Dieser Zusatz zur Datenverarbeitung ("DPA") ist Teil der Vereinbarung(en) und wird am Tag des Inkrafttretens von und zwischen dem Kunden und dem Dienstleister geschlossen. Um Zweifel auszuschließen, ist diese DPA nicht gültig oder rechtsverbindlich, wenn es keine Vereinbarung(en) zwischen dem Kunden und dem Dienstanbieter gibt.

Diese DPA tritt am 25. Mai 2018 oder mit der Annahme der Vereinbarung(en) in Kraft, je nachdem, welcher Zeitpunkt später liegt (das "Datum des Inkrafttretens").

  1. BESTIMMUNGEN

    1. "Vereinbarung(en)" bezeichnet die zwischen dem Kunden und dem Dienstanbieter geschlossene Vereinbarung über die Bereitstellung der Dienste des Dienstanbieters für den Kunden in Bezug auf die Kerio-Produkte. Unsere Vereinbarung(en) finden Sie hier: https://www.gfi.com/legal.

    2. "Kunde" bezeichnet die juristische Person, die gemäß der Vereinbarung(en) Dienstleistungen erhält, einschließlich aller verbundenen Unternehmen dieser Person, falls vorhanden.

    3. "EWR" bezeichnet den Europäischen Wirtschaftsraum.

    4. "EU-Vorschriften" bezeichnet die Gesetze und Vorschriften der Europäischen Union, des Europäischen Wirtschaftsraums, ihrer Mitgliedstaaten und des Vereinigten Königreichs, die auf die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung(en) anwendbar sind, einschließlich (falls zutreffend) der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016, auch bekannt als die Allgemeine Datenschutzverordnung ("DSGVO").

    5. “Privacy Shield” bezeichnet den am 2. Februar 2016 vereinbarten und durch den Durchführungsbeschluss C(2016) 4176 final der Europäischen Kommission vom 12. Juli 2016 förmlich angenommenen EU-US-Rahmen für Datenschutzgrundsätze oder jeden anderen Rahmen für die Übermittlung personenbezogener Daten aus dem EWR oder der Schweiz in die Vereinigten Staaten, der von der Europäischen Kommission als ein angemessenes Schutzniveau gemäß den EU-Vorschriften genehmigt wurde.

    6. "Dienstleistungen" bezeichnet die Dienstleistungen und anderen Aktivitäten, die vom oder im Namen des Dienstleisters für den Kunden gemäß der Vereinbarung(en) zu erbringen oder durchzuführen sind.

    7. "Dienstanbieter" bezeichnet die juristische Person, die Vertragspartei ist und personenbezogene Daten im Namen des Kunden verarbeitet.

    8. "Standardvertragsklauseln" sind die Standardvertragsklauseln für die Übermittlung personenbezogener Daten von einem für die Datenverarbeitung Verantwortlichen im EWR an Auftragsverarbeiter in Drittländern gemäß der EU-Datenschutzrichtlinie 95/46/EG (die "Richtlinie") oder jeglicher Gesetzgebung, die die Richtlinie ersetzt, in der Form des Anhangs des Beschlusses 2010/87/EU der Europäischen Kommission (oder eines alternativen oder nachfolgenden Beschlusses, der neue Standardvertragsklauseln für Übermittlungen an Datenverarbeiter in Drittländern genehmigt), in der geänderten Fassung unter Einbeziehung der Beschreibung der zu übermittelnden personenbezogenen Daten in Anhang 1 zu dieser DSGVO und der technischen und organisatorischen Maßnahmen, die gemäß Anhang 2 zu dieser DSGVO umzusetzen sind. Die Standardvertragsklauseln sind auf der Website der Europäischen Kommission unter dem folgenden Link verfügbar: http://ec.europa.eu/justice/data-protection/international-transfers/files/clauses_for_personal_data_transfer_processors_c2010-593.doc.

  2. ANWENDBARKEIT; ROLLEN DER VERTRAGSPARTNER

    1. Diese DPA ändert und ergänzt die Vereinbarung(en) zwischen den Vertragspartnern. Die Bedingungen dieser DPA gelten für die gesamte Verarbeitung personenbezogener Daten in Bezug auf die gemäß den Bedingungen der Vereinbarung(en) erbrachten Dienstleistungen. Diese DPA gilt nicht für die Verarbeitung personenbezogener Daten, wenn diese Verarbeitung nicht durch die EU-Vorschriften geregelt ist.

    2. Großgeschriebene Begriffe, die in dieser DPA verwendet, aber nicht definiert werden, haben die Bedeutung, die ihnen in der/den Vereinbarung(en) oder den EU-Vorschriften zugewiesen wird. "Personenbezogene Daten" im Sinne dieser DPA sind alle Daten, die sich auf betroffene Personen im EWR und in der Schweiz beziehen und vom Dienstleister im Auftrag des Kunden im Rahmen der Vereinbarung(en) verarbeitet werden.

    3. Im Rahmen dieser DPA handelt der Kunde als Datenverantwortlicher und der Dienstleister als Datenverarbeiter in Bezug auf die Verarbeitung personenbezogener Daten.

    4. Der Dienstanbieter erbringt die Dienstleistungen und verarbeitet die vom Kunden erhaltenen personenbezogenen Daten so, wie es in der/den Vereinbarung(en) festgelegt ist oder wie es der Kunde dem Dienstanbieter während der Laufzeit der Vereinbarung(en) anderweitig schriftlich mitgeteilt hat. Für den Fall, dass eine vom Kunden erteilte Verarbeitungsanweisung nach Ansicht des Dienstanbieters gegen EU-Vorschriften verstoßen könnte, informiert der Dienstanbieter den Kunden unverzüglich, sobald er von einer solchen Verarbeitungsanweisung Kenntnis erhält.

    5. Der Dienstanbieter verpflichtet sich, die EU-Vorschriften jederzeit einzuhalten und seine Verpflichtungen im Rahmen der Vereinbarung(en) nicht in einer Weise zu erfüllen, die den Kunden dazu veranlasst, gegen seine geltenden Verpflichtungen im Rahmen der EU-Vorschriften und etwaiger bestehender Vorschriften der zuständigen Datenschutzbehörden zu verstoßen.

  3. DATENSCHUTZ

    1. Alle persönlichen Daten, die der Kunde dem Dienstleister zur Verfügung stellt oder die der Dienstleister im Rahmen seiner Arbeit mit dem Kunden erhält, sollten geschützt werden und dürfen ohne die schriftliche Genehmigung des Kunden nicht kopiert, offengelegt oder in irgendeiner Weise verarbeitet werden. Soweit die Bestimmungen der Vereinbarung(en) oder die Anweisungen des Kunden das Kopieren, die Offenlegung oder die Verarbeitung von Daten erfordern, gilt dies als die erforderliche Ermächtigung dazu.

    2. Der Dienstanbieter verpflichtet sich, von Zeit zu Zeit alle angemessenen Maßnahmen zu ergreifen, die der Kunde verlangt, um sicherzustellen, dass seine Verpflichtungen im Rahmen dieser DPA in Übereinstimmung mit allen anwendbaren Rechtsvorschriften zufriedenstellend erfüllt werden. Dies schließt alle Best-Practice-Richtlinien ein, die der Kunde dem Dienstleister mitteilt.

  4. VERARBEITUNG PERSONENBEZOGENER DATEN

    1. Wenn der Dienstanbieter personenbezogene Daten (unabhängig davon, ob sie in Form von physischen oder elektronischen Aufzeichnungen gespeichert sind) im Auftrag des Kunden verarbeitet, ist er verpflichtet:

      1. die personenbezogenen Daten nur in dem Umfang und auf die Art und Weise zu verarbeiten, die erforderlich ist, um seinen Verpflichtungen im Rahmen der Vereinbarung(en) nachzukommen, oder die gesetzlich vorgeschrieben ist, einschließlich der EU-Vorschriften und aller bestehenden Gesetze, Regeln oder Vorschriften, die von den zuständigen Datenschutzbehörden erlassen wurden;

      2. geeignete technische und organisatorische Maßnahmen zu ergreifen und die notwendigen Schritte zu unternehmen, um die personenbezogenen Daten vor unbefugter oder unrechtmäßiger Verarbeitung und vor versehentlichem Verlust, Zerstörung, Beschädigung, Änderung oder Offenlegung zu schützen, und auf Anfrage des Kunden unverzüglich Einzelheiten zu diesen Maßnahmen mitzuteilen; diese Sicherheitsmaßnahmen sind in Abschnitt 6 dieser DPA dargelegt; und

      3. auf Anfrage des Kunden unverzüglich Einzelheiten über die technischen und organisatorischen Systeme zur Verfügung stellen, die die Sicherheit der gespeicherten personenbezogenen Daten gewährleisten und den unbefugten Zugriff verhindern.

    2. Der Kunde erkennt an und erklärt sich damit einverstanden, dass (a) die verbundenen Unternehmen des Dienstanbieters als Unterauftragsverarbeiter eingesetzt werden können und (b) der Dienstanbieter bzw. die verbundenen Unternehmen des Dienstanbieters im Zusammenhang mit der Erbringung der Dienste dritte Unterauftragsverarbeiter einsetzen können. Der Dienstanbieter stellt sicher, dass jeder Dritte, den er mit der Verarbeitung von Daten beauftragt, einen schriftlichen Vertrag mit dem Dienstanbieter abgeschlossen hat, der ähnliche Bestimmungen wie diese DSGVO enthält, soweit sie auf die Art der von diesem Unterauftragsverarbeiter erbrachten Dienstleistungen zutreffen. Auf Anfrage des Kunden stellt der Dienstleister dem Kunden die aktuelle Liste der Unterauftragsverarbeiter mit dem Land ihres Sitzes zur Verfügung. Wenn der Dienstleister im Rahmen der Vereinbarung(en) Hosting-Dienste erbringt, erklärt sich der Kunde damit einverstanden und erkennt an, dass der Dienstleister die personenbezogenen Daten bei einem Drittanbieter von Rechenzentren hosten darf.

    3. Sofern nicht geltende Gesetze die Aufbewahrung solcher personenbezogenen Daten vorschreiben, erklärt sich der Dienstanbieter bereit, für den Fall, dass er vom Kunden benachrichtigt wird, dass er keine weiteren Dienstleistungen für den Kunden im Rahmen dieser DPA erbringen muss, dem Kunden eine Kopie aller Informationen (einschließlich personenbezogener Daten), die er im Zusammenhang mit dieser DPA besitzt, in einem vom Kunden gewählten Format zu übermitteln (vorausgesetzt, der Kunde übernimmt die damit verbundenen Kosten) und/oder auf Wunsch des Kunden alle diese Informationen mit einer sicheren Methode zu vernichten, die sicherstellt, dass kein Dritter auf sie zugreifen kann, und dem Kunden eine schriftliche Bestätigung der sicheren Entsorgung auszustellen.

    4. Alle Urheberrechte, Datenbankrechte und sonstigen geistigen Eigentumsrechte an personenbezogenen Daten, die im Rahmen dieser DPA verarbeitet werden (einschließlich, aber nicht beschränkt auf Aktualisierungen, Änderungen oder Anpassungen der personenbezogenen Daten durch den Kunden oder den Dienstleister), gehören dem Kunden. Der Dienstleister ist nur für die Dauer und in Übereinstimmung mit dieser DSGVO berechtigt, diese Daten zu nutzen.

  5. RECHTE DER BETROFFENEN PERSONEN

    1. Der Dienstanbieter benachrichtigt den Kunden, soweit gesetzlich zulässig, unverzüglich, wenn er eine Anfrage einer betroffenen Person erhält, um das Recht der betroffenen Person auf Auskunft, Berichtigung, Einschränkung der Verarbeitung, Löschung, Datenübertragbarkeit, Widerspruch gegen die Verarbeitung oder ihr Recht, keiner automatisierten Einzelentscheidung unterworfen zu werden, auszuüben (jeweils eine "Anfrage der betroffenen Person"). Unter Berücksichtigung der Art der Verarbeitung unterstützt der Dienstanbieter den Kunden durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist, bei der Erfüllung der Verpflichtung des Kunden, auf eine Anfrage der betroffenen Person gemäß Kapitel III der DSGVO zu reagieren. Außer in dem Umfang, in dem das geltende Recht dies vorschreibt, wird der Dienstanbieter ohne die vorherige schriftliche Zustimmung des Kunden nicht auf eine solche Anfrage antworten, es sei denn, er bestätigt, dass sich die Anfrage auf den Kunden bezieht.

    2. Soweit der Kunde bei der Nutzung der Dienste nicht in der Lage ist, eine Anfrage der betroffenen Person zu beantworten, wird der Dienstanbieter auf Anfrage des Kunden wirtschaftlich vertretbare Anstrengungen unternehmen, um den Kunden bei der Beantwortung einer solchen Anfrage der betroffenen Person zu unterstützen, soweit der Dienstanbieter rechtlich dazu befugt ist und sofern eine solche Anfrage der betroffenen Person nach den geltenden EU-Vorschriften erforderlich ist. Alle Kosten, die durch eine solche Unterstützung entstehen, sind vom Kunden zu tragen, soweit dies gesetzlich zulässig ist.

  6. SICHERHEIT

    1. Unter Berücksichtigung des Stands der Technik, der Kosten für die Umsetzung und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie der unterschiedlichen Wahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen stellt der Dienstleister sicher, dass er für alle personenbezogenen Daten, die er vom Kunden erhält oder im Namen des Kunden verarbeitet, Sicherheitsmaßnahmen ergreift, die dem folgenden Standard entsprechen (a) dem Schaden, der durch die unrechtmäßige oder unbefugte Verarbeitung oder den versehentlichen Verlust, die Beschädigung oder Zerstörung der personenbezogenen Daten entstehen könnte, und (b) der Art der personenbezogenen Daten.

    2. Der Dienstanbieter ist verpflichtet, in Bezug auf personenbezogene Daten geeignete technische und organisatorische Sicherheitsmaßnahmen zu ergreifen und aufrechtzuerhalten, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, gegebenenfalls einschließlich der in Artikel 32(1) der DSGVO genannten Maßnahmen, insbesondere im Zusammenhang mit möglichen Verletzungen des Schutzes personenbezogener Daten. Im Einzelnen verpflichtet sich der Dienstanbieter:

      1. über eine Sicherheitsrichtlinie zu verfügen und diese einzuhalten, die: (a) die Sicherheitsbedürfnisse auf der Grundlage einer regelmäßigen Datenschutz-Folgenabschätzung (Privacy Impact Assessment, "PIA") definiert; (b) die Verantwortung für die Umsetzung der Richtlinie einer bestimmten Person oder Mitgliedern eines Teams zuweist, einschließlich eines Datenschutzbeauftragten (Data Protection Officer, "DPO"); (c) 5.3.1.3 alle relevanten Mitglieder, Freiwilligen und Mitarbeiter/innen informiert; und (d) einen Mechanismus für Feedback und Überprüfung vorsieht;

      2. sicherzustellen, dass angemessene Sicherheitsvorkehrungen und ein Virenschutz vorhanden sind, um die Hard- und Software, die bei der Verarbeitung der personenbezogenen Daten verwendet wird, gemäß der besten Branchenpraxis zu schützen;

      3. den unbefugten Zugriff auf die persönlichen Daten zu verhindern;

      4. sicherzustellen, dass die Speicherung personenbezogener Daten den branchenüblichen Praktiken entspricht, sodass die Medien, auf denen personenbezogene Daten aufgezeichnet werden (einschließlich Aufzeichnungen in Papierform und elektronisch gespeicherte Aufzeichnungen), an sicheren Orten aufbewahrt werden und der Zugang von Mitarbeitern zu personenbezogenen Daten streng überwacht und kontrolliert wird;

      5. über sichere Methoden für die Übermittlung personenbezogener Daten innerhalb des Kundensupportportals zu verfügen (z. B. durch Verschlüsselung);

      6. die Computersysteme, auf denen personenbezogene Daten gespeichert sind, mit einem Passwort zu schützen und sicherzustellen, dass nur befugte Personen Einzelheiten zum Passwort erhalten;

      7. angemessene Maßnahmen ergreifen, um die Zuverlässigkeit aller Mitarbeiter, Beauftragten, Auftragnehmer oder anderer Personen, die Zugang zu den personenbezogenen Daten haben, zu gewährleisten, wobei in jedem Fall sichergestellt wird, dass der Zugang strikt auf die Personen beschränkt ist, die die betreffenden personenbezogenen Daten kennen oder darauf zugreifen müssen, soweit dies für die Zwecke der Vereinbarung(en) unbedingt erforderlich ist, und um die EU-Vorschriften im Zusammenhang mit den Pflichten dieser Person gegenüber dem Dienstleister einzuhalten;

      8. sicherzustellen, dass alle Mitarbeiter/innen, Vertreter/innen, Auftragnehmer/innen oder andere Personen, die Zugang zu den personenbezogenen Daten haben, über die Vertraulichkeit der personenbezogenen Daten informiert werden und die in dieser DSGVO festgelegten Verpflichtungen einhalten;

      9. sicherstellen, dass keiner der Mitarbeiter, Vertreter, Auftragnehmer oder sonstigen Personen, die Zugang zu den persönlichen Daten haben, diese veröffentlichen, offenlegen oder an Dritte weitergeben, es sei denn, der Kunde weist sie schriftlich dazu an;

      10. über Methoden zur Aufdeckung von und zum Umgang mit Sicherheitsverletzungen (einschließlich des Verlusts, der Beschädigung oder der Zerstörung personenbezogener Daten) zu verfügen, einschließlich: (a) der Möglichkeit, festzustellen, welche Personen mit bestimmten personenbezogenen Daten gearbeitet haben; und (b) über ein angemessenes Verfahren zur Untersuchung und Behebung von Verstößen gegen die in den EU-Vorschriften enthaltenen Datenschutzgrundsätze verfügen, einschließlich schriftlicher Aufzeichnungen

      11. über ein sicheres Verfahren zur Erstellung von Sicherungskopien und zur getrennten Aufbewahrung von Sicherungskopien und Originalen zu verfügen; und

      12. über eine sichere Methode zur Entsorgung unerwünschter personenbezogener Daten zu verfügen, einschließlich Sicherungskopien, Festplatten, Ausdrucke und redundanter Ausrüstung.

    3. Der Dienstleister stellt dem Kunden (auf schriftliche Anfrage und vorbehaltlich der Vertraulichkeitsverpflichtungen) relevante Unterlagen, wie z. B. einen Audit-Bericht, in Bezug auf Datenschutz-Folgenabschätzungen und vorherige Konsultationen mit Aufsichtsbehörden oder anderen zuständigen Datenschutzbehörden zur Verfügung, wenn der Kunde vernünftigerweise der Ansicht ist, dass solche Datenschutz-Folgenabschätzungen oder vorherige Konsultationen gemäß Artikel 35 oder 36 der DSGVO oder gemäß den entsprechenden Bestimmungen anderer EU-Vorschriften erforderlich sind, jedoch in jedem solchen Fall ausschließlich in Bezug auf die Verarbeitung personenbezogener Daten durch den Dienstleister und unter Berücksichtigung der Art der Verarbeitung und der dem Dienstleister zur Verfügung stehenden Informationen. Eine solche Prüfung wird auf Kosten des Kunden durchgeführt, soweit dies gesetzlich zulässig ist.

  7. VERWALTUNG UND BENACHRICHTIGUNG BEI SICHERHEITSVERLETZUNGEN

    1. Der Dienstanbieter benachrichtigt den Kunden und/oder die Aufsichtsbehörde in Übereinstimmung mit den EU-Vorschriften, sobald ein Verstoß (die "Verletzung des Schutzes personenbezogener Daten") in Bezug auf die personenbezogenen Daten eintritt, spätestens jedoch 48 Stunden nach der Entdeckung einer solchen Verletzung des Schutzes personenbezogener Daten. Die Benachrichtigung des Dienstanbieters über eine Verletzung des Schutzes personenbezogener Daten oder seine Reaktion darauf gemäß diesem Abschnitt 7.1 ist nicht als Anerkenntnis eines Fehlers oder einer Haftung des Dienstanbieters in Bezug auf die Verletzung des Schutzes personenbezogener Daten auszulegen.

    2. Der Dienstanbieter wird sich in angemessener Weise bemühen, die Ursache einer solchen Verletzung des Schutzes personenbezogener Daten zu ermitteln und wird unverzüglich und ohne unangemessene Verzögerung: (a) die Verletzung des Schutzes personenbezogener Daten untersuchen und dem Kunden Informationen über die Verletzung des Schutzes personenbezogener Daten zur Verfügung stellen, einschließlich, falls zutreffend, der Informationen, die ein Datenverarbeiter einem für die Verarbeitung Verantwortlichen gemäß Artikel 33(3) der DSGVO zur Verfügung stellen muss, soweit diese Informationen in angemessener Weise verfügbar sind; und (b) angemessene Schritte zu unternehmen, um die Auswirkungen der Verletzung des Schutzes personenbezogener Daten zu mildern und den daraus resultierenden Schaden zu minimieren, soweit die Abhilfemaßnahmen im Rahmen der zumutbaren Kontrolle des Dienstanbieters liegen. Die hierin enthaltenen Verpflichtungen gelten nicht für Verletzungen, die durch den Kunden oder autorisierte Nutzer verursacht werden. Die Benachrichtigung des Kunden erfolgt gemäß Abschnitt 7.3 unten.

    3. Benachrichtigungen über Verletzungen des Schutzes personenbezogener Daten werden gegebenenfalls an einen oder mehrere geschäftliche, technische oder administrative Kontakte des Kunden auf jede vom Dienstanbieter gewählte Weise, einschließlich per E-Mail, übermittelt. Es liegt in der alleinigen Verantwortung des Kunden, dafür zu sorgen, dass seine Kontaktinformationen in den Supportsystemen des Dienstanbieters stets korrekt sind.

  8. VERPFLICHTUNGEN DES AUFTRAGGEBERS

    Der Auftraggeber ist allein verantwortlich für:

    1. Die Einhaltung der EU-Vorschriften zu jeder Zeit in Bezug auf die Verarbeitung personenbezogener Daten in Verbindung mit dem Vertrag/den Verträgen und den Diensten;

    2. Sicherstellen, dass die Verarbeitung der persönlichen Daten durch den Dienstleister rechtmäßig ist;

    3. Gegebenenfalls Sicherstellung, dass von jeder natürlichen und juristischen Person (insbesondere von Verbrauchern, Geschäftskunden und/oder Mitarbeitern und Auftragnehmern des Kunden), auf die sich die personenbezogenen Daten beziehen, rechtsverbindliche Einwilligungen in die Erhebung, den Zugriff, die Nutzung, die Pflege und/oder die Weitergabe der personenbezogenen Daten in Übereinstimmung mit den EU-Vorschriften und den Richtlinien und Verfahren des Kunden eingeholt wurden;

    4. Die Unbrauchbarmachung, Unlesbarkeit oder Unentzifferbarkeit von personenbezogenen Daten auf seinen Systemen für Unbefugte in Übereinstimmung mit Branchenstandards, geltendem Recht und relevanten Verhaltenskodizes;

    5. Festlegung der anwendbaren Sicherheitsvorkehrungen für die Informationssicherheit und der damit verbundenen Richtlinien zum Schutz personenbezogener Daten in seinen Einrichtungen. Der Kunde muss dem Dienstleister die entsprechenden Schutzmaßnahmen und Richtlinien mit angemessener Vorankündigung und in schriftlicher Form mitteilen, wenn der Dienstleister Dienstleistungen in einer Einrichtung des Kunden erbringt oder auf die Systeme des Kunden zugreift;

    6. Unverzügliche Unterrichtung des Dienstleisters über alle Richtlinien, die er im Hinblick auf die Verarbeitung und den Schutz personenbezogener Daten einführt, mit ausdrücklichen Anweisungen, wie diese Richtlinien vom Dienstleister umgesetzt werden sollen;

    7. Unverzügliche Unterrichtung des Dienstanbieters über jeden Antrag auf Löschung der personenbezogenen Daten der betroffenen Person mit detaillierten Anweisungen, wie der Dienstanbieter den Antrag bearbeiten soll; und

    8. Übermittlung der nachstehend aufgeführten Informationen an den Dienstanbieter und ggf. unverzügliche Aktualisierung dieser Informationen (sofern zutreffend): (a) Identität und Kontaktinformationen des Datenschutzbeauftragten des Kunden; (b) Identität und Kontaktinformationen des EU-Vertreters des Kunden; (c) Beschreibung der Kategorien von Verarbeitungen, die der Kunde in Bezug auf die Dienste vornimmt; (d) Arten von personenbezogenen Daten, die verarbeitet werden sollen; und (e) Kategorien von betroffenen Personen, auf die sich die personenbezogenen Daten beziehen.

  9. INTERNATIONALE DATENÜBERTRAGUNGEN

    1. Der Dienstanbieter wird personenbezogene Daten nur in Übereinstimmung mit den EU-Vorschriften außerhalb des EWR übertragen, wo solche Übertragungen durch die EU-Vorschriften geregelt sind. Der Kunde ermächtigt den Dienstanbieter (und ermächtigt den Dienstanbieter, seine Unterauftragsverarbeiter zu ermächtigen), personenbezogene Daten zu verarbeiten und personenbezogene Daten in die Länder oder Gebiete zu übertragen, in denen diese Unterauftragsverarbeiter ansässig sind, in Übereinstimmung mit der/den Vereinbarung(en) und dieser DPA.

    2. Übertragungen gemäß den Standardvertragsklauseln

      1. Die Standardvertragsklauseln gelten für personenbezogene Daten, die aus dem EWR entweder direkt oder im Wege der Weiterübermittlung in ein Land oder einen Empfänger übermittelt werden, (i) das/die von der Europäischen Kommission nicht als Land anerkannt ist/sind, das ein angemessenes Schutzniveau für personenbezogene Daten bietet (wie in der EU-Datenschutzrichtlinie und ihren Nachfolgegesetzen beschrieben), und (ii) das/die nicht von einem geeigneten Rahmenwerk abgedeckt ist/sind, das von den zuständigen Behörden oder Gerichten als Land anerkannt ist, das ein angemessenes Schutzniveau für personenbezogene Daten bietet, einschließlich aber nicht beschränkt auf das EU-U.S. Privacy Shield Framework.

      2. Wenn die Standardvertragsklauseln in Übereinstimmung mit Abschnitt 9.2.1 gelten:

      3. Der Dienstanbieter verpflichtet sich, die Bedingungen der Standardvertragsklauseln einzuhalten, für deren Zwecke der Kunde und seine im EWR ansässigen verbundenen Unternehmen als Datenexporteur(e) und der Dienstanbieter als Datenimporteur betrachtet werden;

        1. ist das in Klausel 9 der Standardvertragsklauseln genannte Recht das Recht des Datenexporteurs;

        2. Wenn die Gesetze oder Regulierungsverfahren einer Rechtsordnung dies erfordern, werden die Vertragspartner oder der Dienstleister und eines oder mehrere seiner im EWR ansässigen verbundenen Unternehmen die Standardvertragsklauseln als separate Dokumente, in denen die vorgeschlagenen Übermittlungen personenbezogener Daten aufgeführt sind, in der erforderlichen Weise ausfertigen oder erneut ausfertigen;

        3. im Falle von Widersprüchen zwischen den Bestimmungen der Standardvertragsklauseln und dieser DPA, dem Vertrag oder anderen Vereinbarungen zwischen den Vertragspartnern in Bezug auf die Dienstleistungen haben die Standardvertragsklauseln Vorrang;

        4. für den Fall, dass die Standardvertragsklauseln von der Europäischen Kommission oder gemäß den EU-Vorschriften geändert, ersetzt oder aufgehoben werden, arbeiten die Vertragspartner nach Treu und Glauben zusammen, um eine aktualisierte Version der Standardvertragsklauseln zu vereinbaren oder nach Treu und Glauben eine Lösung auszuhandeln, die eine Übermittlung personenbezogener Daten in Übereinstimmung mit den EU-Vorschriften ermöglicht; und

        5. vereinbaren die Vertragspartner, dass die in Klausel 12(1) der Standardvertragsklauseln beschriebene Bescheinigung über die Löschung personenbezogener Daten vom Datenimporteur dem Datenexporteur nur auf dessen Anfrage hin zur Verfügung gestellt wird.

    3. Übertragungen gemäß dem Privacy Shield

      1. In Bezug auf personenbezogene Daten, die vom Kunden gemäß dem EU-US- oder Schweiz-US-Datenschutzschild-Rahmenwerk an den Dienstanbieter übermittelt werden, darf der Dienstanbieter diese personenbezogenen Daten nur in strikter Übereinstimmung mit den Grundsätzen und ergänzenden Grundsätzen des EU-US- oder Schweiz-US-Datenschutzschilds verarbeiten.

  10. ALLGEMEINE BEDINGUNGEN

    1. Die Gesamthaftung jeder Vertragspartner und aller ihrer verbundenen Unternehmen, die sich aus oder im Zusammenhang mit dieser DPA ergibt, sei es aufgrund eines Vertrags, einer unerlaubten Handlung oder einer anderen Haftungstheorie, unterliegt dem Abschnitt über die Haftungsbeschränkung der Vereinbarung(en), und jede Bezugnahme in diesem Abschnitt auf die Haftung einer Partei bedeutet die Gesamthaftung dieser Partei und aller ihrer verbundenen Unternehmen im Rahmen der Vereinbarung(en) und dieser DPA.

    2. Änderungen, Ergänzungen oder Modifikationen dieser DPA sind nur dann gültig, wenn sie schriftlich erfolgen und von einem bevollmächtigten Vertreter beider Vertragspartner unterzeichnet werden.

    3. Jede Unklarheit in den Bedingungen dieser DPA wird so gelöst, dass der Dienstleister oder der Kunde die geltenden Gesetze einhalten kann.

    4. Diese DPA ist die gesamte und vollständige Vereinbarung zwischen den Vertragspartnern in Bezug auf den Datenschutz und die Sicherheit personenbezogener Daten und ersetzt alle anderen Vereinbarungen, Zusicherungen oder Absprachen, ob mündlich oder schriftlich. Alle Klauseln der Vereinbarung(en), die nicht ausdrücklich durch die Klauseln dieser DPA geändert oder ergänzt werden, und solange dies nicht im Widerspruch zu zwingenden Anforderungen der EU-Vorschriften steht, bleiben im Rahmen dieser DPA in vollem Umfang in Kraft und gelten, einschließlich, aber nicht beschränkt auf: Anwendbares Recht und Streitbeilegung, Gerichtsstand, Haftungsbeschränkung (im größtmöglichen Umfang, den die EU-Vorschriften zulassen).

    5. Sollte eine Bestimmung dieser DPA nach geltendem Recht ungültig oder nicht durchsetzbar sein, so gilt die ungültige oder nicht durchsetzbare Bestimmung als durch eine gültige, durchsetzbare Bestimmung ersetzt, die der Absicht der ursprünglichen Bestimmung am nächsten kommt, und der Rest der DPA bleibt in Kraft.

    6. Stellt der Dienstleister fest, dass er seinen Verpflichtungen gemäß dieser DSGVO nicht mehr nachkommen kann, informiert er den Kunden unverzüglich über diese Feststellung und stellt die Verarbeitung ein oder unternimmt andere angemessene und geeignete Schritte, um Abhilfe zu schaffen.

    7. Mitteilungen, die im Rahmen dieser DPA erforderlich sind, sind gemäß der Vereinbarung(en) mit einer Kopie (die nicht als Mitteilung per E-Mail gilt) zu senden an: privacy@gfi.com.

 

Der Zweck der Verarbeitung personenbezogener Daten durch den Datenimporteur ist die Erbringung der Dienstleistungen gemäß der Vereinbarung(en) zwischen dem Datenexporteur und dem Datenimporteur.

 

ANHANG 2 ZU DEN STANDARDVERTRAGSKLAUSELN

Dieser Anhang ist Teil der Standardvertragsklauseln und muss von den Parteien ausgefüllt und unterzeichnet werden.

Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, die der Datenimporteur gemäß Klausel 4(d) und 5(c) umgesetzt hat (oder beigefügtes Dokument/Gesetzgebung):

Der Datenimporteur wird angemessene administrative, physische, verwaltungstechnische und technische Sicherheitsvorkehrungen zum Schutz der Sicherheit, Vertraulichkeit und Integrität personenbezogener Daten in Bezug auf die Dienstleistungen in Übereinstimmung mit den geltenden rechtlichen Anforderungen und wie in Abschnitt 6 dieser DPA des Datenimporteurs dargelegt und wie anderweitig von den Parteien schriftlich vereinbart, umsetzen. Der Datenimporteur wird die Gesamtsicherheit der Dienstleistungen während der Laufzeit der Vereinbarung(en) nicht wesentlich verringern.

 

ANHANG 1 ZU DEN STANDARDVERTRAGSKLAUSELN

Dieser Anhang ist Teil der Standardvertragsklauseln und muss von den Vertragspartnern ausgefüllt und unterzeichnet werden.

Die Mitgliedstaaten können gemäß ihren nationalen Verfahren alle zusätzlichen Informationen, die in diesem Anhang enthalten sein müssen, ergänzen oder angeben.

Datenexporteur

Der Datenexporteur ist (bitte geben Sie kurz Ihre für die Übermittlung relevanten Aktivitäten an):

Der Datenexporteur ist die juristische Person, die die Vereinbarung(en) mit dem Datenimporteur abgeschlossen hat.

Datenimporteur

Der Datenimporteur ist (bitte geben Sie kurz die für die Übertragung relevanten Aktivitäten an):

Der Datenimporteur ist die juristische Person, die die Vereinbarung(en) mit dem Datenexporteur abgeschlossen hat und die personenbezogene Daten auf Anweisung des Datenexporteurs gemäß den Bedingungen der Vereinbarung(en) verarbeitet.

Betroffene Personen

Die übermittelten personenbezogenen Daten betreffen die folgenden Kategorien von betroffenen Personen (bitte angeben):

Zu den Kategorien der betroffenen Personen, die vom Datenexporteur bestimmt werden, können Kundenvertreter und (End-)Nutzer gehören, wie z. B. Mitarbeiter, Bewerber, Auftragnehmer, Mitarbeiter, Partner, Lieferanten und Kunden des Kunden.

Datenkategorien

Die übermittelten personenbezogenen Daten betreffen die folgenden Datenkategorien (bitte angeben):

Zu den Kategorien personenbezogener Daten, die vom Datenexporteur festgelegt werden, können unter anderem persönliche Kontaktinformationen wie Name, Adresse, Telefon- oder Handynummer, Faxnummer, E-Mail-Adresse und Passwörter, Angaben zum Beschäftigungsverhältnis einschließlich Name des Arbeitgebers, Berufsbezeichnung und Funktion sowie geschäftliche Kontaktinformationen gehören.

Besondere Datenkategorien (falls zutreffend):

Die übermittelten personenbezogenen Daten betreffen die folgenden besonderen Kategorien von Daten (bitte angeben):

Keine.

Zweck der Übermittlung/Verarbeitung

Die übermittelten personenbezogenen Daten werden den folgenden grundlegenden Verarbeitungsaktivitäten unterzogen (bitte angeben):