiter spezifiziert und durch die Verpflichtenden Klauseln geändert.

   4. Die Anlagen 1 A und B von Tabelle 3 des Genehmigten Anhangs sind durch Anhang 1 dieser DPA spezifiziert, Anhang II des Genehmigten Anhangs wird durch Anhang 2 dieser DPA weiter spezifiziert, und Anhang III des Genehmigten Anhangs wird durch Anhang 1B.10 dieser DPA weiter spezifiziert.

   5. Der Verarbeiter (als Datenimporteur) kann diese DPA beenden, soweit der Genehmigte Anhang Anwendung findet, gemäß Klausel ‎19 der Verpflichtenden Klauseln;

   6. Klausel 16 der Verpflichtenden Klauseln gilt nicht. SCHWEIZER ANHANG

Dieser Schweizer Anhang gilt für alle Verarbeitungen abgedeckter Daten, die den Schweizer Datenschutzgesetzen (wie nachfolgend definiert) oder sowohl den Schweizer Datenschutzgesetzen als auch der DSGVO unterliegen.

Auslegung dieses Anhangs

1. Sofern dieser Anhang Begriffe verwendet, die in den Standardvertragsklauseln definiert sind, haben diese Begriffe die gleiche Bedeutung wie in den Standardvertragsklauseln. Darüber hinaus haben die folgenden Begriffe die folgenden Bedeutungen:

Dieser Anhang Dieser Anhang zu den Klauseln Klauseln Die Standardvertragsklauseln wie in diesem Anhang weiter spezifiziert Schweizer Datenschutzgesetze Das Schweizer Bundesgesetz über den Datenschutz vom 19. Juni 1992 und die Schweizer Verordnung zum Schweizer Bundesgesetz über den Datenschutz vom 14. Juni 1993 sowie jede neue oder überarbeitete Version dieser Gesetze, die von Zeit zu Zeit in Kraft tritt.

1. Dieser Anhang wird unter Berücksichtigung der Bestimmungen der Schweizer Datenschutzgesetze gelesen und ausgelegt, und zwar so, dass er die Absicht erfüllt, die erforderlichen geeigneten Garantien gemäß Artikel 46 der DSGVO und/oder Artikel 6(2)(a) der Schweizer Datenschutzgesetze, je nach Bedarf, bereitzustellen.

2. Dieser Anhang wird nicht so ausgelegt, dass er in Konflikt mit den Rechten und Verpflichtungen steht, die in den Schweizer Datenschutzgesetzen vorgesehen sind.

3. Jegliche Verweise auf Gesetzgebung (oder spezifische Bestimmungen der Gesetzgebung) beziehen sich auf diese Gesetzgebung (oder diese spezifische Bestimmung), wie sie sich über die Zeit ändern kann. Dies schließt ein, wo diese Gesetzgebung (oder diese spezifische Bestimmung) konsolidiert, neu erlassen und/oder ersetzt wurde, nachdem dieser Anhang abgeschlossen wurde.

1. Hierarchie

Im Falle eines Konflikts oder einer Unstimmigkeit zwischen diesem Anhang und den Bestimmungen der Klauseln oder anderen verwandten Vereinbarungen zwischen den Parteien, die zum Zeitpunkt des Abschlusses dieses Anhangs bestehen oder später abgeschlossen werden, haben die Bestimmungen, die den personenbezogenen Daten den besten Schutz bieten, Vorrang.

Inkorporation der Klauseln

1. In Bezug auf jede Verarbeitung personenbezogener Daten, die den Schweizer Datenschutzgesetzen oder sowohl den Schweizer Datenschutzgesetzen als auch der DSGVO unterliegt, ändert dieser Anhang die DPA und die Standardvertragsklauseln insoweit, als sie wie folgt funktionieren:

   1. Für Übertragungen, die vom Datenexporteur an den Datenimporteur vorgenommen werden, soweit die Schweizer Datenschutzgesetze oder die Schweizer Datenschutzgesetze und die DSGVO auf die Verarbeitung des Datenexporteurs bei der Durchführung dieser Übertragung Anwendung finden; und

   2. um geeignete Schutzmaßnahmen für die Übertragungen gemäß Artikel 46 der DSGVO und/oder Artikel 6(2)(a) der Schweizer Datenschutzgesetze bereitzustellen, je nach Bedarf.

2. Soweit eine Verarbeitung personenbezogener Daten ausschließlich den Schweizer Datenschutzgesetzen unterliegt, beinhalten die Änderungen an der DPA einschließlich der SCCs, wie sie in diesem Anhang weiter spezifiziert sind und wie in Klausel 3.1 dieses Schweizer Anhangs erforderlich, (ohne Einschränkung):

   1. Verweise auf die "Klauseln" oder die "SCCs" bedeuten diesen Schweizer Anhang, da er die SCCs ändert.

   2. Klausel 6 Beschreibung der Übertragung(en) wird ersetzt durch:

"Die Einzelheiten der Übertragung(en) und insbesondere die Kategorien personenbezogener Daten, die übertragen werden, und die Gründe, aus denen sie übertragen werden, sind in Anhang 1 dieser DPA angegeben, wenn die Schweizer Datenschutzgesetze auf die Verarbeitung des Datenexporteurs bei der Durchführung dieser Übertragung Anwendung finden."

1. Verweise auf "Verordnung (EU) 2016/679" oder "diese Verordnung" oder "DSGVO" werden durch "Schweizer Datenschutzgesetze" ersetzt und Verweise auf spezifische Artikel der "Verordnung (EU) 2016/679" oder "DSGVO" werden durch den entsprechenden Artikel oder Abschnitt der Schweizer Datenschutzgesetze ersetzt, soweit anwendbar.

2. Verweise auf die "Verordnung (EU) 2018/1725" werden gestrichen.

3. Verweise auf die "Europäische Union", "Union", "EU" und "EU-Mitgliedstaat" werden alle durch "Schweiz" ersetzt.

4. Klausel 13(a) und Teil C von Anlage I werden nicht verwendet; die "zuständige Aufsichtsbehörde" ist der Bundesbeauftragte für Datenschutz und Information ("FDPIC"), insoweit die Übertragungen durch die Schweizer Datenschutzgesetze geregelt sind;

5. Klausel 17 wird ersetzt, um zu sagen

"Diese Klauseln unterliegen dem Recht der Schweiz, insoweit die Übertragungen durch die Schweizer Datenschutzgesetze geregelt sind."

1. Klausel 18 wird ersetzt, um zu sagen:

"Jeder Streit, der sich aus diesen Klauseln ergibt und die Schweizer Datenschutzgesetze betrifft, wird vor den Gerichten der Schweiz entschieden. Eine betroffene Person kann auch rechtliche Schritte gegen den Datenexporteur und/oder den Datenimporteur vor den Gerichten der Schweiz einleiten, in denen sie ihren Wohnsitz hat. Die Parteien unterwerfen sich der Gerichtsbarkeit solcher Gerichte."

Bis zum Inkrafttreten der überarbeiteten Schweizer Datenschutzgesetze schützen die Klauseln auch personenbezogene Daten juristischer Personen, und juristische Personen erhalten den gleichen Schutz unter den Klauseln wie natürliche Personen.

1. Soweit eine Verarbeitung personenbezogener Daten sowohl den Schweizer Datenschutzgesetzen als auch der DSGVO unterliegt, gelten die DPA einschließlich der Klauseln, wie sie in diesem Anhang weiter spezifiziert sind (i) wie sie sind und (ii) zusätzlich, insoweit eine Übertragung den Schweizer Datenschutzgesetzen unterliegt, wie sie durch die Klauseln 3.1 und 3.3 dieses Schweizer Anhangs geändert wird, mit der einzigen Ausnahme, dass Klausel 17 der SCCs nicht ersetzt wird, wie in Klausel 3.3(b)(vii) dieses Schweizer Anhanges angegeben.

2. Der Verantwortliche sichert zu, dass er und/oder die Verantwortlichen Affiliates alle erforderlichen Mitteilungen an den FDPIC gemacht haben, die nach den Schweizer Datenschutzgesetzen erforderlich sind.

   Zusätzliche ergänzende Maßnahmen

Der Verarbeiter verpflichtet sich ferner, ergänzende Maßnahmen gemäß den von den EU-Aufsichtsbehörden bereitgestellten Richtlinien zu implementieren, um den Schutz der abgedeckten Daten in Bezug auf die Verarbeitung in einem Drittland zu verstärken, wie in diesem Anhang 4 beschrieben.

Zusätzliche technische Maßnahmen Verschlüsselung

FORMCHECKBOX Die personenbezogenen Daten werden zwischen den Parteien und vom Verarbeiter zwischen Rechenzentren sowie zu einem Unterverarbeiter und zurück unter Verwendung starker Verschlüsselung übertragen.

Hierbei wird sichergestellt, dass die verwendeten Verschlüsselungsprotokolle auf dem neuesten Stand sind und einen effektiven Schutz gegen aktive und passive Angriffe mit Ressourcen bieten, von denen bekannt ist, dass sie den öffentlichen Behörden in diesem Drittland zur Verfügung stehen, die am Kommunikationsprozess beteiligt sind, sich auf eine vertrauenswürdige Zertifizierungsinstanz oder Infrastrukturen einigen, spezifische Schutzmaßnahmen und moderne Maßnahmen verwenden, um gegen aktive und passive Angriffe auf die sendenden und empfangenden Systeme, die Transportverschlüsselung bieten, einschließlich Tests auf Softwareanfälligkeiten und mögliche Hintertüren, falls die Transportverschlüsselung nicht alleine angemessene Sicherheit bietet aufgrund von Erfahrungen mit Schwachstellen der Infrastruktur oder der verwendeten Software, personenbezogene Daten auch End-to-End auf der Anwendungsschicht unter Verwendung modernster Verschlüsselungsmethoden verschlüsselt werden, der Verschlüsselungsalgorithmus und seine Parametrierung (z.B. Schlüssellänge, Betriebsmodus, falls zutreffend) den neuesten Standards entspricht und als robust gegenüber Kryptanalyse gilt, die durch die öffentlichen Behörden während des Transits zu diesem Drittland vorgenommen werden, wobei die verfügbaren Ressourcen und technischen Fähigkeiten (z.B. Rechnerleistung für Brute-Force-Angriffe) berücksichtigt werden, die Stärke der Verschlüsselung die spezifische Zeitspanne berücksichtigt, in der die Vertraulichkeit der verschlüsselten personenbezogenen Daten gewahrt bleiben muss, der Verschlüsselungsalgorithmus korrekt implementiert ist und von ordnungsgemäß gewarteter Software ohne bekannte Schwachstellen, die Übereinstimmung mit der Spezifikation des gewählten Algorithmus verifiziert wurde, z.B. durch Zertifizierung, die Schlüssel zuverlässig verwaltet werden (erzeugt, verwaltet, gespeichert, wenn relevant, mit der Identität des beabsichtigten Empfängers verknüpft und widerrufen), vom Verantwortlichen oder von einer dem Verantwortlichen vertrauenswürdigen Einheit unter einem Rechtssystem, das ein im Wesentlichen gleichwertiges Schutzniveau bietet.

In Übereinstimmung mit den Anforderungen, die im vorhergehenden Absatz dargelegt sind, stimmen die Parteien zu, eine starke End-to-End-Inhaltsverschlüsselung (zwischen den Parteien und vom Verarbeiter zwischen Rechenzentren sowie zu einem Unterverarbeiter und zurück) umzusetzen.

Die personenbezogenen Daten im Ruhezustand werden vom Verarbeiter unter Verwendung starker Verschlüsselung gespeichert.

Der Verschlüsselungsalgorithmus und seine Parametrierung (z.B. Schlüssellänge, Betriebsmodus, falls zutreffend) entsprechen dem Stand der Technik und können als robust gegenüber Kryptanalyse angesehen werden, die durch die öffentlichen Behörden im Empfängerland durchgeführt wurde, wobei die Ressourcen und technischen Fähigkeiten (z.B. Rechnerleistung für Brute-Force-Angriffe) unter Berücksichtigung der zur Verfügung stehenden Kapazitäten betrachtet werden. Die Stärke der Verschlüsselung und der Schlüssellänge berücksichtigen die spezifische Zeitspanne, in der die Vertraulichkeit der verschlüsselten personenbezogenen Daten gewahrt bleiben muss. Der Verschlüsselungsalgorithmus wird korrekt implementiert und von ordnungsgemäß gewarteter Software ohne bekannte Schwachstellen, die Übereinstimmung mit der Spezifikation des gewählten Algorithmus verifiziert wurde, z.B. durch Zertifizierung. Die Schlüssel werden zuverlässig verwaltet (generiert, verwaltet, gespeichert, wenn relevant, mit der Identität eines beabsichtigten Empfängers verknüpft und widerrufen).

Zusätzliche organisatorische Maßnahmen

1. Interne Richtlinien zur Regelung von Übertragungen insbesondere bei Unternehmensgruppen.

Einführung angemessener interner Richtlinien mit klarer Zuordnung von Verantwortlichkeiten für Datenübertragungen, Kommunikationswege und Standardarbeitsverfahren für Fälle formeller oder informeller Anfragen von staatlichen Stellen, um auf die Daten zuzugreifen.

Insbesondere bei Übertragungen innerhalb von Unternehmensgruppen können diese Richtlinien unter anderem die Ernennung eines spezifischen Teams von IT-, Datenschutz- und Datenschutzrechtsexperten umfassen, um mit Anfragen umzugehen, die personenbezogene Daten betreffen, die aus dem EWR übertragen wurden; die Benachrichtigung des höheren Rechts- und Unternehmensmanagements und des Verantwortlichen nach Erhalt solcher Anfragen; die Verfahrensschritte zur Anfechtung unverhältnismäßiger oder unrechtmäßiger Anfragen sowie die Bereitstellung transparenter Informationen für betroffene Personen.

Entwicklung spezifischer Schulungsverfahren für das Personal, das für die Verwaltung von Zugangsanforderungen zu personenbezogenen Daten von öffentlichen Behörden verantwortlich ist, die regelmäßig aktualisiert werden sollten, um neuen gesetzlichen und gerichtlichen Entwicklungen im Drittland und im EWR Rechnung zu tragen.

Die Schulungsverfahren sollten die Anforderungen des EU-Rechts hinsichtlich des Zugangs öffentlicher Behörden zu personenbezogenen Daten insbesondere auf der Grundlage von Artikel 52(1) der Charta der Grundrechte beinhalten. Das Bewusstsein des Personals sollte insbesondere anhand praktischer Beispiele von Datenzugriffsanforderungen öffentlicher Behörden und durch die Anwendung des Standards, der sich aus Artikel 52(1) der Charta der Grundrechte ergibt, auf solche praktischen Beispiele gefördert werden. Solche Schulungen sollten die besondere Situation des Verarbeiters, z.B. die Gesetzgebung und Vorschriften des Drittlandes, dem der Verarbeiter unterliegt, berücksichtigen und sollten, wo möglich, in Zusammenarbeit mit dem Verantwortlichen entwickelt werden.

Transparenz und Verantwortung

Regelmäßige Veröffentlichung von Transparenzberichten oder Zusammenfassungen zu Anfragen von Regierungsstellen für den Datenzugriff und der Art der bereitgestellten Antworten, sofern die Veröffentlichung nach örtlichem Recht zulässig ist.

3.3 Organisatorische Methoden und Maßnahmen zur Datenminimierung

Bereits bestehende organisatorische Anforderungen im Rahmen des Grundsatzes der Verantwortlichkeit, wie die Einführung strenger und detaillierter Datenzugriffs- und Vertraulichkeitsrichtlinien sowie bewährte Verfahren, die auf strikten Bedarfskriterien basieren, überwacht durch regelmäßige Prüfungen und durch Disziplinarmaßnahmen durchgesetzt werden. Datenminimierung sollte in diesem Zusammenhang berücksichtigt werden, um die Offenlegung personenbezogener Daten unbefugtem Zugriff zu begrenzen. Beispielsweise könnte es in einigen Fällen nicht erforderlich sein, bestimmte Daten zu übertragen (z.B. bei Fernzugriff auf EWR-Daten, wie etwa in Supportfällen, wenn nur eingeschränkter Zugriff anstelle des vollen Zugriffs gewährt wird; oder wenn die Bereitstellung eines Dienstes nur die Übertragung eines begrenzten Satzes von Daten erfordert und nicht einer gesamten Datenbank).

Entwicklung und Implementierung bewährter Verfahren auf Seiten beider Parteien, um die jeweiligen Datenschutzbeauftragten, falls vorhanden, zeitgerecht und angemessen einzubeziehen und den Zugang zu Informationen zu ermöglichen sowie deren Rechtsdienste und innerbetriebliche Prüfungen bei internationalen Datenübertragungen zu unterstützen.

Andere

Einführung und regelmäßige Überprüfung durch den Verarbeiter interner Richtlinien zur Bewertung der Angemessenheit der implementierten ergänzenden Maßnahmen sowie zur Identifizierung und Umsetzung zusätzlicher oder alternativer Lösungen, wenn erforderlich, um ein im Wesentlichen gleichwertiges Schutzniveau zu gewährleisten, das das innerhalb des EWR gewährte zu den übertragenen personenbezogenen Daten aufrechterhält.

Zusätzliche vertragliche Maßnahmen Transparenzpflichten

Der Verarbeiter erklärt, dass (1) er absichtlich keine Hintertüren oder ähnliche Programmierungen geschaffen hat, die verwendet werden könnten, um auf das System und/oder personenbezogene Daten zuzugreifen, (2) er absichtlich keine Geschäftsprozesse in einer Weise geschaffen oder geändert hat, die den Zugriff auf personenbezogene Daten oder Systeme erleichtern würde, und (3) dass das nationale Recht oder die Regierungsrichtlinie vom Verarbeiter nicht verlangt, Hintertüren zu erstellen oder aufrechtzuerhalten oder den Zugriff auf personenbezogene Daten oder Systeme zu erleichtern oder dass der Verarbeiter im Besitz sein soll oder den Verschlüsselungsschlüssel herauszugeben.

Der Verarbeiter wird die Gültigkeit der für den TIA-Fragebogen bereitgestellten Informationen regelmäßig überprüfen und den Verantwortlichen unverzüglich über Änderungen informieren. Klausel 14(e) SCC bleibt unberührt.

Verpflichtungen zur Ergreifung spezifischer Maßnahmen

Im Falle einer Anordnung zur Offenlegung oder Gewährung des Zugangs zu den personenbezogenen Daten verpflichtet sich der Verarbeiter, die anfordernde öffentliche Behörde über die Unvereinbarkeit der Anordnung mit den in Artikel 46 der DSGVO enthaltenen Schutzmaßnahmen und die daraus resultierenden Konflikte für den Verarbeiter zu informieren.

Befähigung der betroffenen Personen zur Ausübung ihrer Rechte

Die Parteien verpflichten sich, die betroffene Person in der Ausübung ihrer Rechte im Rechtssystem des Drittlands angemessen zu unterstützen, durch ad-hoc Rechtsbehelfe und rechtliche Beratung.

Die Parteien verpflichten sich, die betroffene Person angemessen zu unterstützen, um Informationen und eine effektive Abhilfe in der EU zu erhalten (, durch Einreichung einer Beschwerde bei einer zuständigen Aufsichtsbehörde und/oder Gerichtsbarkeit in der EU).

Der Verarbeiter verpflichtet sich, die betroffene Person fair für alle materiellen und immateriellen Schäden zu entschädigen, die durch die Offenlegung ihrer personenbezogenen Daten, die unter dem gewählten Übertragungswerkzeug übertragen wurden, gegen die hierin enthaltenen Verpflichtungen entstehen.