GDPR-Zusatz zur Datenverarbeitung
Beonic Datenverarbeitung Addendum
Zuletzt aktualisiert: 27. Dezember 2022
Dieser Datenverarbeitungszusatz ("DPA") und seine Anlagen werden von Beonic ("Datenverarbeiter") und dem Kunden ("Datenverantwortlicher") abgeschlossen und ergänzen den Kundenvertrag (wie unten definiert), wenn die Datenschutzgesetze auf Ihre Nutzung der Beonic-Dienste zur Verarbeitung personenbezogener Daten Anwendung finden.
Diese DPA, einschließlich ihrer Anlagen, ist Bestandteil des/der Kundenvertrags/Kundenverträge, unter dem/denen sich Beonic bereit erklärt hat, Ihnen Dienstleistungen zu erbringen, was in Ihrem Kundenvertrag angegeben sein kann. Im Falle eines Konflikts oder einer Unstimmigkeit mit den Bedingungen Ihres Kundenvertrags hat diese DPA Vorrang vor den Bedingungen des Kundenvertrags, soweit ein solcher Konflikt oder eine solche Unstimmigkeit auftreten kann. Die Laufzeit dieser DPA folgt der Laufzeit des Kundenvertrags.
Diese DPA ist eine Vereinbarung zwischen Ihnen und der von Ihnen vertretenen juristischen Person ("Kunde", "Sie" oder "Ihr") und Beonic ("wir" oder "wir") oder einem Wiederverkäufer der Dienste (wie zutreffend) und spiegelt die Vereinbarung der Parteien in Bezug auf die Bedingungen für die Verarbeitung personenbezogener Daten im Rahmen der Kundenvereinbarung wider. In dieser DPA ist ein Verweis auf die Kundenvereinbarung ein Verweis auf eine der folgenden Vereinbarungen:
- Beonic Master Service Agreement (MSA);
- Beonic-Dienstleistungsvertrag;
- Beonic Wiederverkäufer-Vertrag;
- Beonic Kundenlizenzbedingungen - www.beonic.com/customer-terms; oder
- Jede andere Vereinbarung zwischen dem Kunden und Beonic, die die Nutzung der Beonic-Dienste durch den Kunden regelt,
jeweils eine "Kundenvereinbarung" und in dieser DPA allgemein als "Vereinbarung" bezeichnet.
DIESE DPA UMFASST:
- Liste der Unterauftragsverarbeiter, beigefügt als Anlage 1.
- Standardvertragsklauseln, beigefügt als Anlage 2.
- Anhang I des Anhangs zu den Standardvertragsklauseln, der Einzelheiten zu den vom Datenexporteur an den Datenimporteur übermittelten personenbezogenen Daten enthält.
- Anhang II des Anhangs zu den Standardvertragsklauseln, der eine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen enthält, die der Datenimporteur, auf den verwiesen wird, durchführt.
- Der Nachtrag für das Vereinigte Königreich, der als Anlage 3 beigefügt ist.
- Definitionen
Begriffe, die in dieser DPA nicht anders definiert sind, haben die Bedeutung, die in der Kundenvereinbarung festgelegt ist. Die Laufzeit dieser DPA folgt der Laufzeit Ihres Kundenvertrags.
"CCPA" bezeichnet das kalifornische Gesetz zum Schutz der Privatsphäre von Verbrauchern (California Consumer Privacy Act), California Civil Code sections 1798.100 et seq, und seine Durchführungsbestimmungen.
"Für die Verarbeitung Verantwortlicher" ist die natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet, und gilt als "Unternehmen" gemäß der Definition im CCPA. In dieser DPA ist der Kunde (wie in der Vereinbarung definiert) der für die Verarbeitung Verantwortliche.
"Datenschutzrecht" bezeichnet alle anwendbaren Rechtsvorschriften in Bezug auf den Datenschutz und den Schutz der Privatsphäre, einschließlich, aber nicht beschränkt auf die EU-DSGVO, zusammen mit allen nationalen Umsetzungsgesetzen in jedem Mitgliedstaat der Europäischen Union oder, soweit anwendbar, in jedem anderen Land, in der jeweils geänderten, aufgehobenen, konsolidierten oder ersetzten Fassung; die britische GDPR; POPIA; LGPD; und CCPA.
"Betroffene Person" bezeichnet die natürliche, lebende Person, auf die sich die personenbezogenen Daten beziehen, und gilt als "Verbraucher" gemäß der Definition im CCPA.
"Dokumentation" ist die Aufzeichnung der Anweisungen, einschließlich aller Spezifikationen, die vom Kunden oder in seinem Namen für die vertragsgegenständlichen Dienstleistungen erteilt wurden.
"Endnutzer" sind Besucher der Veranstaltungsorte, deren Mobilgeräte von WiFi erkannt und deren Gerätedaten von Beonic protokolliert und überwacht werden, sowie Personen, die sich für die Nutzung von Gast-WiFi-Diensten registrieren, die der Kunde in seinen Räumlichkeiten, an seinen Veranstaltungsorten und an seinen Standorten bereitstellt.
"EU-DSGVO" bezeichnet die Allgemeine Datenschutzverordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.
"Anweisung" ist die schriftliche, dokumentierte Anweisung des für die Verarbeitung Verantwortlichen an den Auftragsverarbeiter, eine bestimmte Maßnahme in Bezug auf personenbezogene Daten durchzuführen (einschließlich, aber nicht beschränkt auf Depersonalisierung, Sperrung, Löschung, Bereitstellung).
"LGPD" bezeichnet das brasilianische Gesetz zum allgemeinen Schutz personenbezogener Daten (in der Fassung des Gesetzes Nr. 13.853 vom 8. Juli 2019).
"Personenbezogene Daten" sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen, sofern diese Informationen in den Kundendaten enthalten sind und nach geltendem Datenschutzrecht in ähnlicher Weise wie personenbezogene Daten oder persönlich identifizierbare Informationen geschützt sind.
"Verletzung des Schutzes personenbezogener Daten" bedeutet eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Weitergabe oder zum Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt.
"Plattform" bezeichnet die Technologieplattform, die von Beonic entwickelt und betrieben wird und von den Kunden zum Zweck der Analyse des Besucherstandorts, zur Sammlung von Informationen von Endnutzern und zur Interaktion mit Endnutzern verwendet wird.
"POPIA" bezeichnet das südafrikanische Gesetz zum Schutz personenbezogener Daten von 2013.
"Verarbeitung" bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die mit personenbezogenen Daten durchgeführt werden, wie das Erheben, das Erfassen, die Organisation, die Strukturierung, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung oder das Löschen von personenbezogenen Daten. Die Begriffe "verarbeiten", "verarbeiten" und "verarbeitet" sind entsprechend zu verstehen.
"Auftragsverarbeiter" bezeichnet eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet, und gilt als "Dienstleister" im Sinne des CCPA. In dieser DPA ist Beonic (wie in der Vereinbarung definiert) der Auftragsverarbeiter.
"Dienste" bezeichnet die von Beonic für den Kunden zu erbringenden Dienste, wie sie in der Vereinbarung festgelegt sind.
"Beonic" bezeichnet die im jeweiligen Vertrag angegebene Beonic-Einheit.
"Standardvertragsklauseln" bezeichnet die als Anlage 2 beigefügten Standardvertragsklauseln gemäß dem Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021 in der jeweils geänderten, ersetzten oder ersetzten Fassung.
"Addendum für das Vereinigte Königreich" bezeichnet das Addendum für den internationalen Datentransfer, das vom britischen Informationsbeauftragten gemäß Abschnitt 119A(1) des Data Protection Act 2018 herausgegeben wurde und gegebenenfalls geändert, ersetzt oder überholt wird.
"UK GDPR" bezeichnet die Allgemeine Datenschutzverordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, wie sie gemäß Abschnitt 3 des European Union (Withdrawal) Act 2018 Teil des Rechts von England und Wales, Schottland und Nordirland ist.
"Veranstaltungsorte" bezeichnet die Räumlichkeiten, Veranstaltungsorte und Standorte des Kunden, an denen WiFi-Dienste für Einzelpersonen, die die Plattform nutzen, angeboten werden.
"WiFi Service" bezeichnet den drahtlosen Gast-Internetzugang, den der Kunde an einem Veranstaltungsort über sein drahtloses Netzwerk zusammen mit der Plattform anbietet.
- Einzelheiten der Verarbeitung
- Kategorien von betroffenen Personen: Die Kategorien der betroffenen Personen, deren personenbezogene Daten von Beonic verarbeitet werden, umfassen:
- Endverbraucher
- Angestellte, Auftragnehmer und andere Arbeiter des Kunden
- Angestellte, Auftragnehmer und andere Mitarbeiter von Lieferanten des Kunden (wie z. B. Drittverarbeiter des Kunden)
- Andere Personen, deren persönliche Daten Beonic zur Verfügung gestellt oder der Plattform vom Kunden hinzugefügt wurden.
- Kategorien von personenbezogenen Daten: Zu den Kategorien personenbezogener Daten, die von Beonic verarbeitet werden können, gehören:
- Vollständiger Name und Präfix
- Handy-Nummer
- E-Mail Adresse
- Datum der Geburt
- Geschlecht
- Alter
- Identitäten in sozialen Netzwerken und öffentlich zugängliche Informationen
- Postleitzahl
- Land oder Staat des Wohnsitzes
- Durchsuchen von Gerätedetails, einschließlich der Media Access Control-Adresse
- Uhrzeit, Datum und Ort der Registrierung der betroffenen Personen für den WiFi-Dienst
- Dauer und Häufigkeit der Nutzung des WiFi-Dienstes und der Besuche in den Veranstaltungsorten durch die betroffenen Personen
- Der ungefähre Standort der Browsing-Geräte der betroffenen Personen, während sie sich an einem Veranstaltungsort befinden
- Internet-Browsing-Verlauf der betroffenen Personen während der Nutzung des WiFi-Dienstes
- Beschäftigung der betroffenen Personen mit den Beiträgen des Kunden in den sozialen Medien und anderen sozialen Aktivitäten
- Demografische Informationen der betroffenen Personen
- Interessen und Vorlieben der betroffenen Personen
- Art und Zweck der Verarbeitung: Beonic verarbeitet die personenbezogenen Daten zum Zweck der Erbringung der Dienstleistungen für den Kunden. Die Kategorien der personenbezogenen Daten, die verarbeitet werden, hängen von den Dienstleistungen ab, die dem Kunden angeboten werden.
- Dauer der Verarbeitung: Beonic verarbeitet die personenbezogenen Daten bis zur Beendigung des Dienstes durch den Kunden.
- Verantwortung für den Kunden
- Die Parteien erkennen an und vereinbaren, dass der Kunde der Verantwortliche für die personenbezogenen Daten und Beonic der Verarbeiter dieser Daten ist. In Bezug auf die Nutzung der Dienste ist der Verantwortliche allein für die Einhaltung der gesetzlichen Bestimmungen zum Datenschutz und zum Schutz der Privatsphäre verantwortlich, insbesondere in Bezug auf die Offenlegung und Übermittlung personenbezogener Daten an den Auftragsverarbeiter und die Verarbeitung personenbezogener Daten.
- Unbeschadet der Allgemeingültigkeit von Klausel 3.1 stellt der für die Verarbeitung Verantwortliche sicher, dass er über alle erforderlichen angemessenen Zustimmungen und Mitteilungen verfügt, um die rechtmäßige Übermittlung der personenbezogenen Daten an den Auftragsverarbeiter für die Dauer und die Zwecke des Kundenvertrags zu ermöglichen.
- Um Zweifel auszuschließen, müssen die Anweisungen des Verantwortlichen für die Verarbeitung personenbezogener Daten mit dem Datenschutzgesetz übereinstimmen. Diese DPA ist die vollständige und endgültige Anweisung des Kunden an Beonic in Bezug auf personenbezogene Daten, und zusätzliche Anweisungen außerhalb des Anwendungsbereichs der DPA bedürfen der vorherigen schriftlichen Vereinbarung zwischen den Parteien. Die Anweisungen werden zunächst in der Vereinbarung festgelegt und können danach von Zeit zu Zeit vom für die Verarbeitung Verantwortlichen in separaten schriftlichen Anweisungen (als Einzelanweisungen) geändert, ergänzt oder ersetzt werden.
- Der für die Verarbeitung Verantwortliche informiert den Auftragsverarbeiter unverzüglich und umfassend über alle Fehler oder Unregelmäßigkeiten im Zusammenhang mit den gesetzlichen Bestimmungen über die Verarbeitung personenbezogener Daten.
- Pflichten des Verarbeiters
- Einhaltung der Weisungen: Der Auftragsverarbeiter darf personenbezogene Daten nur im Rahmen der Weisungen des für die Verarbeitung Verantwortlichen erheben, verarbeiten und nutzen. Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung des für die Verarbeitung Verantwortlichen gegen das Datenschutzrecht verstößt, so hat er den für die Verarbeitung Verantwortlichen unverzüglich zu informieren. Kann der Auftragsverarbeiter personenbezogene Daten aufgrund einer rechtlichen Anforderung nach geltendem Recht der Europäischen Union oder eines Mitgliedstaates nicht in Übereinstimmung mit den Weisungen verarbeiten, so wird er (i) den für die Verarbeitung Verantwortlichen unverzüglich über diese rechtliche Anforderung informieren, bevor er die betreffende Verarbeitung vornimmt, soweit dies nach dem Datenschutzgesetz zulässig ist, und (ii) die gesamte Verarbeitung (mit Ausnahme der bloßen Speicherung und Aufrechterhaltung der Sicherheit der betroffenen personenbezogenen Daten) einstellen, bis der für die Verarbeitung Verantwortliche neue Weisungen erteilt, die der Auftragsverarbeiter einhalten kann. Wird diese Bestimmung in Anspruch genommen, so haftet der Auftragsverarbeiter gegenüber dem für die Verarbeitung Verantwortlichen im Rahmen des Vertrags nicht für die Nichterbringung der betreffenden Leistungen, bis der für die Verarbeitung Verantwortliche neue Anweisungen erteilt.
- Sicherheit: Der Auftragsverarbeiter ergreift die geeigneten technischen und organisatorischen Maßnahmen, um personenbezogene Daten angemessen vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Änderung, unbefugter Weitergabe oder unbefugtem Zugriff auf personenbezogene Daten zu schützen, wie in Anhang II der Anlage zu den Standardvertragsklauseln beschrieben. Diese Maßnahmen umfassen unter anderem Folgendes:
- Verhinderung des Zugangs von Unbefugten zu den Systemen zur Verarbeitung personenbezogener Daten (physische Zugangskontrolle);
- Verhinderung der unbefugten Nutzung von Systemen zur Verarbeitung personenbezogener Daten (logische Zugangskontrolle);
- Sicherstellung, dass Personen, die berechtigt sind, ein System zur Verarbeitung personenbezogener Daten zu nutzen, nur auf die personenbezogenen Daten zugreifen können, zu denen sie gemäß ihren Zugriffsrechten berechtigt sind, und dass personenbezogene Daten während der Verarbeitung oder Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Datenzugangskontrolle);
- Sicherstellung, dass personenbezogene Daten während der elektronischen Übermittlung, des Transports oder der Speicherung auf Speichermedien nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können und dass die Zielstellen für jede Übermittlung personenbezogener Daten mit Hilfe von Datenübertragungseinrichtungen festgestellt und überprüft werden können (Datenübertragungskontrolle);
- Sicherstellung der Einrichtung eines Prüfpfads, um zu dokumentieren, ob und von wem personenbezogene Daten in die Systeme zur Verarbeitung personenbezogener Daten eingegeben, dort geändert oder aus ihnen entfernt wurden (Eingabekontrolle);
- Sicherstellung, dass personenbezogene Daten ausschließlich gemäß den Anweisungen des für die Verarbeitung Verantwortlichen verarbeitet werden (Weisungskontrolle);
- Sicherstellung, dass personenbezogene Daten gegen versehentliche Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle).
Auf Verlangen des für die Verarbeitung Verantwortlichen legt der Auftragsverarbeiter ein aktuelles Programm zum Schutz und zur Sicherheit personenbezogener Daten im Zusammenhang mit der Verarbeitung gemäß diesem Vertrag vor.
Der Auftragsverarbeiter unterstützt den für die Verarbeitung Verantwortlichen bei der Einhaltung seiner Verpflichtung zur Durchführung von Sicherheitsmaßnahmen in Bezug auf personenbezogene Daten in Übereinstimmung mit den Datenschutzgesetzen, indem er (i) die in Anhang 2 beschriebenen Sicherheitsmaßnahmen durchführt und aufrechterhält, (ii) die Bestimmungen von Abschnitt 4.4 (Verstöße gegen personenbezogene Daten) einhält und (iii) dem für die Verarbeitung Verantwortlichen Informationen in Bezug auf die Verarbeitung gemäß Abschnitt 5 (Audits) zur Verfügung stellt.
- Vertraulichkeit: Der Auftragsverarbeiter stellt sicher, dass alle Mitarbeiter, die der Auftragsverarbeiter zur Verarbeitung personenbezogener Daten in seinem Namen ermächtigt, zur Vertraulichkeit in Bezug auf diese personenbezogenen Daten verpflichtet werden. Die Verpflichtung zur Vertraulichkeit besteht auch nach Beendigung der oben genannten Tätigkeiten fort.
- Verstöße gegen personenbezogene Daten: Der Auftragsverarbeiter benachrichtigt den für die Verarbeitung Verantwortlichen so bald wie möglich, nachdem er von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt hat, die personenbezogene Daten betrifft. Auf Ersuchen des für die Verarbeitung Verantwortlichen wird der Auftragsverarbeiter dem für die Verarbeitung Verantwortlichen unverzüglich jede angemessene Unterstützung gewähren, die erforderlich ist, um ihn in die Lage zu versetzen, die zuständigen Behörden und/oder die betroffenen Personen über die Verletzung des Schutzes personenbezogener Daten zu informieren, wenn der für die Verarbeitung Verantwortliche gemäß dem Datenschutzgesetz dazu verpflichtet ist.
- Anfragen von Betroffenen: Der Auftragsverarbeiter leistet angemessene Unterstützung, auch durch geeignete technische und organisatorische Maßnahmen und unter Berücksichtigung der Art der Verarbeitung, damit der für die Verarbeitung Verantwortliche in der Lage ist, auf alle Anfragen von betroffenen Personen zu reagieren, die ihre Rechte nach dem Datenschutzgesetz in Bezug auf personenbezogene Daten wahrnehmen wollen (einschließlich Zugang, Berichtigung, Einschränkung, Löschung oder Übertragbarkeit personenbezogener Daten, soweit anwendbar), soweit dies gesetzlich zulässig ist. Wird ein solcher Antrag direkt an den Auftragsverarbeiter gerichtet, so unterrichtet dieser unverzüglich den für die Verarbeitung Verantwortlichen und rät den betroffenen Personen, ihren Antrag an den für die Verarbeitung Verantwortlichen zu richten. Der für die Verarbeitung Verantwortliche ist allein für die Beantwortung der Anträge der betroffenen Personen verantwortlich. Der für die Verarbeitung Verantwortliche erstattet dem Auftragsverarbeiter die Kosten, die ihm durch diese Unterstützung entstehen.
- Unterauftragsverarbeiter: Der Auftragsverarbeiter ist nur mit schriftlicher Zustimmung des für die Verarbeitung Verantwortlichen berechtigt, Unterauftragsverarbeiter mit der Erfüllung der in der Vereinbarung festgelegten Verpflichtungen des Auftragsverarbeiters zu beauftragen. Für diese Zwecke stimmt der für die Verarbeitung Verantwortliche der Beauftragung der verbundenen Unternehmen des Auftragsverarbeiters und der in Anlage 1 aufgeführten Dritten als Unterauftragsverarbeiter zu. Zur Klarstellung: Die vorstehende Genehmigung stellt die vorherige schriftliche Zustimmung des für die Verarbeitung Verantwortlichen zur Unterauftragsverarbeitung durch den Auftragsverarbeiter im Sinne von Klausel 8.8 der Standardvertragsklauseln dar.
Beabsichtigt der Auftragsverarbeiter, andere Unterauftragsverarbeiter als die in Anlage 1 aufgeführten Unternehmen zu beauftragen, so teilt er dies dem Verantwortlichen schriftlich mit (mittels In-App-Benachrichtigung im Beonic IO-Webportal) und gibt dem Verantwortlichen die Möglichkeit, der Beauftragung der neuen Unterauftragsverarbeiter innerhalb von 30 Tagen nach der Benachrichtigung zu widersprechen. Der Widerspruch muss auf vernünftigen Gründen beruhen (z. B. wenn der Verantwortliche nachweist, dass beim Unterauftragsverarbeiter erhebliche Risiken für den Schutz seiner personenbezogenen Daten bestehen). Können der Auftragsverarbeiter und der für die Verarbeitung Verantwortliche den Einspruch nicht ausräumen, kann jede Partei die Vereinbarung durch schriftliche Mitteilung an die andere Partei kündigen. Der für die Verarbeitung Verantwortliche erhält eine Rückerstattung aller im Voraus bezahlten, aber nicht genutzten Gebühren für den Zeitraum nach dem Datum des Wirksamwerdens der Kündigung.
Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter, so schließt er mit diesem einen Vertrag ab, der dem Unterauftragsverarbeiter dieselben Verpflichtungen auferlegt, die für den Auftragsverarbeiter gemäß dieser DSGVO gelten, und der die Anforderungen des Datenschutzrechts erfüllt. Kommt der Unterauftragsverarbeiter seinen Datenschutzverpflichtungen nicht nach, bleibt der Auftragsverarbeiter gegenüber dem für die Verarbeitung Verantwortlichen für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters haftbar.
Im Falle der Beauftragung eines Unterauftragsverarbeiters muss dem für die Verarbeitung Verantwortlichen das Recht eingeräumt werden, die Tätigkeiten des Unterauftragsverarbeiters gemäß dieser DSGVO und dem Datenschutzgesetz zu überwachen und zu überprüfen, einschließlich des Rechts, auf schriftlichen Antrag vom Auftragsverarbeiter Informationen über den Inhalt des Vertrags und die Umsetzung der Datenschutzverpflichtungen im Rahmen des Unterauftragsverarbeitungsvertrags zu erhalten, erforderlichenfalls durch Einsichtnahme in die einschlägigen Vertragsunterlagen.
- Datenübertragungen: Der für die Verarbeitung Verantwortliche nimmt zur Kenntnis und erklärt sich damit einverstanden, dass im Zusammenhang mit der Erbringung der vertragsgemäßen Dienstleistungen personenbezogene Daten an Beonic Group Pty Ltd (ACN 165 152 241) und andere Tochtergesellschaften in Australien übermittelt werden.
- EWR-Übertragungen: Die Standardvertragsklauseln (Modul 2) in Anhang 2 gelten für personenbezogene Daten, die außerhalb des EWR entweder direkt oder im Wege der Weiterübermittlung nach Australien und in ein Land übermittelt werden, das von der Europäischen Kommission nicht als Land anerkannt ist, das ein angemessenes Schutzniveau für personenbezogene Daten bietet (wie im Datenschutzgesetz beschrieben).
- UK-Übertragungen: Der UK-Zusatz in Anlage 3, der hiermit in diesen Vertrag aufgenommen wird, gilt für personenbezogene Daten, die entweder direkt oder im Wege der Weiterübermittlung außerhalb des Vereinigten Königreichs nach Australien und in ein Land übermittelt werden, das von der britischen Regierung nicht als Land anerkannt wird, das ein angemessenes Schutzniveau für personenbezogene Daten bietet (wie im Datenschutzgesetz beschrieben). (ii) Tabelle 1 des Nachtrags für das Vereinigte Königreich gilt als mit den in Anhang 1 der Standardvertragsklauseln aufgeführten Informationen ausgefüllt; und (iii) etwaige Widersprüche zwischen den Bestimmungen der Standardvertragsklauseln und des Nachtrags für das Vereinigte Königreich werden gemäß Abschnitt 10 und Abschnitt 11 des Nachtrags für das Vereinigte Königreich gelöst.
Wenn Beonic im Rahmen der Durchführung dieser DSGVO personenbezogene Daten an einen Unterauftragsverarbeiter außerhalb des Vereinigten Königreichs oder des EWR überträgt, stellt Beonic vor einer solchen Übertragung sicher, dass ein rechtlicher Mechanismus zur Erreichung der Angemessenheit in Bezug auf diese Verarbeitung vorhanden ist.
- Löschung oder Wiederherstellung von personenbezogenen Daten: Außer in dem Umfang, der zur Einhaltung der Datenschutzgesetze erforderlich ist, löscht der Auftragsverarbeiter nach Beendigung oder Ablauf der Vereinbarung alle personenbezogenen Daten (einschließlich Kopien davon), die gemäß dieser DPA verarbeitet wurden. Sollte der Auftragsverarbeiter aus technischen oder anderen Gründen nicht in der Lage sein, personenbezogene Daten zu löschen, wird er Maßnahmen ergreifen, um sicherzustellen, dass die personenbezogenen Daten für eine weitere Verarbeitung gesperrt werden.
Der für die Verarbeitung Verantwortliche ist verpflichtet, bei Beendigung oder Ablauf des Vertrages innerhalb einer vom Auftragsverarbeiter gesetzten Frist die angemessenen Maßnahmen zur Rückgabe der Daten oder zur Löschung der gespeicherten Daten zu treffen. Alle zusätzlichen Kosten, die im Zusammenhang mit der Rückgabe oder Löschung personenbezogener Daten nach Beendigung oder Ablauf des Vertrages entstehen, gehen zu Lasten des für die Verarbeitung Verantwortlichen.
- Prüfungen
- Der für die Verarbeitung Verantwortliche kann vor Beginn der Verarbeitung und danach in regelmäßigen Abständen die vom Auftragsverarbeiter getroffenen technischen und organisatorischen Maßnahmen überprüfen. Zu diesem Zweck kann der für die Verarbeitung Verantwortliche:
- Informationen vom Verarbeiter zu erhalten;
- den Auftragsverarbeiter auffordern, dem für die Verarbeitung Verantwortlichen eine bestehende Bescheinigung oder ein Zertifikat eines unabhängigen Sachverständigen vorzulegen; oder
- nach angemessener und rechtzeitiger vorheriger Vereinbarung während der üblichen Geschäftszeiten und ohne Unterbrechung des Geschäftsbetriebs des Auftragsverarbeiters eine Vor-Ort-Inspektion des Geschäftsbetriebs des Auftragsverarbeiters durchführen oder durch einen qualifizierten Dritten, der kein Konkurrent des Auftragsverarbeiters ist, durchführen lassen.
- Der Auftragsverarbeiter stellt dem für die Verarbeitung Verantwortlichen auf dessen schriftliches Ersuchen hin innerhalb einer angemessenen Frist alle für eine solche Prüfung erforderlichen Informationen zur Verfügung, soweit sich diese Informationen im Einflussbereich des Auftragsverarbeiters befinden und der Auftragsverarbeiter nicht durch geltendes Recht, eine Vertraulichkeitsverpflichtung oder eine sonstige Verpflichtung gegenüber einem Dritten an der Offenlegung gehindert ist.
- POPIA Besondere Bestimmungen
- Dieser Abschnitt 6 gilt nur, wenn der Kunde personenbezogene Daten über betroffene Personen in der Republik Südafrika erhebt und verarbeitet ("SA Controller").
- Für die Zwecke der Einhaltung des POPIA gelten die Verweise auf die folgenden Begriffe in dieser Datenschutzvereinbarung als einschließlich der folgenden POPIA-Definitionen:
- Der Begriff "für die Verarbeitung Verantwortlicher" gilt auch als Verweis auf eine "verantwortliche Stelle";
- Der Begriff "Datenverarbeiter" gilt auch als Verweis auf einen "Betreiber"; und
- Der Begriff "personenbezogene Daten" gilt als Bezugnahme auf "persönliche Informationen".
- Diese DPA bildet einen Betreibervertrag zwischen Beonic und einem SA-Controller.
- Die Parteien sind sich einig, dass der SA Controller die "verantwortliche Partei" und Beonic ein "Betreiber" im Sinne von POPIA ist und dass Beonic im Auftrag des SA Controllers handelt, wenn es personenbezogene Daten in dessen Namen verarbeitet.
- Der für die Verarbeitung Verantwortliche ist allein für die Einhaltung der in Abschnitt 18 des POPIA festgelegten Meldepflichten verantwortlich.
- Die Verpflichtung von Beonic zur Durchführung von Sicherheitsmaßnahmen gemäß Abschnitt 4.2 dieser DSGVO gilt als Verpflichtung zur Ergreifung geeigneter und angemessener technischer und organisatorischer Maßnahmen im Sinne von Abschnitt 19 des POPIA.
- Der für die Verarbeitung Verantwortliche nimmt zur Kenntnis und erklärt sich damit einverstanden, dass im Zusammenhang mit der Erbringung der Dienstleistungen im Rahmen der Vereinbarung personenbezogene Daten an die Beonic Group Pty Ltd (ACN 165 152 241) und andere Tochtergesellschaften in Australien übermittelt werden, und dass diese DPA eine verbindliche Vereinbarung im Sinne von Abschnitt 72 des POPIA und darstellt:
- die von Beonic auf diese personenbezogenen Daten anzuwendenden Sicherheitsmaßnahmen, wie in Abschnitt 4.2 dargelegt, müssen angemessene und geeignete technische und organisatorische Maßnahmen sein; und
- die gleichen Sicherheitsmaßnahmen werden von Beonic bei jeder Weitergabe von persönlichen Daten an ein Drittland angewendet.
- Allgemeine Bestimmungen
Im Falle eines Konflikts hat diese DPA Vorrang vor den Bestimmungen des Abkommens. Sollten einzelne Bestimmungen dieser DPA ungültig oder nicht durchsetzbar sein, so wird die Gültigkeit und Durchsetzbarkeit der übrigen Bestimmungen dieser DPA nicht berührt.
Mit der Aufnahme dieser DPA in die Vereinbarung erklären sich die in Abschnitt 7 unten genannten Parteien (Parteien dieser DPA) mit den Standardvertragsklauseln (sofern zutreffend) und allen dazugehörigen Anlagen einverstanden. Im Falle eines Widerspruchs oder einer Unstimmigkeit zwischen dieser DPA und den Standardvertragsklauseln in Anlage 2 haben die Standardvertragsklauseln Vorrang.
- Vertragsparteien dieser DPA
Diese DPA ist eine Ergänzung zum Vertrag und bildet einen Teil desselben. Mit der Aufnahme dieser DPA in den Vertrag sind der Controller und Beonic jeweils eine Partei dieser DPA.
Die juristische Person, die dieser DPA als für die Verarbeitung Verantwortlicher zustimmt, versichert, dass sie befugt ist, dieser DPA zuzustimmen und sie abzuschließen, und dass sie dieser DPA ausschließlich im Namen des für die Verarbeitung Verantwortlichen zustimmt.
- Unterschrift
Die Parteien kommen überein, dass die Unterzeichnung des Abkommens die Unterzeichnung dieses DPA durch beide Parteien darstellt.
ANHANG 1
Unterauftragsverarbeiter
Die Unterauftragsverarbeiter von Beonic sind aufgeführt unter:
ANHANG 2
Standardvertragsklauseln
(Modul 2: Vom Controller zum Prozessor)
ABSCHNITT I
Klausel 1
Zweck und Anwendungsbereich
- Mit diesen Standardvertragsklauseln soll sichergestellt werden, dass die Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung)[1] bei der Übermittlung personenbezogener Daten in ein Drittland erfüllt werden.
- Die Parteien:
- die in Anhang I.A. aufgeführte(n) natürliche(n) oder juristische(n) Person(en), Behörde(n), Einrichtung(en) oder sonstige(n) Stelle(n) (nachstehend "Stelle(n)" genannt), die die personenbezogenen Daten übermitteln (nachstehend jeweils "Datenexporteur" genannt), und
- die Stelle(n) in einem Drittland, die die personenbezogenen Daten vom Datenexporteur direkt oder indirekt über eine andere Stelle erhalten, die ebenfalls Vertragspartei dieser Klauseln ist und in Anhang I.A. aufgeführt ist (nachstehend "Datenimporteur" genannt)
haben diesen Standardvertragsklauseln (im Folgenden: "Klauseln") zugestimmt.
- Diese Klauseln gelten für die Übermittlung personenbezogener Daten, wie in Anhang I.B beschrieben.
- Der Anhang zu diesen Klauseln, der die darin genannten Anhänge enthält, ist Bestandteil dieser Klauseln.
Klausel 2
Wirkung und Unveränderlichkeit der Klauseln
- Diese Klauseln enthalten geeignete Garantien, einschließlich durchsetzbarer Rechte der betroffenen Person und wirksamer Rechtsbehelfe, gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 und - in Bezug auf Datenübermittlungen von für die Verarbeitung Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter - Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679, sofern sie nicht geändert werden, außer um das/die geeignete(n) Modul(e) auszuwählen oder um Informationen im Anhang hinzuzufügen oder zu aktualisieren. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfassenderen Vertrag einzubeziehen und/oder andere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese nicht direkt oder indirekt im Widerspruch zu diesen Klauseln stehen oder die Grundrechte oder -freiheiten der betroffenen Personen beeinträchtigen.
- Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Datenexporteur aufgrund der Verordnung (EU) 2016/679 unterliegt.
Klausel 3
Drittbegünstigte
- Betroffene Personen können diese Klauseln als Drittbegünstigte gegenüber dem Datenexporteur und/oder Datenimporteur geltend machen und durchsetzen, mit folgenden Ausnahmen:
- Paragraf 1, Paragraf 2, Paragraf 3, Paragraf 6, Paragraf 7;
- Klausel 8 - Modul Eins: Klausel 8.5 (e) und Klausel 8.9(b); Modul Zwei: Klausel 8.1(b), 8.9(a), (c), (d) und (e); Modul Drei: Klausel 8.1 (a), (c) und (d) und Klausel 8.9 (a), (c), (d), (e), (f) und (g); Modul Vier: Klausel 8.1 (b) und Klausel 8.3 (b);
- Klausel 9 - Modul Zwei: Klausel 9(a), (c), (d) und (e); Modul Drei: Klausel 9 (a), (c), (d) und (e);
- Klausel 12 - Modul Eins: Klausel 12(a) und (d); Module Zwei und Drei: Klausel 12(a), (d) und (f);
- Klausel 13;
- Klausel 15.1 Buchstaben c), d) und e);
- Klausel 16(e);
- Klausel 18 - Module Eins, Zwei und Drei: Klausel 18(a) und (b); Modul Vier: Klausel 18.
- Buchstabe a gilt unbeschadet der Rechte der betroffenen Personen gemäß der Verordnung (EU) 2016/679.
Klausel 4
Auslegung
- Wenn in diesen Klauseln Begriffe verwendet werden, die in der Verordnung (EU) 2016/679 definiert sind, haben diese Begriffe die gleiche Bedeutung wie in der genannten Verordnung.
- Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 zu lesen und auszulegen.
- Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die im Widerspruch zu den Rechten und Pflichten gemäß der Verordnung (EU) 2016/679 steht.
Klausel 5
Hierarchie
Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen der zum Zeitpunkt der Vereinbarung dieser Klauseln bestehenden oder später abgeschlossenen Vereinbarungen zwischen den Parteien sind diese Klauseln maßgebend.
Klausel 6
Beschreibung der Übertragung(en)
Die Einzelheiten der Übermittlung(en), insbesondere die Kategorien personenbezogener Daten, die übermittelt werden, und der Zweck/die Zwecke, zu dem/denen sie übermittelt werden, sind in Anhang I.B aufgeführt.
Klausel 7
Andockklausel
- Ein Rechtsträger, der nicht Vertragspartei dieser Klauseln ist, kann mit Zustimmung der Vertragsparteien diesen Klauseln jederzeit beitreten, entweder als Datenexporteur oder als Datenimporteur, indem er die Anlage ausfüllt und Anhang I.A unterzeichnet.
- Sobald sie die Anlage ausgefüllt und Anhang I.A unterzeichnet hat, wird die beitretende Einrichtung Vertragspartei dieser Klauseln und hat die Rechte und Pflichten eines Datenexporteurs oder Datenimporteurs gemäß ihrer Bezeichnung in Anhang I.A.
- Der beitretende Rechtsträger hat keine Rechte und Pflichten, die sich aus diesen Klauseln aus der Zeit vor seinem Beitritt ergeben.
ABSCHNITT II - VERPFLICHTUNGEN DER PARTEIEN
Klausel 8
Datenschutzgarantien
Der Datenexporteur gewährleistet, dass er sich in angemessener Weise vergewissert hat, dass der Datenimporteur durch geeignete technische und organisatorische Maßnahmen in der Lage ist, seinen Verpflichtungen aus diesen Klauseln nachzukommen.
8.1 Anweisungen
- Der Datenimporteur darf die personenbezogenen Daten nur auf dokumentierte Weisung des Datenexporteurs verarbeiten. Der Datenexporteur kann solche Anweisungen während der gesamten Laufzeit des Vertrags erteilen.
- Der Datenimporteur informiert den Datenexporteur unverzüglich, wenn er diese Anweisungen nicht befolgen kann.
8.2 Zweckbindung
Der Datenimporteur verarbeitet die personenbezogenen Daten nur für die in Anhang I.B aufgeführten spezifischen Zwecke der Übermittlung, es sei denn, der Datenexporteur erteilt weitere Anweisungen.
8.3 Transparenz
Auf Antrag stellt der Datenexporteur der betroffenen Person unentgeltlich ein Exemplar dieser Klauseln einschließlich des von den Vertragsparteien ausgefüllten Anhangs zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich der in Anhang II beschriebenen Maßnahmen und personenbezogenen Daten, erforderlich ist, kann der Datenexporteur Teile des Textes der Anlage zu diesen Klauseln vor der Weitergabe einer Kopie unkenntlich machen, muss jedoch eine aussagekräftige Zusammenfassung zur Verfügung stellen, wenn die betroffene Person andernfalls nicht in der Lage wäre, den Inhalt zu verstehen oder ihre Rechte auszuüben. Auf Anfrage teilen die Parteien der betroffenen Person die Gründe für die Schwärzungen mit, soweit dies ohne Offenlegung der geschwärzten Informationen möglich ist. Diese Klausel berührt nicht die Verpflichtungen des Datenexporteurs nach den Artikeln 13 und 14 der Verordnung (EU) 2016/679.
8.4 Genauigkeit
Stellt der Datenimporteur fest, dass die von ihm erhaltenen personenbezogenen Daten unrichtig oder veraltet sind, so teilt er dies dem Datenexporteur unverzüglich mit. In diesem Fall arbeitet der Datenimporteur mit dem Datenexporteur bei der Löschung oder Berichtigung der Daten zusammen.
8.5 Dauer der Verarbeitung und Löschung oder Rückgabe der Daten
Nach Beendigung der Erbringung der Verarbeitungsdienste löscht der Datenimporteur nach Wahl des Datenexporteurs alle im Auftrag des Datenexporteurs verarbeiteten personenbezogenen Daten und bescheinigt dem Datenexporteur, dass er dies getan hat, oder er gibt dem Datenexporteur alle in seinem Auftrag verarbeiteten personenbezogenen Daten zurück und löscht vorhandene Kopien. Bis zur Löschung oder Rückgabe der Daten hat der Datenimporteur weiterhin die Einhaltung dieser Klauseln zu gewährleisten. Für den Fall, dass die für den Datenimporteur geltenden lokalen Gesetze die Rückgabe oder Löschung der personenbezogenen Daten verbieten, garantiert der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln gewährleistet und die Daten nur in dem Umfang und so lange verarbeitet, wie es die lokalen Gesetze verlangen. Dies gilt unbeschadet der Klausel 14, insbesondere der Verpflichtung des Datenimporteurs gemäß Klausel 14 Buchstabe e), den Datenexporteur während der gesamten Laufzeit des Vertrags zu benachrichtigen, wenn er Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterworfen wurde, die nicht mit den Anforderungen gemäß Klausel 14 Buchstabe a) im Einklang stehen.
8.6 Sicherheit der Verarbeitung
- Der Datenimporteur und bei der Übermittlung auch der Datenexporteur treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einer Sicherheitsverletzung, die zur zufälligen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Weitergabe oder zum unbefugten Zugang zu diesen Daten führt (im Folgenden "Verletzung des Schutzes personenbezogener Daten"). Bei der Bewertung des angemessenen Sicherheitsniveaus tragen die Vertragsparteien dem Stand der Technik, den Kosten der Umsetzung, der Art, dem Umfang, den Umständen und dem Zweck/den Zwecken der Verarbeitung sowie den mit der Verarbeitung verbundenen Risiken für die betroffenen Personen gebührend Rechnung. Die Vertragsparteien erwägen insbesondere den Rückgriff auf Verschlüsselung oder Pseudonymisierung, auch während der Übermittlung, wenn der Zweck der Verarbeitung auf diese Weise erfüllt werden kann. Im Falle der Pseudonymisierung verbleiben die zusätzlichen Informationen, mit denen die personenbezogenen Daten einer bestimmten betroffenen Person zugeordnet werden können, nach Möglichkeit unter der ausschließlichen Kontrolle des Datenexporteurs. Der Datenimporteur kommt seinen Verpflichtungen nach diesem Absatz nach, indem er zumindest die in Anhang II genannten technischen und organisatorischen Maßnahmen durchführt. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Maß an Sicherheit bieten.
- Der Datenimporteur gewährt seinen Mitarbeitern nur insoweit Zugang zu den personenbezogenen Daten, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Er stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Geheimhaltungspflicht unterliegen.
- Im Falle einer Verletzung des Schutzes personenbezogener Daten in Bezug auf personenbezogene Daten, die vom Datenimporteur im Rahmen dieser Klauseln verarbeitet werden, ergreift der Datenimporteur geeignete Maßnahmen, um die Verletzung zu beheben, einschließlich Maßnahmen zur Abmilderung ihrer nachteiligen Auswirkungen. Der Datenimporteur benachrichtigt auch den Datenexporteur unverzüglich, nachdem er von der Verletzung Kenntnis erlangt hat. Diese Benachrichtigung enthält die Angaben zu einer Kontaktstelle, bei der weitere Informationen eingeholt werden können, eine Beschreibung der Art der Verletzung (möglichst einschließlich der Kategorien und der ungefähren Zahl der betroffenen Personen und der betroffenen personenbezogenen Datensätze), ihre wahrscheinlichen Folgen und die getroffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung, gegebenenfalls einschließlich Maßnahmen zur Abschwächung ihrer möglichen nachteiligen Folgen. Ist es nicht möglich, alle Informationen gleichzeitig zur Verfügung zu stellen, so enthält die erste Meldung die zu diesem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, ohne unangemessene Verzögerung nachgereicht.
- Der Datenimporteur arbeitet mit dem Datenexporteur zusammen und unterstützt ihn, damit der Datenexporteur seinen Verpflichtungen gemäß der Verordnung (EU) 2016/679 nachkommen kann, insbesondere bei der Meldung an die zuständige Aufsichtsbehörde und die betroffenen Personen, wobei die Art der Verarbeitung und die dem Datenimporteur zur Verfügung stehenden Informationen berücksichtigt werden.
8.7 Sensible Daten
Betrifft die Übermittlung personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetische Daten oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Daten über Gesundheit oder das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten (nachstehend "sensible Daten" genannt), so wendet der Datenimporteur die in Anhang I.B beschriebenen besonderen Beschränkungen und/oder zusätzlichen Garantien an.
8.8 Weitergehende Übertragungen
Der Datenimporteur darf die personenbezogenen Daten nur auf dokumentierte Anweisung des Datenexporteurs an einen Dritten weitergeben. Darüber hinaus dürfen die Daten nur dann an einen Dritten außerhalb der Europäischen Union[2] (im selben Land wie der Datenimporteur oder in einem anderen Drittland, im Folgenden "Weitergabe") weitergegeben werden, wenn der Dritte im Rahmen des entsprechenden Moduls an diese Klauseln gebunden ist oder sich damit einverstanden erklärt, oder wenn:
- die Weiterübermittlung erfolgt in ein Land, für das ein Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 gilt, der die Weiterübermittlung abdeckt;
- der Dritte anderweitig angemessene Garantien gemäß Artikel 46 oder 47 der Verordnung (EU) 2016/679 in Bezug auf die betreffende Verarbeitung gewährleistet;
- die Weitergabe für die Begründung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen eines bestimmten Verwaltungs-, Aufsichts- oder Gerichtsverfahrens erforderlich ist; oder
- die Weiterübermittlung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
Jede Weiterübermittlung unterliegt der Einhaltung aller anderen Garantien dieser Klauseln durch den Datenimporteur, insbesondere der Zweckbindung.
8.9 Dokumentation und Einhaltung der Vorschriften
- Der Datenimporteur hat Anfragen des Datenexporteurs, die sich auf die Verarbeitung nach diesen Klauseln beziehen, unverzüglich und angemessen zu bearbeiten.
- Die Parteien müssen in der Lage sein, die Einhaltung dieser Klauseln nachzuweisen. Insbesondere führt der Datenimporteur eine angemessene Dokumentation über die im Auftrag des Datenexporteurs durchgeführten Verarbeitungstätigkeiten.
- Der Datenimporteur stellt dem Datenexporteur alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten Verpflichtungen erforderlich sind, und ermöglicht auf Ersuchen des Datenexporteurs in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung Audits der unter diese Klauseln fallenden Verarbeitungstätigkeiten und trägt zu diesen bei. Bei der Entscheidung über eine Überprüfung oder ein Audit kann der Datenexporteur die einschlägigen Zertifizierungen des Datenimporteurs berücksichtigen.
- Der Datenexporteur kann das Audit entweder selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Audits können Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Datenimporteurs umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.
- Die Vertragsparteien stellen die in den Buchstaben b) und c) genannten Informationen, einschließlich der Ergebnisse etwaiger Prüfungen, der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung.
Klausel 9
Einsatz von Unterauftragsverarbeitern
- Der Datenimporteur hat die allgemeine Genehmigung des Datenexporteurs für die Beauftragung von Unterauftragsverarbeitern aus einer vereinbarten Liste. Der Datenimporteur unterrichtet den Datenexporteur mindestens 30 Tage im Voraus schriftlich über jede beabsichtigte Änderung dieser Liste durch Hinzufügung oder Ersetzung von Unterauftragsverarbeitern, so dass der Datenexporteur genügend Zeit hat, um vor der Beauftragung des/der Unterauftragsverarbeiter(s) Einspruch gegen diese Änderungen zu erheben. Der Datenimporteur stellt dem Datenexporteur die erforderlichen Informationen zur Verfügung, damit der Datenexporteur sein Widerspruchsrecht ausüben kann.
- Beauftragt der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Namen des Datenexporteurs), so erfolgt dies im Wege eines schriftlichen Vertrags, der im Wesentlichen dieselben Datenschutzverpflichtungen vorsieht, die den Datenimporteur nach diesen Klauseln binden, einschließlich der Rechte der betroffenen Personen als Drittbegünstigte.[3] Die Vertragsparteien sind sich einig, dass der Datenimporteur mit der Einhaltung dieser Klausel seine Verpflichtungen nach Klausel 8.8 erfüllt. Der Datenimporteur stellt sicher, dass der Unterauftragsverarbeiter die Verpflichtungen einhält, denen der Datenimporteur nach diesen Klauseln unterliegt.
- Der Datenimporteur stellt dem Datenexporteur auf dessen Anfrage eine Kopie einer solchen Unterauftragsverarbeitungsvereinbarung und aller nachfolgenden Änderungen zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Datenimporteur den Text der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.
- Der Datenimporteur bleibt gegenüber dem Datenexporteur in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters aus seinem Vertrag mit dem Datenimporteur verantwortlich. Der Datenimporteur unterrichtet den Datenexporteur, wenn der Unterauftragsverarbeiter seinen Verpflichtungen aus diesem Vertrag nicht nachkommt.
- Der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigungsklausel, nach der der Datenexporteur für den Fall, dass der Datenimporteur faktisch oder rechtlich nicht mehr existiert oder zahlungsunfähig geworden ist, das Recht hat, den Unterauftragsverarbeitungsvertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.
Klausel 10
Rechte der betroffenen Person
- Der Datenimporteur unterrichtet den Datenexporteur unverzüglich über jedes Ersuchen, das er von einer betroffenen Person erhalten hat. Er beantwortet dieses Ersuchen nicht selbst, es sei denn, er ist vom Datenexporteur dazu ermächtigt worden.
- Der Datenimporteur unterstützt den Datenexporteur bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen betroffener Personen auf Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679. Zu diesem Zweck legen die Vertragsparteien in Anhang II unter Berücksichtigung der Art der Verarbeitung die geeigneten technischen und organisatorischen Maßnahmen fest, mit denen die Unterstützung geleistet werden soll, sowie den Umfang und das Ausmaß der erforderlichen Unterstützung.
- Bei der Erfüllung seiner Verpflichtungen nach den Buchstaben a) und b) hat der Datenimporteur die Anweisungen des Datenexporteurs zu befolgen.
Klausel 11
Abhilfe
- Der Datenimporteur informiert die betroffenen Personen in einem transparenten und leicht zugänglichen Format durch eine individuelle Mitteilung oder auf seiner Website über eine Kontaktstelle, die für die Bearbeitung von Beschwerden zuständig ist. Er bearbeitet alle Beschwerden, die er von einer betroffenen Person erhält, unverzüglich.
- Bei Streitigkeiten zwischen einer betroffenen Person und einer der Vertragsparteien über die Einhaltung dieser Klauseln bemüht sich die betreffende Vertragspartei nach besten Kräften um eine rasche gütliche Beilegung der Angelegenheit. Die Vertragsparteien halten sich gegenseitig über solche Streitigkeiten auf dem Laufenden und arbeiten gegebenenfalls bei deren Beilegung zusammen.
- Beruft sich die betroffene Person auf ein Drittbegünstigungsrecht gemäß Ziffer 3, so akzeptiert der Datenimporteur die Entscheidung der betroffenen Person, dies zu tun:
- eine Beschwerde bei der Aufsichtsbehörde des Mitgliedstaats, in dem er seinen gewöhnlichen Aufenthalt oder seinen Arbeitsplatz hat, oder bei der zuständigen Aufsichtsbehörde gemäß Ziffer 13 einzureichen;
- den Streitfall den zuständigen Gerichten im Sinne von Paragraf 18 vorlegen.
- Die Vertragsparteien akzeptieren, dass die betroffene Person unter den in Artikel 80 Absatz 1 der Verordnung (EU) 2016/679 genannten Bedingungen durch eine gemeinnützige Einrichtung, Organisation oder Vereinigung vertreten werden kann.
- Der Datenimporteur muss sich an eine Entscheidung halten, die nach dem geltenden Recht der EU oder eines Mitgliedstaats verbindlich ist.
- Der Datenimporteur erklärt sich damit einverstanden, dass die von der betroffenen Person getroffene Wahl ihre materiell- und verfahrensrechtlichen Rechte auf Einlegung von Rechtsbehelfen gemäß den geltenden Rechtsvorschriften nicht beeinträchtigt.
Klausel 12
Haftung
- Jede Partei haftet gegenüber der/den anderen Partei(en) für den Schaden, den sie der/den anderen Partei(en) durch einen Verstoß gegen diese Klauseln zufügt.
- Der Datenimporteur haftet gegenüber der betroffenen Person und die betroffene Person hat Anspruch auf Schadenersatz für jeden materiellen oder immateriellen Schaden, den der Datenimporteur oder sein Unterauftragsverarbeiter der betroffenen Person durch die Verletzung der Rechte des Drittbegünstigten gemäß diesen Klauseln zufügt.
- Ungeachtet des Buchstabens b haftet der Datenexporteur gegenüber der betroffenen Person für alle materiellen oder immateriellen Schäden, die der Datenexporteur oder der Datenimporteur (oder sein Unterauftragsverarbeiter) der betroffenen Person durch die Verletzung der Rechte des Drittbegünstigten gemäß diesen Klauseln zufügt, und die betroffene Person hat Anspruch auf Schadenersatz. Dies gilt unbeschadet der Haftung des Datenexporteurs und, wenn der Datenexporteur ein Auftragsverarbeiter ist, der im Auftrag eines für die Verarbeitung Verantwortlichen handelt, der Haftung des für die Verarbeitung Verantwortlichen gemäß der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725.
- Die Vertragsparteien kommen überein, dass der Datenexporteur für den Fall, dass er gemäß Buchstabe c) für einen vom Datenimporteur (oder seinem Unterauftragsverarbeiter) verursachten Schaden haftbar gemacht wird, berechtigt ist, vom Datenimporteur den Teil des Schadensersatzes zurückzufordern, der der Verantwortung des Datenimporteurs für den Schaden entspricht.
- Ist mehr als eine Partei für einen Schaden verantwortlich, der der betroffenen Person infolge eines Verstoßes gegen diese Klauseln entstanden ist, so haften alle verantwortlichen Parteien gesamtschuldnerisch, und die betroffene Person hat das Recht, jede dieser Parteien gerichtlich in Anspruch zu nehmen.
- Die Vertragsparteien sind sich darüber einig, dass eine Vertragspartei, die gemäß Buchstabe e) haftbar gemacht wird, berechtigt ist, von der/den anderen Vertragspartei(en) den Teil der Entschädigung zurückzufordern, der ihrer Verantwortung für den Schaden entspricht.
- Der Datenimporteur kann sich nicht auf das Verhalten eines Unterauftragsverarbeiters berufen, um seine eigene Haftung zu umgehen.
Klausel 13
Beaufsichtigung
- Die Aufsichtsbehörde, die dafür zuständig ist, die Einhaltung der Verordnung (EU) 2016/679 durch den Datenexporteur in Bezug auf die Datenübermittlung zu gewährleisten, wie in Anhang I.C angegeben, fungiert als zuständige Aufsichtsbehörde.
- Der Datenimporteur erklärt sich damit einverstanden, sich der Rechtsprechung der zuständigen Kontrollbehörde zu unterwerfen und mit ihr bei allen Verfahren zusammenzuarbeiten, die darauf abzielen, die Einhaltung dieser Klauseln zu gewährleisten. Insbesondere erklärt sich der Datenimporteur bereit, auf Anfragen zu antworten, sich Prüfungen zu unterziehen und die von der Aufsichtsbehörde erlassenen Maßnahmen, einschließlich Abhilfe- und Ausgleichsmaßnahmen, zu befolgen. Er bestätigt der Aufsichtsbehörde schriftlich, dass die erforderlichen Maßnahmen ergriffen worden sind.
ABSCHNITT III - LOKALE GESETZE UND VERPFLICHTUNGEN IM FALLE DES ZUGRIFFS DURCH BEHÖRDEN
Klausel 14
Lokale Gesetze und Praktiken, die sich auf die Einhaltung der Klauseln auswirken
- Die Vertragsparteien versichern, dass sie keinen Grund zu der Annahme haben, dass die im Bestimmungsdrittland für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Praktiken, einschließlich etwaiger Vorschriften über die Offenlegung personenbezogener Daten oder Maßnahmen zur Gewährung des Zugangs von Behörden, den Datenimporteur an der Erfüllung seiner Verpflichtungen aus diesen Klauseln hindern. Dabei wird davon ausgegangen, dass Gesetze und Praktiken, die den Kern der Grundrechte und -freiheiten achten und nicht über das hinausgehen, was in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele zu schützen, nicht im Widerspruch zu diesen Klauseln stehen.
- Die Vertragsparteien erklären, dass sie bei der Übernahme der Garantie nach Buchstabe a) insbesondere die folgenden Punkte gebührend berücksichtigt haben:
- die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übermittlungskanäle; beabsichtigte Weiterübermittlungen; die Art des Empfängers; der Zweck der Verarbeitung; die Kategorien und das Format der übermittelten personenbezogenen Daten; der Wirtschaftssektor, in dem die Übermittlung erfolgt; der Speicherort der übermittelten Daten;
- die Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes - einschließlich derjenigen, die die Weitergabe von Daten an Behörden vorschreiben oder den Zugang solcher Behörden gestatten -, die angesichts der besonderen Umstände der Übermittlung relevant sind, sowie die geltenden Beschränkungen und Garantien[4];
- alle einschlägigen vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß diesen Klauseln eingeführt wurden, einschließlich Maßnahmen, die bei der Übermittlung und der Verarbeitung der personenbezogenen Daten im Bestimmungsland angewandt werden.
- Der Datenimporteur gewährleistet, dass er sich bei der Durchführung der Bewertung nach Buchstabe b) nach besten Kräften bemüht hat, dem Datenexporteur einschlägige Informationen zur Verfügung zu stellen, und erklärt sich bereit, weiterhin mit dem Datenexporteur zusammenzuarbeiten, um die Einhaltung dieser Klauseln zu gewährleisten.
- Die Vertragsparteien kommen überein, die Bewertung nach Buchstabe b) zu dokumentieren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
- Der Datenimporteur verpflichtet sich, den Datenexporteur unverzüglich zu benachrichtigen, wenn er nach der Zustimmung zu diesen Klauseln und während der Laufzeit des Vertrags Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterworfen wurde, die nicht mit den Anforderungen nach Buchstabe a) im Einklang stehen, einschließlich einer Änderung der Gesetze des Drittlandes oder einer Maßnahme (z. B. einer Aufforderung zur Offenlegung), die auf eine Anwendung solcher Gesetze in der Praxis hinweist, die nicht mit den Anforderungen nach Buchstabe a) im Einklang steht.
- Nach einer Meldung gemäß Buchstabe e oder wenn der Datenexporteur anderweitig Grund zu der Annahme hat, dass der Datenimporteur seinen Verpflichtungen gemäß diesen Klauseln nicht mehr nachkommen kann, legt der Datenexporteur unverzüglich geeignete Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit) fest, die vom Datenexporteur und/oder Datenimporteur zu ergreifen sind, um der Situation zu begegnen. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Ansicht ist, dass keine angemessenen Garantien für eine solche Übermittlung gewährleistet werden können, oder wenn er von der zuständigen Kontrollstelle dazu angewiesen wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten nach diesen Klauseln betrifft. Sind an dem Vertrag mehr als zwei Parteien beteiligt, so kann der Datenexporteur dieses Kündigungsrecht nur gegenüber der betreffenden Partei ausüben, es sei denn, die Parteien haben etwas anderes vereinbart. Wird der Vertrag gemäß dieser Klausel gekündigt, so gilt Klausel 16 Buchstaben d) und e).
Klausel 15
Pflichten des Datenimporteurs im Falle des Zugriffs durch öffentliche Stellen
15.1 Benachrichtigung
- Der Datenimporteur verpflichtet sich, den Datenexporteur und, soweit möglich, die betroffene Person unverzüglich (gegebenenfalls mit Hilfe des Datenexporteurs) zu benachrichtigen, wenn er:
- ein rechtsverbindliches Ersuchen einer Behörde, einschließlich der Justizbehörden, nach dem Recht des Bestimmungslandes um Offenlegung der gemäß diesen Klauseln übermittelten personenbezogenen Daten erhält; eine solche Mitteilung muss Informationen über die angeforderten personenbezogenen Daten, die ersuchende Behörde, die Rechtsgrundlage für das Ersuchen und die erteilte Antwort enthalten; oder
- Kenntnis von einem direkten Zugriff öffentlicher Stellen auf personenbezogene Daten erhält, die gemäß den Rechtsvorschriften des Bestimmungslandes übermittelt wurden; diese Mitteilung muss alle dem Importeur zur Verfügung stehenden Informationen enthalten.
- Ist es dem Datenimporteur nach dem Recht des Bestimmungslandes untersagt, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, erklärt sich der Datenimporteur bereit, sich nach besten Kräften zu bemühen, eine Befreiung von diesem Verbot zu erwirken, um so schnell wie möglich so viele Informationen wie möglich zu übermitteln. Der Datenimporteur erklärt sich bereit, seine Bemühungen zu dokumentieren, damit er sie auf Anfrage des Datenexporteurs nachweisen kann.
- Der Datenimporteur erklärt sich bereit, dem Datenexporteur während der Laufzeit des Vertrags in regelmäßigen Abständen so viele sachdienliche Informationen wie möglich über die eingegangenen Ersuchen zu übermitteln (insbesondere die Anzahl der Ersuchen, die Art der angeforderten Daten, die ersuchende(n) Behörde(n), die Frage, ob Ersuchen angefochten wurden, und das Ergebnis dieser Anfechtungen usw.), sofern dies nach den Rechtsvorschriften des Bestimmungslandes zulässig ist.
- Der Datenimporteur verpflichtet sich, die Informationen gemäß den Buchstaben a) bis c) während der Dauer des Vertrags aufzubewahren und sie der zuständigen Kontrollstelle auf Anfrage zur Verfügung zu stellen.
- Die Buchstaben a bis c berühren nicht die Verpflichtung des Datenimporteurs gemäß Klausel 14 Buchstabe e und Klausel 16, den Datenexporteur unverzüglich zu informieren, wenn er diese Klauseln nicht einhalten kann.
15.2 Überprüfung der Rechtmäßigkeit und Datenminimierung
- Der Datenimporteur erklärt sich bereit, die Rechtmäßigkeit des Offenlegungsantrags zu überprüfen, insbesondere, ob er im Rahmen der der ersuchenden Behörde eingeräumten Befugnisse bleibt, und den Antrag anzufechten, wenn er nach sorgfältiger Prüfung zu dem Schluss kommt, dass es berechtigte Gründe für die Annahme gibt, dass der Antrag nach dem Recht des Bestimmungslandes, den geltenden völkerrechtlichen Verpflichtungen und den Grundsätzen des internationalen Privatrechts unrechtmäßig ist. Der Datenimporteur muss unter den gleichen Bedingungen Rechtsmittel einlegen können. Bei Anfechtung eines Ersuchens beantragt der Datenimporteur einstweilige Maßnahmen mit dem Ziel, die Wirkungen des Ersuchens auszusetzen, bis die zuständige Justizbehörde über die Begründetheit des Ersuchens entschieden hat. Er gibt die angeforderten personenbezogenen Daten erst dann weiter, wenn er nach den geltenden Verfahrensvorschriften dazu verpflichtet ist. Diese Anforderungen gelten unbeschadet der Verpflichtungen des Datenimporteurs nach Klausel 14 Buchstabe e).
- Der Datenimporteur erklärt sich bereit, seine rechtliche Beurteilung und etwaige Einwände gegen das Auskunftsersuchen zu dokumentieren und dem Datenexporteur die Dokumentation zur Verfügung zu stellen, soweit dies nach dem Recht des Bestimmungslandes zulässig ist. Er stellt sie auch der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung.
- Der Datenimporteur erklärt sich bereit, bei der Beantwortung eines Auskunftsersuchens das zulässige Mindestmaß an Informationen auf der Grundlage einer angemessenen Auslegung des Ersuchens zur Verfügung zu stellen.
ABSCHNITT IV - SCHLUSSBESTIMMUNGEN
Klausel 16
Nichteinhaltung der Klauseln und Kündigung
- Der Datenimporteur informiert den Datenexporteur unverzüglich, wenn er diese Klauseln, aus welchen Gründen auch immer, nicht einhalten kann.
- Verstößt der Datenimporteur gegen diese Klauseln oder ist er nicht in der Lage, diese Klauseln einzuhalten, so setzt der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aus, bis die Einhaltung der Klauseln wieder gewährleistet ist oder der Vertrag beendet wird. Dies gilt unbeschadet der Klausel 14 Buchstabe f).
- Der Datenexporteur ist berechtigt, den Vertrag, soweit er die Verarbeitung personenbezogener Daten nach diesen Klauseln betrifft, zu kündigen, wenn:
- der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Buchstabe b) ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb eines angemessenen Zeitraums, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wird;
- der Datenimporteur in erheblichem Maße oder anhaltend gegen diese Klauseln verstößt; oder
- der Datenimporteur einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer Aufsichtsbehörde in Bezug auf seine Verpflichtungen aus diesen Klauseln nicht nachkommt.
In diesen Fällen unterrichtet er die zuständige Aufsichtsbehörde über die Nichteinhaltung. Sind an dem Vertrag mehr als zwei Parteien beteiligt, so kann der Datenexporteur dieses Kündigungsrecht nur gegenüber der betreffenden Partei ausüben, es sei denn, die Parteien haben etwas anderes vereinbart.
- Personenbezogene Daten, die vor der Beendigung des Vertragsverhältnisses gemäß Buchstabe c) übermittelt wurden, sind nach Wahl des Datenexporteurs unverzüglich an diesen zurückzugeben oder vollständig zu löschen. Gleiches gilt für etwaige Kopien der Daten. Der Datenimporteur hat dem Datenexporteur die Löschung der Daten zu bescheinigen. Bis zur Löschung oder Rückgabe der Daten sorgt der Datenimporteur weiterhin für die Einhaltung dieser Klauseln. Falls für den Datenimporteur örtliche Gesetze gelten, die die Rückgabe oder Löschung der übermittelten personenbezogenen Daten verbieten, gewährleistet der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln gewährleistet und die Daten nur in dem Umfang und so lange verarbeitet, wie es die örtlichen Gesetze vorschreiben.
- Jede Vertragspartei kann ihre Zustimmung, an diese Klauseln gebunden zu sein, widerrufen, wenn i) die Europäische Kommission einen Beschluss gemäß Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 erlässt, der die Übermittlung personenbezogener Daten betrifft, für die diese Klauseln gelten, oder ii) die Verordnung (EU) 2016/679 Teil des Rechtsrahmens des Landes wird, in das die personenbezogenen Daten übermittelt werden. Dies gilt unbeschadet anderer Verpflichtungen, die für die betreffende Verarbeitung gemäß der Verordnung (EU) 2016/679 gelten.
Klausel 17
Geltendes Recht
Diese Klauseln unterliegen dem Recht des EU-Mitgliedstaats, in dem der Datenexporteur niedergelassen ist. Lässt dieses Recht keine Rechte von Drittbegünstigten zu, unterliegen sie dem Recht eines anderen EU-Mitgliedstaats, der Rechte von Drittbegünstigten zulässt. Die Vertragsparteien vereinbaren, dass dies das Recht der Republik Irland (Mitgliedstaat angeben) sein soll.
Klausel 18
Wahl des Gerichtsstands und der Zuständigkeit
- Für alle Streitigkeiten, die sich aus diesen Klauseln ergeben, sind die Gerichte eines EU-Mitgliedstaates zuständig.
- Die Vertragsparteien vereinbaren, dass dies die Gerichte der Republik Irland (Mitgliedstaat angeben) sein sollen.
- Eine betroffene Person kann auch vor den Gerichten des Mitgliedstaats, in dem sie ihren gewöhnlichen Aufenthalt hat, Klage gegen den Datenexporteur und/oder Datenimporteur erheben.
- Die Vertragsparteien erklären sich damit einverstanden, sich der Gerichtsbarkeit dieser Gerichte zu unterwerfen.
APPENDIX
ANHANG I
- LISTE DER PARTEIEN
Datenexporteur(e):
Name: Kunde
Anschrift: Wie in der Vereinbarung angegeben
Name, Position und Kontaktdaten der Kontaktperson: Die Kontaktdaten des Datenexporteurs sind in der Vereinbarung angegeben
Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Die von Beonic für den Kunden zu erbringenden Dienstleistungen, wie im Vertrag beschrieben.
Unterschrift und Datum: Die Parteien sind sich darüber einig, dass die Unterzeichnung der Vereinbarung die Unterzeichnung dieser Klauseln durch beide Parteien darstellt.
Rolle (Controller/Prozessor): Controller
Datenimporteur(e):
Name: Beonic
Anschrift: Wie in der Vereinbarung angegeben
Name, Position und Kontaktdaten der Kontaktperson:
Michael Walker 5 Ward Avenue POTTS POINT NSW 2011 AUSTRALIEN privacy@beonic.com
Kontaktinformationen des Datenschutzbeauftragten:
Evalian Limited West Lodge Colden Common Winchester, Vereinigtes Königreich, SO21 1TH dpo@evalian.co.uk
Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Die von Beonic für den Kunden zu erbringenden Dienstleistungen, wie im Vertrag beschrieben.
Unterschrift: Die Parteien vereinbaren, dass die Unterzeichnung der Vereinbarung die Unterzeichnung dieser Klauseln durch beide Parteien darstellt.
Rolle (Controller/Prozessor): Prozessor
- BESCHREIBUNG DER ÜBERTRAGUNG
Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden
- Kategorien betroffener Personen, die in Abschnitt 2 der Datenverarbeitungsvereinbarung aufgeführt sind, in die diese Klauseln aufgenommen werden.
Kategorien der übermittelten personenbezogenen Daten
- Kategorien personenbezogener Daten, die in Abschnitt 2 der Datenverarbeitungsvereinbarung aufgeführt sind, in die diese Klauseln aufgenommen werden.
Übermittlung sensibler Daten (falls zutreffend) und Anwendung von Beschränkungen oder Garantien, die der Art der Daten und den damit verbundenen Risiken in vollem Umfang Rechnung tragen, wie z. B. strikte Zweckbindung, Zugangsbeschränkungen (einschließlich des Zugangs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnung des Zugangs zu den Daten, Beschränkungen für die Weiterübermittlung oder zusätzliche Sicherheitsmaßnahmen.
- Die Parteien beabsichtigen nicht, besondere Datenkategorien zu übermitteln.
Häufigkeit der Übermittlung (z. B. ob die Daten einmalig oder kontinuierlich übermittelt werden).
- Kontinuierlich
Art der Verarbeitung
- Kategorien personenbezogener Daten, die in Abschnitt 2 der Datenverarbeitungsvereinbarung aufgeführt sind, der diese Klauseln beigefügt sind.
Zweck(e) der Datenübermittlung und Weiterverarbeitung
- Erbringung der von Beonic für den Datenexporteur zu erbringenden Dienstleistungen, wie in den Beonic-Kundenverträgen festgelegt.
den Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, nach denen dieser Zeitraum festgelegt wird
- Laufzeit der Beonic-Kundenvereinbarungen.
Bei Übermittlungen an (Unter-)Verarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben
- Wie oben dargelegt
- ZUSTÄNDIGE AUFSICHTSBEHÖRDE
Nennen Sie die zuständige(n) Aufsichtsbehörde(n) gemäß Klausel 13:
- Die zuständige Aufsichtsbehörde in dem EU-Mitgliedstaat, in dem der Datenexporteur niedergelassen ist.
ANHANG II - TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MASSNAHMEN ZUR GEWÄHRLEISTUNG DER DATENSICHERHEIT
Beschreibung der von dem/den Datenimporteur(en) getroffenen technischen und organisatorischen Maßnahmen (einschließlich etwaiger einschlägiger Zertifizierungen) zur Gewährleistung eines angemessenen Sicherheitsniveaus unter Berücksichtigung der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen.
- Politiken und Bewusstseinsbildung
Informationssicherheitsrichtlinien und damit zusammenhängende Betriebsverfahren sowie Schulung des Personals in Informationssicherheit.
- Zugangskontrolle
Least Privilege-Zugriffskontrolle auf der Grundlage eines rollenbasierten Zugriffs. Definierter Prozess zur Verwaltung des Benutzerzugriffs mit laufender Überprüfung der Benutzerzugriffsberechtigungen. Eingeschränkter privilegierter und administrativer Zugriff auf der Basis von "Need-to-know" mit laufender Überprüfung der Benutzerzugriffsberechtigungen.
- Identifizierung und Authentifizierung
Kontrollen des Identitäts- und Zugriffsmanagements, um sicherzustellen, dass nur eindeutig identifizierte, autorisierte und authentifizierte Nutzer Zugang zu Systemen erhalten, die personenbezogene Daten verarbeiten.
- Datensicherheit
Klassifizierung und Kennzeichnung von Daten. Verschlüsselung von Daten im Ruhezustand und bei der Übertragung. Zentralisierte Schlüsselverwaltung einschließlich Rotation.
- Humanressourcen Sicherheit
Zuverlässigkeitsüberprüfungen vor der Einstellung potenzieller Mitarbeiter, die Zugang zu personenbezogenen Daten haben, die Verpflichtung zur Vertraulichkeit und ein Disziplinarverfahren für Verstöße gegen die Vertraulichkeit oder die Nichteinhaltung von Richtlinien zur Informationssicherheit oder zum Datenschutz.
- Physische Sicherheit
Durchführung von physischen Sicherheitskontrollen, um den unbefugten Zugang zu personenbezogenen Daten und Informationssystemen, die zur Verarbeitung personenbezogener Daten verwendet werden, zu verhindern.
- Technische Sicherheit
Sichere Konfigurationsstandards und Builds. Sicherheitskontrollen am Netzwerkrand. Anti-Malware-Software, die auf allen Computern installiert ist.
- Management von Zwischenfällen
Verfahren für das Management von Informationssicherheitsvorfällen.
- Unabhängige Assurance
Mindestens einmal jährlich Überprüfung durch Dritte, einschließlich Penetrationstests der entsprechenden Informationssysteme.
ANHANG III - LISTE DER UNTERAUFTRAGSVERARBEITER
Der für die Verarbeitung Verantwortliche hat den Einsatz der folgenden Unterauftragsverarbeiter genehmigt:
Die Unterauftragsverarbeiter sind aufgeführt unter:
AUSSTELLUNG 3
IDT-Zusatz
Modul 2: Vom Controller zum Prozessor
Standard-Datenschutzklauseln, die vom Datenschutzbeauftragten gemäß S119A(1) Data Protection Act 2018 herausgegeben werden
Zusatz zur internationalen Datenübermittlung zu den Standardvertragsklauseln der EU-Kommission
VERSION B1.0, in Kraft am 21. März 2022
Dieses Addendum wurde vom Information Commissioner für Parteien, die eingeschränkte Übermittlungen vornehmen, herausgegeben. Der Information Commissioner ist der Ansicht, dass es angemessene Garantien für eingeschränkte Übermittlungen bietet, wenn es als rechtsverbindlicher Vertrag abgeschlossen wird.
Teil 1: Tabellen
Tabelle 1: Parteien
Datum des Beginns |
Datum des DPA |
|
Die Parteien |
Exporteur (der die eingeschränkte Übertragung sendet) |
Importeur (der die eingeschränkte Übertragung erhält) |
Angaben zu den Parteien |
Wie in Anhang 1.A der Standardvertragsklauseln dargelegt |
Wie in Anhang 1.A der Standardvertragsklauseln dargelegt |
Wichtiger Kontakt |
Wie in Anhang 1.A der Standardvertragsklauseln dargelegt |
Wie in Anhang 1.A der Standardvertragsklauseln dargelegt |
Unterschrift (falls für die Zwecke von Abschnitt 2 erforderlich) |
Die Parteien kommen überein, dass die Unterzeichnung des Abkommens die Unterzeichnung dieses Nachtrags durch beide Parteien darstellt. |
Die Parteien kommen überein, dass die Unterzeichnung des Abkommens die Unterzeichnung dieses Nachtrags durch beide Parteien darstellt. |
Tabelle 2: Ausgewählte SCCs, Module und ausgewählte Klauseln
Addendum EU SCCs |
☒ Die Fassung der genehmigten EU-SCC, der dieser Nachtrag beigefügt ist, einschließlich der Informationen im Anhang: Datum: Datum des DPA Referenz (falls vorhanden): N/A Andere Kennung (falls vorhanden): Wie in Anhang 2 dieser DPA angegeben. Oder ☐ die Genehmigten EU-SCC, einschließlich der Informationen im Anhang, wobei nur die folgenden Module, Klauseln oder fakultativen Bestimmungen der Genehmigten EU-SCC für die Zwecke dieses Nachtrags in Kraft gesetzt werden: |
Tabelle 3: Informationen zum Anhang
"Anhangsinformationen" sind die Informationen, die für die ausgewählten Module gemäß dem Anhang der genehmigten EU-SCCs (mit Ausnahme der Parteien) bereitgestellt werden müssen und die für diesen Nachtrag in enthalten sind:
Anhang 1A: Liste der Parteien: Wie in Anhang I.A. der Standardvertragsklauseln dargelegt |
Anhang 1B: Beschreibung der Übertragung: Wie in Anhang I.B. der Standardvertragsklauseln |
Anhang II: Technische und organisatorische Maßnahmen einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Daten: Gemäß Anhang II der Standardvertragsklauseln |
Anhang III: Liste der Unterverarbeiter (nur Module 2 und 3): Wie in Anhang III der Standardvertragsklauseln |
Tabelle 4: Beendigung dieses Nachtrags bei Änderungen des genehmigten Nachtrags
Beendigung dieses Nachtrags bei Änderungen des genehmigten Nachtrags |
☒ keine Partei |
Teil 2: Obligatorische Klauseln
Beitritt zu diesem Addendum
- Jede Vertragspartei erklärt sich mit den in diesem Nachtrag festgelegten Bedingungen einverstanden, wenn die andere Vertragspartei sich ebenfalls mit diesem Nachtrag einverstanden erklärt.
- Obwohl Anhang 1A und Klausel 7 der Genehmigten EU SCC von den Parteien unterzeichnet werden müssen, können die Parteien zum Zweck der Durchführung von beschränkten Übermittlungen diesen Nachtrag in einer Weise abschließen, die sie für die Parteien rechtsverbindlich macht und es den betroffenen Personen ermöglicht, ihre in diesem Nachtrag dargelegten Rechte durchzusetzen. Der Abschluss dieses Nachtrags hat die gleiche Wirkung wie die Unterzeichnung der genehmigten EU-SCC und aller Teile der genehmigten EU-SCC.
Auslegung dieses Nachtrags
- Werden in diesem Nachtrag Begriffe verwendet, die in den Genehmigten EU-SCC definiert sind, so haben diese Begriffe die gleiche Bedeutung wie in den Genehmigten EU-SCC. Darüber hinaus haben die folgenden Begriffe die folgende Bedeutung:
Nachtrag |
Dieses Addendum zum internationalen Datentransfer besteht aus diesem Addendum, das das Addendum EU SCCs enthält. |
Addendum EU SCCs |
Die Version(en) der genehmigten EU-SCCs, denen dieses Addendum beigefügt ist, wie in Tabelle 2 aufgeführt, einschließlich der Informationen im Anhang. |
Informationen im Anhang |
Wie in Tabelle 3 dargelegt. |
Angemessene Sicherheitsvorkehrungen |
Das Schutzniveau der personenbezogenen Daten und der Rechte der betroffenen Personen, das nach den britischen Datenschutzgesetzen erforderlich ist, wenn Sie eine eingeschränkte Übermittlung vornehmen und sich dabei auf die Standarddatenschutzklauseln gemäß Artikel 46 Absatz 2 Buchstabe d der britischen Datenschutzgrundverordnung stützen. |
Genehmigter Nachtrag |
Das vom ICO herausgegebene und dem Parlament gemäß § 119A des Data Protection Act 2018 am 2. Februar 2022 vorgelegte Muster-Addendum, das gemäß § 18 überarbeitet wird. |
Zugelassene EU-SCCs |
Die Standardvertragsklauseln, die im Anhang des Durchführungsbeschlusses (EU) 2021/914 der Kommission vom 4. Juni 2021 aufgeführt sind. |
ICO |
Der Informationsbeauftragte. |
Eingeschränkte Übertragung |
Eine Übermittlung, die unter Kapitel V der britischen Datenschutz-Grundverordnung fällt. |
UK |
Das Vereinigte Königreich von Großbritannien und Nordirland. |
UK-Datenschutzgesetze |
Alle Gesetze zum Datenschutz, zur Verarbeitung personenbezogener Daten, zum Schutz der Privatsphäre und/oder zur elektronischen Kommunikation, die von Zeit zu Zeit im Vereinigten Königreich gelten, einschließlich der britischen GDPR und des Data Protection Act 2018. |
UK GDPR |
Wie in Abschnitt 3 des Data Protection Act 2018 definiert. |
- Dieser Nachtrag ist stets so auszulegen, dass er mit den Datenschutzgesetzen des Vereinigten Königreichs im Einklang steht und dass er die Verpflichtung der Vertragsparteien erfüllt, die angemessenen Garantien zu bieten.
- Sollten die in den Addendum EU SCCs enthaltenen Bestimmungen die Genehmigten SCCs in einer Weise ändern, die nach den Genehmigten EU SCCs oder dem Genehmigten Addendum nicht zulässig ist, werden diese Änderung(en) nicht in dieses Addendum aufgenommen und die entsprechenden Bestimmungen der Genehmigten EU SCCs treten an ihre Stelle.
- Im Falle von Widersprüchen oder Konflikten zwischen den britischen Datenschutzgesetzen und diesem Nachtrag gelten die britischen Datenschutzgesetze.
- Wenn die Bedeutung dieses Nachtrags unklar ist oder es mehr als eine Bedeutung gibt, gilt die Bedeutung, die am ehesten mit den britischen Datenschutzgesetzen übereinstimmt.
- Jede Bezugnahme auf Rechtsvorschriften (oder bestimmte Bestimmungen von Rechtsvorschriften) bedeutet, dass diese Rechtsvorschriften (oder bestimmte Bestimmungen) im Laufe der Zeit geändert werden können. Dies gilt auch für den Fall, dass diese Rechtsvorschriften (oder spezifischen Bestimmungen) nach Abschluss dieses Nachtrags konsolidiert, wieder in Kraft gesetzt und/oder ersetzt worden sind.
Hierarchie
- Obwohl Klausel 5 der genehmigten EU-SSCC festlegt, dass die genehmigten EU-SSCC Vorrang vor allen damit zusammenhängenden Vereinbarungen zwischen den Parteien haben, vereinbaren die Parteien, dass bei beschränkten Übertragungen die Hierarchie in Abschnitt 10 Vorrang hat.
- Bei Unstimmigkeiten oder Widersprüchen zwischen dem Genehmigten Nachtrag und dem Nachtrag EU SCC (soweit zutreffend) hat der Genehmigte Nachtrag Vorrang vor dem Nachtrag EU SCC, es sei denn, die widersprüchlichen oder kollidierenden Bestimmungen des Nachtrags EU SCC bieten einen besseren Schutz für die betroffenen Personen; in diesem Fall haben diese Bestimmungen Vorrang vor dem Genehmigten Nachtrag.
- Wenn dieses Addendum EU-SCCs enthält, die zum Schutz von Übermittlungen, die der Allgemeinen Datenschutzverordnung (EU) 2016/679 unterliegen, abgeschlossen wurden, erkennen die Parteien an, dass dieses Addendum keine Auswirkungen auf diese EU-SCCs hat.
Übernahme und Änderungen der EU-SCCs
- Dieser Nachtrag enthält den Nachtrag EU SCC, der im erforderlichen Umfang geändert wird, damit:
- Sie gelten gemeinsam für Datenübermittlungen des Datenexporteurs an den Datenimporteur, soweit die Datenschutzgesetze des Vereinigten Königreichs auf die Verarbeitung durch den Datenexporteur bei dieser Datenübermittlung anwendbar sind, und sie bieten angemessene Garantien für diese Datenübermittlungen;
- Die Abschnitte 9 bis 11 haben Vorrang vor Klausel 5 (Hierarchie) des Addendums EU SCCs; und
- Dieser Nachtrag (einschließlich der darin enthaltenen EU-SCC) unterliegt (1) dem Recht von England und Wales und (2) alle sich daraus ergebenden Streitigkeiten werden von den Gerichten von England und Wales entschieden, es sei denn, die Parteien haben ausdrücklich die Gesetze und/oder Gerichte von Schottland oder Nordirland gewählt.
- Sofern die Vertragsparteien keine anderen Änderungen vereinbart haben, die den Anforderungen von Abschnitt 12 entsprechen, gelten die Bestimmungen von Abschnitt 15.
- An den genehmigten EU-SCCs dürfen keine anderen Änderungen vorgenommen werden als die, die den Anforderungen von Abschnitt 12 entsprechen.
- Es werden die folgenden Änderungen am Addendum EU SCC (für die Zwecke von Abschnitt 12) vorgenommen:
- Verweise auf die "Klauseln" bezeichnen diesen Nachtrag, der den Nachtrag EU SCCs enthält;
- In Paragraf 2 werden die Worte gestrichen:
"und, in Bezug auf Datenübermittlungen von für die Verarbeitung Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter, Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679";
- Klausel 6 (Beschreibung der Übertragung(en)) erhält folgende Fassung:
"Die Einzelheiten der Übermittlung(en) und insbesondere die Kategorien personenbezogener Daten, die übermittelt werden, und der Zweck/die Zwecke, zu dem/denen sie übermittelt werden, sind in Anhang I.B aufgeführt, wenn die Datenschutzgesetze des Vereinigten Königreichs für die Verarbeitung durch den Datenexporteur bei der Übermittlung gelten."
- Klausel 8.7(i) von Modul 1 erhält folgende Fassung:
"es sich um ein Land handelt, das von den Angemessenheitsbestimmungen gemäß Abschnitt 17A der britischen Datenschutz-Grundverordnung profitiert, die die Weiterübermittlung abdeckt";
- Klausel 8.8(i) der Module 2 und 3 erhält folgende Fassung:
"die Weiterübermittlung erfolgt in ein Land, für das Angemessenheitsvorschriften gemäß Abschnitt 17A der britischen Datenschutz-Grundverordnung gelten, die die Weiterübermittlung abdecken;"
- Verweise auf "Verordnung (EU) 2016/679", "Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung)" und "diese Verordnung" werden alle durch "Datenschutzgesetze des Vereinigten Königreichs" ersetzt. Verweise auf bestimmte Artikel der "Verordnung (EU) 2016/679" werden durch die entsprechenden Artikel oder Abschnitte der britischen Datenschutzgesetze ersetzt;
- Verweise auf die Verordnung (EU) 2018/1725 werden entfernt;
- Verweise auf die "Europäische Union", "Union", "EU", "EU-Mitgliedstaat", "Mitgliedstaat" und "EU oder Mitgliedstaat" werden alle durch "Vereinigtes Königreich" ersetzt;
- Der Verweis auf "Klausel 12(c)(i)" in Klausel 10(b)(i) des ersten Moduls wird durch "Klausel 11(c)(i)" ersetzt;
- Klausel 13(a) und Teil C von Anhang I werden nicht verwendet;
- Die Begriffe "zuständige Aufsichtsbehörde" und "Aufsichtsbehörde" werden beide durch den "Informationsbeauftragten" ersetzt;
- In Paragraf 16 Buchstabe e) erhält der Unterabschnitt i) folgende Fassung:
"Der Secretary of State erlässt Verordnungen gemäß Abschnitt 17A des Data Protection Act 2018, die die Übermittlung personenbezogener Daten betreffen, auf die diese Klauseln Anwendung finden;";
- Klausel 17 wird durch folgende Klausel ersetzt:
"Diese Klauseln unterliegen den Gesetzen von England und Wales";
- Klausel 18 wird durch folgende Klausel ersetzt:
"Alle Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten in England und Wales entschieden. Eine betroffene Person kann den Datenexporteur und/oder Datenimporteur auch vor den Gerichten eines beliebigen Landes im Vereinigten Königreich verklagen. Die Parteien erklären sich damit einverstanden, sich der Gerichtsbarkeit dieser Gerichte zu unterwerfen."; und
- Die Fußnoten zu den genehmigten EU-SCCs sind mit Ausnahme der Fußnoten 8, 9, 10 und 11 nicht Teil des Addendums.
Änderungen an diesem Nachtrag
- Die Vertragsparteien können vereinbaren, die Klauseln 17 und/oder 18 des Nachtrags EU SCC so zu ändern, dass auf das Recht und/oder die Gerichte von Schottland oder Nordirland verwiesen wird.
- Möchten die Vertragsparteien das Format der in Teil 1: Tabellen des genehmigten Nachtrags enthaltenen Informationen ändern, so können sie dies durch eine schriftliche Vereinbarung tun, sofern die Änderung nicht zu einer Verringerung der angemessenen Sicherheitsvorkehrungen führt.
- Von Zeit zu Zeit kann die ICO ein überarbeitetes genehmigtes Addendum herausgeben, das:
- angemessene und verhältnismäßige Änderungen an dem genehmigten Nachtrag vornimmt, einschließlich der Berichtigung von Fehlern in dem genehmigten Nachtrag; und/oder
- spiegelt die Änderungen der britischen Datenschutzgesetze wider;
In der überarbeiteten Fassung des genehmigten Nachtrags wird das Datum angegeben, ab dem die Änderungen des genehmigten Nachtrags wirksam werden, und ob die Parteien diesen Nachtrag einschließlich der Informationen im Anhang überprüfen müssen. Dieser Nachtrag wird ab dem angegebenen Anfangsdatum automatisch wie in dem überarbeiteten Genehmigten Nachtrag geändert.
- Wenn die ICO ein überarbeitetes Genehmigtes Addendum gemäß Abschnitt 18 herausgibt, hat eine der in Tabelle 4 "Beendigung des Addendums, wenn sich das Genehmigte Addendum ändert" ausgewählten Parteien als unmittelbare Folge der Änderungen des Genehmigten Addendums einen erheblichen, unverhältnismäßigen und nachweisbaren Anstieg zu verzeichnen:
- seine direkten Kosten für die Erfüllung seiner Verpflichtungen aus dem Nachtrag; und/oder
- sein Risiko im Rahmen des Addendums,
und sie in beiden Fällen zuvor angemessene Schritte unternommen hat, um diese Kosten oder Risiken so zu verringern, dass sie nicht erheblich und unverhältnismäßig sind, so kann diese Vertragspartei diesen Nachtrag zum Ende einer angemessenen Kündigungsfrist beenden, indem sie der anderen Vertragspartei vor dem Beginn des geänderten genehmigten Nachtrags eine schriftliche Mitteilung für diesen Zeitraum übermittelt.
- Die Parteien benötigen nicht die Zustimmung Dritter, um Änderungen an diesem Nachtrag vorzunehmen, doch müssen alle Änderungen im Einklang mit den Bestimmungen dieses Nachtrags vorgenommen werden.