EU KOMMISSION STANDARD CONTRACTUAL KLAUSES (EU SCC) UND UK ADDENDUM

Diese Allgemeinen Vertragsklauseln und das britische Addendum (zusammen “SCCs“) gelten für die Übermittlung personenbezogener Daten, die unter Regulation (EU) 2016/679 (“DPR”), die UK DPR, oder das Bundesgesetz zum Datenschutzvom Europäischen Wirtschaftsraum, das Vereinigte Königreich oder die Schweiz in ein Land, das keiner Angemessenheitsentscheidung der zuständigen Behörde unterliegt.

‍

Die SCC gelten für solche Übertragungen im Zusammenhang mit der Nutzung unserer Software, Dienstleistungen, Website oder andere Interaktionen mit uns, und wenn kein anderer gültiger Transfermechanismus verfügbar ist.

‍

Die SCC gelten automatisch, soweit dies erforderlich ist, um angemessene Sicherheiten für die entsprechende Übertragung zu bieten, und werden durch Verweis in die rechtlichen Bedingungen für das anwendbare Verhältnis oder die Interaktion aufgenommen.

‍

Festlegung von Rollen

‍

Für die Zwecke der SCCs:

‍

Jede Partei agiert als Kontrolle, wo sie die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt.
Jede Partei agiert als Prozessor, in dem sie personenbezogene Daten auf dokumentierten Anweisungen einer anderen Partei verarbeitet.

‍

Das Modul der SCCs wird durch die jeweiligen Rollen der Parteien hinsichtlich der jeweiligen Verarbeitungsaktivität bestimmt, die zu der entsprechenden Übertragung führt.

‍

Wo wir personenbezogene Daten im Auftrag eines Geschäftskunden verarbeiten, agiert der Geschäftskunde als Datenexporteur und -kontrolleur, und wir handeln als Datenimporteur und Prozessor, und die Übertragung wird durch Modul 2 geregelt.

Wenn beide Parteien unabhängig die Zwecke und die Art der Verarbeitung bestimmen, fungiert jeder als Kontrolleur und die Übertragung durch Modul 1.

‍

Verwendbare Module

‍

Abhängig von der Art der Beziehung und den entsprechenden Verarbeitungstätigkeiten können die Weitergabe personenbezogener Daten geregelt werden:

Modul 1: Controller zum Controlleroder
Modul 2: Controller für Prozessor,

der Standardvertragsklauseln der Europäischen Kommission, die gemäß dem Durchführungsbeschluss der Kommission (EU) 2021/914 angenommen wurden.

‍

Das anzuwendende Modul gilt nur soweit erforderlich, um die entsprechende Übertragung zu legitimieren, wie durch die Rollen der Parteien und die Umstände der Verarbeitung bestimmt.

‍

MODULE 1: CONTROLLER-TO-CONTROLLER

‍

ABSCHNITT I

Satz 1

Zweck und Umfang

‍

(a)Zweck dieser Standardvertragsklauseln ist es, die Einhaltung der Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und den freien Verkehr solcher Daten (Allgemeine Datenschutzverordnung) (1) für die Übermittlung personenbezogener Daten an Drittländer sicherzustellen.

‍

(b)Die Parteien:

(i)die natürliche oder juristische Person(en), öffentliche Behörden/ien, Agentur/ies oder andere Körper/ies (nachfolgend „Entity/ies“) die die personenbezogenen Daten übermitteln wie in Anhang I A aufgeführt (im Folgenden „Datenexportierer“), und

(ii)die Einheit/ies in einem Drittland, die die personenbezogenen Daten vom Datenexporteur erhalten direkt oder indirekt über eine andere Stelle zu diesen Klauseln, wie sie in Anhang I A aufgelistet sind (im Folgenden „Datenimportierer“)

diesen vertraglichen Standardklauseln zugestimmt haben (im Folgenden „Klausel“).

‍

(c)Diese Bestimmungen gelten für die Übermittlung personenbezogener Daten, wie sie in Anhang I B festgelegt sind.

‍

(d)Der Anhang zu diesen Klauseln, die die genannten Anhänge enthalten, ist ein integraler Bestandteil dieser Klauseln.

‍

Satz 2

Effekt und Unauslöschbarkeit der Klauseln

‍

(a)Diese Klauseln enthalten angemessene Schutzmaßnahmen, einschließlich durchsetzbarer Rechte des Betroffenen und wirksamer Rechtsmittel. gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 und im Hinblick auf die Datenübertragung von Kontrolleuren an Verarbeiter und/oder Verarbeiter vertragliche Standardklauseln gemäß Artikel 28(7) der Verordnung (EU) 2016/679, sofern sie nicht geändert werden ausgenommen um das entsprechende Modul(e) auszuwählen oder Informationen im Anhang hinzuzufügen oder zu aktualisieren. Dies hindert die Vertragsparteien nicht daran, die in diesen Klauseln festgelegten vertraglichen Standardklauseln in einen größeren Vertrag einzubeziehen und/oder andere Klauseln oder zusätzliche Schutzklauseln hinzuzufügen. unter der Voraussetzung, dass sie nicht direkt oder indirekt im Widerspruch zu diesen Klauseln oder Beeinträchtigungen der Grundrechte oder Freiheiten von Datengegenständen stehen.

‍

b)Diese Klauseln sind unbeschadet von Verpflichtungen, denen der Datenexporteur gemäß der Verordnung (EU) 2016/679 unterliegt.

‍

Satz 3

Drittbegünstigte

‍

(a)Die Betroffenen können diese Klauseln als Drittbegünstigte gegen den Datenexporteur und/oder Datenimporteur mit den folgenden Ausnahmen geltend machen und durchsetzen:

‍

(i)Satz 1, Satz 2, Satz 3, Satz 6, Satz 7;

‍

(ii)Klausel 8.5 (e) und Klausel 8.9(b);

‍

(ii)N/A

‍

(iv)Satz 12(a) und (d);

‍

(v)Satz 13;

‍

(vi)Paragraf 15.1(c), (d) und (e);

‍

(vii)Satz 16(e);

‍

(vii)Klausel 18(a) und (b).

‍

(b) Ziffera schadet den Rechten von Datengegenständen der Verordnung (EU) 2016/679.

‍

Satz 4

Interpretationen

‍

(a)Wenn diese Klauseln Begriffe verwenden, die in der Verordnung (EU) 2016/679 definiert sind, haben diese Bedingungen dieselbe Bedeutung wie in dieser Verordnung.

‍

(b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 zu lesen und zu interpretieren.

‍

c) Diese Klauseln dürfen nicht in einer Weise interpretiert werden, die mit den Rechten und Pflichten der Verordnung (EU) 2016/679 kollidiert.

‍

Satz 5

Hierarchy

‍

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen verwandter Abkommen zwischen den Vertragsparteien Bestehen zum Zeitpunkt der Vereinbarung oder anschließender Einfügung dieser Bestimmungen, gelten diese Bestimmungen.

‍

Satz 6

Beschreibung der Überweisung(en)

‍

Die Details der Übertragung(en), und insbesondere die Kategorien der übertragenen personenbezogenen Daten und die Zwecke, für die sie übertragen werden, werden in Anhang I.B spezifiziert.

‍

Satz 7

Optionale Docking-Klausel

‍

NICHT BENUTZT

‍

ABSCHNITT II – EINGESCHLOSSUNGEN DER PARTIES

‍

Satz 8

Datenschutzgarantien

‍

Der Datenexporteur garantiert, dass er angemessene Anstrengungen unternommen hat, um festzustellen, ob der Datenimporteur in der Lage ist durch die Durchführung geeigneter technischer und organisatorischer Maßnahmen zur Erfüllung ihrer Verpflichtungen gemäß diesen Klauseln.

‍

8.1 Zweckbegrenzung

‍

Der Datenimporteur wird die personenbezogenen Daten nur zu den spezifischen Zwecken der Übertragung gemäß Anhang I.B verarbeiten. Die Verarbeitung personenbezogener Daten darf nur zu einem anderen Zweck erfolgen:

‍

(i)wenn sie die vorherige Zustimmung des Betroffenen erhalten hat;

‍

(ii)gegebenenfalls für die Erstellung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen spezifischer Verwaltungs-, Regulierungs- oder Gerichtsverfahren oder

‍

(iii) gegebenenfalls zum Schutz der vitalen Interessen des Betroffenen oder einer anderen natürlichen Person.

‍

8.2 Transparenz

‍

(a) Um es den Betroffenen zu ermöglichen, ihre Rechte gemäß Ziffer 10 wirksam wahrzunehmen. der Datenimporteur soll sie entweder direkt oder über den Datenexporteur informieren:

‍

(i)seiner Identität und Kontaktdetails;

‍

(ii)der Kategorien der verarbeiteten personenbezogenen Daten;

‍

(iii) des Rechts, eine Kopie dieser Klauseln zu erhalten;

‍

(iv)wenn sie beabsichtigt, die personenbezogenen Daten an Dritte weiterzugeben. des Empfängers oder der Kategorien von Empfängern (entsprechend im Hinblick auf die Bereitstellung sinnvoller Informationen), der Zweck einer solchen Weiterübertragung und des Bodens gemäß Ziffer 8.7.

‍

(b)Absatz (a) gilt nicht, wenn der Betroffene bereits über die Informationen verfügt, auch wenn diese Informationen bereits vom Datenexporteur zur Verfügung gestellt wurden. oder die Bereitstellung der Informationen sich als unmöglich erweist oder würde einen unverhältnismäßigen Aufwand für den Datenimporteur bedeuten. Im letzteren Fall stellt der Datenimporteur die Informationen soweit wie möglich öffentlich zur Verfügung.

‍

(c)Auf Verlangen werden die Vertragsparteien eine Kopie dieser Klauseln anfertigen, einschließlich des von ihnen vervollständigten Anhangs, der dem Betroffenen kostenlos zur Verfügung steht. Soweit notwendig zum Schutz des Geschäftsgeheimnisses oder anderer vertraulicher Informationen einschließlich personenbezogener Daten können die Vertragsparteien einen Teil des Textes des Anhangs vor der Weitergabe einer Kopie wiedergeben, jedoch eine aussagekräftige Zusammenfassung liefert, wenn der Betroffene sonst nicht in der Lage wäre, seinen Inhalt zu verstehen oder seine Rechte auszuüben. Die Vertragsparteien werden dem Betroffenen auf Verlangen die Gründe für die Wiedergutmachung zur Verfügung stellen, soweit dies möglich ist, ohne die berichtigten Informationen preiszugeben.

‍

(d)Absätze a) bis c) sind unbeschadet der Verpflichtungen des Datenexporteurs gemäß Artikel 13 und 14 der Verordnung (EU) 2016/679.

‍

8.3 Genauigkeit und Datenminimierung

‍

(a)Jede Partei sorgt dafür, dass die personenbezogenen Daten korrekt sind und gegebenenfalls auf dem neuesten Stand gehalten werden. Der Datenimporteur unternimmt alle zumutbaren Schritte, um zu gewährleisten, dass personenbezogene Daten ungenau sind, unter Berücksichtigung des Verarbeitungszwecks, wird unverzüglich gelöscht oder korrigiert.

‍

(b)Wenn einer der Vertragsparteien erkennt, dass die von ihr übermittelten oder erhaltenen persönlichen Daten nicht korrekt sind, oder überholt ist, wird sie die andere Partei unverzüglich benachrichtigen.

‍

(c)Der Datenimporteur sorgt dafür, dass die personenbezogenen Daten ausreichend sind, relevant und beschränkt auf das, was in Bezug auf den Zweck (n) der Verarbeitung.

‍

8.4 Speicherbeschränkung

‍

Der Datenimporteur behält die personenbezogenen Daten nicht länger als notwendig für den Zweck, für den sie verarbeitet werden. Sie hat geeignete technische oder organisatorische Maßnahmen zu ergreifen, um die Einhaltung dieser Verpflichtung zu gewährleisten, einschließlich Löschung oder Anonymisierung (2) der Daten und aller Sicherungen am Ende der Speicherzeit.

‍

8.5 Sicherheit der Verarbeitung

‍

(a)Der Datenimporteur und während der Übertragung auch der Datenexporteur setzen geeignete technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der personenbezogenen Daten um. einschließlich Schutz vor einer Verletzung der Sicherheit, die zu zufälliger oder rechtswidriger Zerstörung, Verlust, Änderung, unberechtigter Offenlegung oder Zugriff führt (nachfolgend „Verletzung personenbezogener Daten“). Bei der Beurteilung des angemessenen Sicherheitsniveaus berücksichtigen sie den Stand der Technik, die Umsetzungskosten, die Art, den Umfang, den Kontext und die Zweck(e) der Verarbeitung und die mit der Verarbeitung des Datengegenstandes verbundenen Risiken. Die Vertragsparteien erwägen insbesondere den Einsatz von Verschlüsselung oder Pseudonymisierung, auch während der Übertragung, wo der Zweck der Verarbeitung auf diese Weise erfüllt werden kann.

‍

(b) Die Vertragsparteien haben sich auf die technischen und organisatorischen Maßnahmen nach Anhang II geeinigt. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Maß an Sicherheit bieten.

‍

(c)Der Datenimporteur stellt sicher, dass Personen, die zur Verarbeitung der personenbezogenen Daten befugt sind, sich zur Vertraulichkeit verpflichtet haben oder unter einer angemessenen gesetzlichen Vertraulichkeitspflicht stehen.

‍

(d)Im Falle einer Verletzung personenbezogener Daten, die vom Datenimporteur gemäß diesen Klauseln verarbeitet wird, Der Datenimporteur hat geeignete Maßnahmen zu ergreifen, um den Verstoß gegen personenbezogene Daten zu bekämpfen, einschließlich Maßnahmen zur Abmilderung möglicher nachteiliger Auswirkungen.

‍

(e)Im Falle einer Verletzung personenbezogener Daten, die zu einer Gefahr für die Rechte und Freiheiten natürlicher Personen führen könnte. Der Datenimporteur hat den Datenexporteur und die zuständige Aufsichtsbehörde gemäß Ziffer 13 unverzüglich zu benachrichtigen. Diese Mitteilung muss i) eine Beschreibung der Art des Verstoßes enthalten (einschließlich, wenn möglich Kategorien und ungefähre Anzahl der betroffenen Datengegenstände und personenbezogener Datensätze), ii) seine wahrscheinlichen Folgen, iii) die ergriffenen oder vorgeschlagenen Maßnahmen zur Bekämpfung des Verstoßes, und iv) die Details einer Kontaktstelle, von der weitere Informationen abgerufen werden können. Soweit es nicht möglich ist, dass der Datenimporteur alle Informationen gleichzeitig zur Verfügung stellt sie kann dies in Phasen ohne unnötige weitere Verzögerung tun.

‍

f)Im Falle einer Verletzung personenbezogener Daten, die zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führen könnte. der Datenimporteur hat auch die betroffene Person der Verletzung personenbezogener Daten und ihrer Natur unverzüglich zu benachrichtigen. bei Bedarf in Zusammenarbeit mit dem Datenexporteur, zusammen mit den in Absatz (e) genannten Informationen, Punkten ii) zu iv), es sei denn, der Datenimporteur hat Maßnahmen ergriffen, um das Risiko für die Rechte oder Freiheiten natürlicher Personen deutlich zu verringern. oder eine Mitteilung würde unverhältnismäßige Anstrengungen beinhalten. Im letzteren Fall Der Datenimporteur wird stattdessen eine öffentliche Mitteilung ausstellen oder eine ähnliche Maßnahme ergreifen, um die Öffentlichkeit über die Verletzung personenbezogener Daten zu informieren.

‍

(g)Der Datenimporteur dokumentiert alle relevanten Fakten im Zusammenhang mit der Verletzung personenbezogener Daten, einschließlich seiner Auswirkungen und jeder Abhilfemaßnahmen ergriffen, und führen Sie eine Aufzeichnung.

‍

8.6 Sensitive Daten

‍

Soweit es sich um personenbezogene Daten zur Aufdeckung rassischer oder ethnischer Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen handelt, oder Gewerkschaftsmitgliedschaft, genetische Daten oder biometrische Daten zum Zwecke der eindeutigen Identifizierung einer natürlichen Person Daten über die Gesundheit oder das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen oder Straftaten (nachfolgend „sensible Daten“), Der Datenimporteur hat besondere Beschränkungen und/oder zusätzliche Sicherheitsmaßnahmen anzuwenden, die der Spezifik der Daten und den damit verbundenen Risiken angepasst sind. Dies kann die Einschränkung des Personals beinhalten, das den Zugriff auf die persönlichen Daten erlaubt ist zusätzliche Sicherheitsmaßnahmen (wie Pseudonymisation) und/oder zusätzliche Einschränkungen bei der weiteren Offenlegung.

‍

8.7 Weitergehende Übertragungen

‍

Der Datenimporteur darf die personenbezogenen Daten nicht an Dritte außerhalb der Europäischen Union (3) weitergeben (im selben Land wie der Datenimporteur oder in einem anderen Drittland. nachfolgend „Weiterübertragung“), es sei denn, der Dritte ist an diese Klauseln gebunden oder erklärt sich damit einverstanden, im Rahmen des entsprechenden Moduls gebunden zu sein. Andernfalls kann eine Weiterübertragung durch den Datenimporteur nur erfolgen, wenn:

‍

(i)Es geht um ein Land, das von einer Angemessenheitsentscheidung gemäß Artikel 45 der Verordnung (EU) 2016/679 profitiert, die die Weiterübertragung abdeckt;

‍

(ii)Der Dritte gewährleistet anderweitig angemessene Sicherheiten gemäß Artikel 46 oder 47 der Verordnung (EU) 2016/679 hinsichtlich der fraglichen Verarbeitung;

‍

(iii) Der Dritte tritt ein verbindliches Instrument ein, bei dem der Datenimporteur das gleiche Datenschutzniveau wie diese Klauseln sicherstellt. und der Datenimporteur stellt dem Datenexporteur eine Kopie dieser Sicherheitsvorkehrungen zur Verfügung;

‍

(iv)Es ist für die Aufstellung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen spezifischer Verwaltungs-, Regelungs- oder Gerichtsverfahren erforderlich;

‍

(v)Sie ist notwendig, um die vitalen Interessen des Betroffenen oder einer anderen natürlichen Person zu schützen; oder

‍

(vi)Wo keine der anderen Bedingungen gilt, der Datenimporteur hat die ausdrückliche Zustimmung des Betroffenen für eine Weitergabe in einer bestimmten Situation erhalten nachdem er ihn über seine Zwecke(n), informiert hat die Identität des Empfängers und die möglichen Risiken einer solchen Übertragung an ihn/sie aufgrund fehlender angemessener Datenschutzgarantien zu überlassen. In diesem Fall informiert der Datenimporteur den Datenexporteur und auf Verlangen des Datenexporteurs übermitteln ihm eine Kopie der Informationen, die dem Betroffenen zur Verfügung gestellt werden.

‍

Jede Weitergabe unterliegt der Einhaltung aller anderen Schutzklauseln, insbesondere der Zweckbeschränkung, durch den Datenimporteur.

‍

8.8 Verarbeitung unter der Autorität des Datenimporteurs

‍

Der Datenimporteur stellt sicher, dass jede im Rahmen seiner Befugnis handelnde Person, einschließlich eines Verarbeiters, die Daten nur auf deren Anweisung verarbeitet.

‍

8.9 Dokumentation und Compliance

‍

(a) Jede Partei kann nachweisen, dass sie ihren Verpflichtungen gemäß diesen Bestimmungen nachkommt. Insbesondere hat der Datenimporteur die in seiner Verantwortung ausgeführten Verarbeitungstätigkeiten entsprechend zu dokumentieren.

‍

(b)Der Datenimporteur stellt der zuständigen Aufsichtsbehörde diese Unterlagen auf Verlangen zur Verfügung.

‍

Satz 9

Verwendung von Unterprozessoren

‍

Nicht zutreffend

‍

Satz 10

Daten-Betreff Rechte

‍

(a)Datenimporteur, falls relevant, mit Unterstützung des Datenexporteurs befaßt sich unverzüglich und spätestens innerhalb eines Monats nach Eingang der Anfrage oder Anfrage mit Anfragen und Anfragen von einem Betreffenden der Verarbeitung seiner persönlichen Daten und der Ausübung seiner Rechte gemäß diesen Bestimmungen. (4) Der Datenimporteur wird geeignete Maßnahmen ergreifen, um solche Anfragen, Anfragen und die Ausübung der Rechte des Betroffenen zu erleichtern. Alle Informationen, die dem Betroffenen zur Verfügung gestellt werden, sind in verständlicher und leicht zugänglicher Form in klarer und klarer Sprache.

‍

(b)Insbesondere ist der Datenimporteur auf Verlangen der betroffenen Daten kostenlos:

‍

(i)die Bestätigung an den Betreffenden darüber, ob personenbezogene Daten verarbeitet werden und wenn dies der Fall ist, eine Kopie der ihn betreffenden Daten und der Informationen in Anhang I; wenn persönliche Daten übertragen wurden oder weitergeleitet werden, Informationen über Empfänger oder Kategorien von Empfängern (entsprechend im Hinblick auf die Bereitstellung sinnvoller Informationen), an die die persönlichen Daten übermittelt wurden oder weitergeleitet werden, der Zweck dieser Weiterverlegung und ihres Bodens gemäß Paragraf 8. ; und Informationen über das Recht zur Einreichung einer Beschwerde bei einer Aufsichtsbehörde gemäß Ziffer 12(c)(i);

‍

(ii)Berichtigen Sie ungenaue oder unvollständige Daten zum Gegenstand der Daten;

‍

(iii)Löscht personenbezogene Daten über den Betroffenen, wenn diese Daten unter Verletzung dieser Klauseln verarbeitet werden oder verarbeitet wurden und die Rechte Dritter schützen oder wenn der Betroffene die Einwilligung zurückzieht, auf der die Verarbeitung beruht.

‍

(c)Wo der Datenimporteur die personenbezogenen Daten für direkte Marketingzwecke verarbeitet, die Verarbeitung zu solchen Zwecken einstellt, wenn der Betroffene ihr widerspricht.

‍

(d)Der Datenimporteur entscheidet nicht allein aufgrund der automatisierten Verarbeitung der übermittelten personenbezogenen Daten (im Folgenden „automatisierte Entscheidung“), welche rechtliche Auswirkungen auf den Datengegenstand haben oder ihn in ähnlicher Weise erheblich beeinflussen würden. es sei denn, mit ausdrücklicher Zustimmung des Betroffenen oder wenn dies gemäß den Gesetzen des Bestimmungslandes dazu berechtigt ist, unter der Voraussetzung, dass diese Gesetze geeignete Maßnahmen zum Schutz der Rechte und legitimen Interessen des Betroffenen vorsehen. In diesem Fall hat der Datenimporteur gegebenenfalls in Zusammenarbeit mit dem Datenexporteur:

‍

(i)Informieren Sie den Gegenstand der Daten über die geplante automatisierte Entscheidung, die geplanten Folgen und die damit verbundene Logik; und

‍

(ii)geeignete Sicherheitsvorkehrungen umsetzen, indem zumindest die Daten ermöglicht werden, die gegen die Entscheidung verstoßen haben Seinen Standpunkt zum Ausdruck bringen und eine Überprüfung durch den Menschen erhalten.

‍

(e)Wo Anfragen von einem Datengegenstand übermäßig sind, insbesondere wegen ihres sich wiederholenden Charakters, Der Datenimporteur kann unter Berücksichtigung der administrativen Kosten für die Erteilung der Anfrage eine angemessene Gebühr verlangen oder sich weigern, auf die Anfrage einzugehen.

‍

(f)Der Datenimporteur kann den Antrag eines Datengegenstandes ablehnen, wenn eine solche Ablehnung nach den Gesetzen des Bestimmungslandes erlaubt ist und in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 genannten Ziele zu schützen.

‍

(g)Wenn der Datenimporteur beabsichtigt, die Anfrage eines Datensubjekts abzulehnen Sie unterrichtet den Betroffenen über die Gründe für die Ablehnung und die Möglichkeit, bei der zuständigen Aufsichtsbehörde eine Beschwerde einzureichen und/oder Rechtsbehelfe einzuholen.

‍

Satz 11

Redress

‍

(a)Der Datenimporteur informiert die Betroffenen in einem transparenten und leicht zugänglichen Format, durch eine individuelle Mitteilung oder auf ihrer Website über eine Kontaktstelle, die zur Bearbeitung von Beschwerden berechtigt ist. Sie ist verpflichtet, sich umgehend mit Beschwerden zu befassen, die sie von einem Datengegenstand erhält.

‍

(b)Im Falle eines Streits zwischen einem Datengegenstand und einer der Vertragsparteien hinsichtlich der Einhaltung dieser Klauseln, dass die Partei ihr Bestes tun wird, um das Problem gütlich rechtzeitig zu lösen. Die Parteien werden sich über solche Streitigkeiten auf dem Laufenden halten und gegebenenfalls an deren Beilegung mitwirken.

‍

(c)Wo sich der Betroffene auf ein Drittbegünstigungsrecht gemäß Ziffer 3 beruft, der Datenimporteur akzeptiert die Entscheidung der betroffenen Daten:

‍

(i)Beschwerde bei der Aufsichtsbehörde des Mitgliedstaats seines gewöhnlichen Wohnsitzes oder seines Arbeitsplatzes einreichen oder die zuständige Aufsichtsbehörde gemäß Ziffer 13;

‍

(ii)den Streit an die zuständigen Gerichte im Sinne von Ziffer 18 weiterzuleiten.

‍

(d)Die Vertragsparteien akzeptieren, dass der Betroffene durch eine gemeinnützige Stelle vertreten werden kann. Organisation oder Assoziierung unter den Bedingungen gemäß Artikel 80 Absatz 1 der Verordnung (EU) 2016/679.

‍

e)Der Datenimporteur hält sich an eine Entscheidung, die nach dem anwendbaren EU-Recht oder Recht der Mitgliedstaaten bindend ist.

‍

(f)Der Datenimporteur stimmt zu, dass die vom Datengegenstand getroffene Wahl sein materielles und verfahrenstechnisches Recht zur Suche nach Rechtsmitteln gemäß geltendem Recht nicht beeinträchtigt.

‍

Satz 12

Haftung

‍

(a)Jede Partei haftet gegenüber der anderen Partei/ies für jeglichen Schaden, den sie der anderen Partei durch einen Verstoß gegen diese Klauseln verursacht.

‍

(b)Jede Partei haftet für die betroffenen Daten, und der Betroffene hat Anspruch auf Entschädigung, für jeglichen materiellen oder nichtmateriellen Schaden, den der Betroffene durch Verletzung der Rechte Dritter gemäß diesen Bestimmungen verursacht. Dies schadet der Haftung des Datenexporteurs nach Verordnung (EU) 2016/679.

‍

(c)Soweit mehr als eine Partei für den Schaden verantwortlich ist, der dem Betroffenen durch einen Verstoß gegen diese Klauseln entstanden ist, Alle verantwortlichen Parteien sind gemeinsam haftbar und der Betroffene ist berechtigt, eine Klage gegen eine dieser Parteien vor Gericht zu stellen.

‍

(d)Die Vertragsparteien sind sich einig, dass, wenn eine Partei gemäß Absatz c haftbar gemacht wird, Sie ist berechtigt, von der anderen Partei zurückzufordern, dass ein Teil des ihm zustehenden Schadensersatzanteils ihrer Schadensersatzhaftung entspricht.

‍

(e)Der Datenimporteur darf sich nicht auf die Durchführung eines Prozessors oder Unterprozessors berufen, um seine eigene Haftung zu vermeiden.

‍

Satz 13

Aufsicht

‍

(a)Die Aufsichtsbehörde eines der Mitgliedstaaten, in dem die Daten, deren personenbezogene Daten gemäß diesen Klauseln über das Angebot von Waren oder Dienstleistungen an sie übermittelt werden, erfasst werden. oder deren Verhalten überwacht wird, sind nach Anhang I aufgeführt. , fungiert als zuständige Aufsichtsbehörde.

‍

(b)Der Datenimporteur verpflichtet sich, sich der Gerichtsbarkeit der zuständigen Aufsichtsbehörde bei allen Verfahren zur Gewährleistung der Einhaltung dieser Bestimmungen zu unterwerfen und mit ihnen zusammenzuarbeiten. Insbesondere stimmt der Datenimporteur zu, auf Anfragen zu antworten, Prüfungen unterwerfen und den von der Aufsichtsbehörde beschlossenen Maßnahmen, einschließlich Abhilfemaßnahmen und Ausgleichsmaßnahmen, entsprechen. Sie wird der Aufsichtsbehörde schriftlich bestätigen, dass die erforderlichen Maßnahmen ergriffen worden sind.

‍

ABSCHNITT III – LOKALE GESCHÄFTSBEDINGUNGEN IN ZUSAMMENHANDLUNGEN DURCH AUTHORITÄTEN

‍

Satz 14

Lokale Gesetze und Praktiken, die die Einhaltung der Bestimmungen betreffen

‍

(a)Die Vertragsparteien garantieren, dass sie keinen Grund zu der Annahme haben, dass die Gesetze und Praktiken im Bestimmungsland für die Verarbeitung der personenbezogenen Daten durch den Datenimporteur anwendbar sind. einschließlich der Anforderungen an die Offenlegung personenbezogener Daten oder Maßnahmen, die den Zugang durch öffentliche Behörden gestatten, zu verhindern, dass der Datenimporteur seinen Verpflichtungen gemäß diesen Klauseln nachkommt. Dies beruht auf der Einsicht, dass Gesetze und Praktiken, die den Kern der Grundrechte und -freiheiten achten und nicht über das hinausgehen, was in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 genannten Ziele zu schützen. stehen nicht im Widerspruch zu diesen Klauseln.

‍

(b)Die Vertragsparteien erklären, dass sie bei der Gewährung der Garantie in Absatz (a) insbesondere den folgenden Elementen gebührend Rechnung getragen haben:

‍

(i)die besonderen Umstände der Übertragung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der genutzten Übertragungskanäle; beabsichtigt Weiterübertragungen; die Art des Empfängers; der Zweck der Verarbeitung; die Kategorien und das Format der übertragenen persönlichen Daten; der wirtschaftliche Bereich, in dem die Übertragung stattfindet; der Speicherort der übertragenen Daten;

‍

(ii)die Gesetze und Praktiken des Drittlandes des Bestimmungslandes – einschließlich derer, die die Offenlegung von Daten an öffentliche Behörden oder die Genehmigung des Zugangs durch diese Behörden fordern – relevant angesichts der besonderen Umstände der Übertragung, und die anwendbaren Beschränkungen und Schutzmechanismen (5);

‍

(iii) alle einschlägigen vertraglichen, technischen oder organisatorischen Schutzklauseln zur Ergänzung der Schutzklauseln dieser Klauseln einschließlich der während der Übermittlung und der Verarbeitung der personenbezogenen Daten im Bestimmungsland angewandten Maßnahmen.

‍

(c)Der Datenimporteur garantiert, dass er bei der Prüfung gemäß Absatz (b) Sie hat sich bemüht, dem Datenexporteur relevante Informationen zur Verfügung zu stellen und stimmt zu, dass sie weiterhin mit dem Datenexporteur zusammenarbeiten wird, um die Einhaltung dieser Klauseln sicherzustellen.

‍

(d)Die Vertragsparteien verpflichten sich, die Bewertung gemäß Ziffer (b) zu dokumentieren und sie der zuständigen Aufsichtsbehörde auf Verlangen zur Verfügung zu stellen.

‍

(e)Der Datenimporteur erklärt sich bereit, den Datenexporteur unverzüglich zu benachrichtigen, wenn er diesen Klauseln und der Dauer des Vertrages zugestimmt hat. es hat Grund zu der Annahme, dass es Gesetzen oder Praktiken unterworfen ist oder ist, die nicht den Anforderungen gemäß Absatz (a) entsprechen. einschließlich einer Änderung der Gesetze des Drittlandes oder einer Maßnahme (wie etwa einer Offenlegungsanforderung), die auf eine Anwendung solcher Gesetze in der Praxis hinweist, die nicht den Anforderungen in Absatz (a) entspricht.

‍

(f)Im Anschluss an eine Mitteilung gemäß Absatz e) oder wenn der Datenexporteur sonst Grund zur Annahme hat, dass der Datenimporteur seinen Verpflichtungen aus diesen Klauseln nicht mehr nachkommen kann, Der Datenexporteur ermittelt unverzüglich geeignete Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit), die vom Datenexporteur und/oder Datenimporteur ergriffen werden müssen, um die Situation zu bewältigen. Der Datenexporteur unterbricht die Datenübertragung, wenn er der Ansicht ist, dass keine geeigneten Sicherheiten für eine solche Übertragung gewährleistet werden können, oder wenn sie von der zuständigen Aufsichtsbehörde dazu beauftragt wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit es sich um die Verarbeitung personenbezogener Daten gemäß diesen Klauseln handelt. Wenn der Vertrag mehr als zwei Vertragsparteien umfasst, Der Datenexporteur kann dieses Kündigungsrecht nur gegenüber dem betreffenden Vertragspartner ausüben, es sei denn, die Vertragsparteien haben etwas anderes vereinbart. Bei Kündigung des Vertrages gemäß dieser Ziffer gilt die Ziffer 16 d) und (e) entsprechend.

‍

Satz 15

Verpflichtungen des Datenimporteurs im Falle des Zugangs durch Behörden

‍

15.1 Benachrichtigung

‍

(a)Der Datenimporteur erklärt sich bereit, den Datenexporteur und, soweit möglich, zu benachrichtigen der Datengegenstand (falls erforderlich mit Hilfe des Datenexporteurs) umgehend:

‍

(i)Eine öffentliche Behörde, einschließlich der Justizbehörde, erhält einen rechtsverbindlichen Antrag. nach den Gesetzen des Bestimmungslandes zur Offenlegung personenbezogener Daten, die gemäß diesen Bestimmungen übermittelt werden; zu dieser Mitteilung gehören Informationen über die angeforderten persönlichen Daten, die anfragende Behörde, die Rechtsgrundlage für die Anfrage und die erhaltene Antwort; oder

‍

(ii)Kenntnis von jeglichem direkten Zugriff der Behörden auf personenbezogene Daten, die gemäß diesen Bestimmungen gemäß den Gesetzen des Bestimmungslandes übermittelt werden; Diese Mitteilung enthält alle Informationen, die dem Importeur zur Verfügung stehen.

‍

(b)Ist es dem Datenimporteur untersagt, den Datenexporteur und/oder die gemäß den Gesetzen des Bestimmungslandes betroffenen Daten zu benachrichtigen, der Datenimporteur erklärt sich damit einverstanden, seine besten Anstrengungen zu unternehmen, um eine Aufhebung des Verbots zu erreichen, mit dem Ziel, so viele Informationen wie möglich so schnell wie möglich zu kommunizieren. Der Datenimporteur erklärt sich bereit, seine besten Bemühungen zu dokumentieren, um sie auf Wunsch des Datenexporteurs nachweisen zu können.

‍

(c)Wo nach den Gesetzen des Bestimmungslandes zulässig der Datenimporteur verpflichtet sich, den Datenexporteur in regelmäßigen Abständen für die Dauer des Vertrages zur Verfügung zu stellen, mit so vielen relevanten Informationen wie möglich über die erhaltenen Anfragen (insbesondere Anzahl der Anfragen, Typ der angeforderten Daten, anfordernde Behörden/Anfragen, ob Anfragen angefochten wurden und das Ergebnis solcher Herausforderungen usw. .

‍

(d)Der Datenimporteur verpflichtet sich, die Informationen gemäß den Ziffern a) bis c) für die Dauer des Vertrages zu bewahren und sie der zuständigen Aufsichtsbehörde auf Verlangen zur Verfügung zu stellen.

‍

(e)Absätze (a) bis (c) bleiben unberührt von der Verpflichtung des Datenimporteurs nach Ziffer 14(e) und Ziffer 16, den Datenexporteur unverzüglich zu informieren, wenn er nicht in der Lage ist, diese Bestimmungen einzuhalten.

‍

15.2 Überprüfung der Rechtmäßigkeit und der Datenminimierung

‍

(a)Der Datenimporteur erklärt sich damit einverstanden, die Rechtmäßigkeit der Offenlegungsanfrage zu überprüfen. insbesondere, ob sie in den Zuständigkeitsbereich der ersuchenden Behörde verbleibt und ob sie nach sorgfältiger Prüfung den Antrag anfechten sollte. sie kommt zu dem Schluss, dass es hinreichende Gründe gibt, um zu berücksichtigen, dass der Antrag nach den Gesetzen des Bestimmungslandes ungesetzlich ist. anwendbare Verpflichtungen nach internationalem Recht und Grundsätze der internationalen Mitteilung. Der Datenimporteur wird unter denselben Bedingungen Rechtsmittel einlegen. Bei einer Anfrage Der Datenimporteur ersucht vorläufige Maßnahmen, um die Wirkung des Antrags so lange auszusetzen, bis die zuständige Justizbehörde über seine Leistungen entschieden hat. Sie wird die angeforderten persönlichen Daten erst nach den anwendbaren Verfahrensregeln weitergeben. Diese Anforderungen sind unbeschadet der Verpflichtungen des Datenimporteurs unter Ziffer 14(e).

‍

(b)Der Datenimporteur willigt ein, seine rechtliche Beurteilung zu dokumentieren und die Aufforderung zur Offenlegung und, soweit dies nach den Gesetzen des Bestimmungslandes zulässig ist, stellen die Dokumentation dem Datenexporteur zur Verfügung. Sie wird es auch der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung stellen.

‍

(c)Der Datenimporteur erklärt sich bereit, die für eine Offenlegungsanfrage zulässige Mindestanzahl an Informationen anzugeben, basierend auf einer angemessenen Auslegung des Antrags.

‍

ABSCHNITT IV – FINALE PROVISIONEN

‍

Satz 16

Nichteinhaltung der Klauseln und Beendigung

‍

(a)Der Datenimporteur wird den Datenexporteur unverzüglich informieren, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Bestimmungen einzuhalten.

‍

(b)Sollte der Datenimporteur gegen diese Klauseln verstoßen oder diese nicht einhalten können, Der Datenexporteur unterbricht die Weitergabe personenbezogener Daten an den Datenimporteur, bis erneut die Einhaltung sichergestellt ist oder der Vertrag beendet ist. Dies ist unbeschadet von Ziffer 14(f).

‍

(c)Der Datenexporteur ist berechtigt, den Vertrag zu kündigen, sofern es sich um die Verarbeitung personenbezogener Daten gemäß diesen Klauseln handelt:

‍

(i)Der Datenexporteur hat die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Absatz (b) ausgesetzt und die Einhaltung dieser Bestimmungen nicht innerhalb einer angemessenen Frist und in jedem Fall innerhalb eines Monats nach der Aussetzung wiederhergestellt;

‍

(ii)der Datenimporteur ist in erheblichem oder anhaltender Verstoß gegen diese Klauseln oder

‍

(iii)Der Datenimporteur hält sich nicht an eine verbindliche Entscheidung eines zuständigen Gerichts oder einer Aufsichtsbehörde hinsichtlich seiner Verpflichtungen aus diesen Klauseln.

‍

In diesen Fällen unterrichtet sie die zuständige Aufsichtsbehörde über diese Nichteinhaltung. Wenn der Vertrag mehr als zwei Vertragsparteien betrifft, Der Datenexporteur kann dieses Kündigungsrecht nur gegenüber dem betreffenden Vertragspartner ausüben, es sei denn, die Vertragsparteien haben etwas anderes vereinbart.

‍

(d)Personenbezogene Daten, die vor Vertragsschluss gemäß Absatz (c) übermittelt wurden, werden nach Wahl des Datenexporteurs unverzüglich an den Datenexporteur zurückgegeben oder vollständig gelöscht. Gleiches gilt für Kopien der Daten. Der Datenimporteur bescheinigt die Löschung der Daten an den Datenexporteur. Bis zur Löschung oder Rückgabe der Daten wird der Datenimporteur weiterhin die Einhaltung dieser Bestimmungen sicherstellen. Im Falle lokaler Gesetze für den Datenimporteur, die die Rückgabe oder Löschung der übertragenen personenbezogenen Daten verbieten Der Datenimporteur garantiert, dass er weiterhin die Einhaltung dieser Bestimmungen sicherstellt und die Daten nur in dem Umfang und für die Dauer verarbeitet, wie dies nach dem örtlichen Gesetz erforderlich ist.

‍

(e)Entweder kann die Partei ihre Zustimmung zu diesen Bestimmungen widerrufen, wenn (i) die Europäische Kommission gemäß Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 eine Entscheidung trifft, die die Übermittlung personenbezogener Daten abdeckt, auf die diese Bestimmungen Anwendung finden; oder (ii) Verordnung (EU) 2016/679 wird Teil des Rechtsrahmens des Landes, in das die personenbezogenen Daten übermittelt werden. Dies ist unbeschadet anderer Verpflichtungen, die für die betreffende Verarbeitung gemäß Verordnung (EU) 2016/679 gelten.

‍

Satz 17

Gesetzgeber

‍

Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, sofern ein solches Gesetz die Rechte Dritter zulässt. Die Vertragsparteien sind sich einig, dass dies das Recht Irlands sein soll.

‍

Satz 18

Wahl des Forums und der Gerichtsbarkeit

‍

(a) Alle Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten eines EU-Mitgliedstaates gelöst.

‍

(b)Die Vertragsparteien sind sich einig, dass dies die Gerichte Irlands sein sollen.

‍

(c)Ein Datengegenstand kann auch den Datenexporteur und/oder Datenimporteur vor den Gerichten des Mitgliedstaats anklagen, in dem er seinen gewöhnlichen Wohnsitz hat.

‍

(d)Die Vertragsparteien verpflichten sich, sich der Gerichtsbarkeit solcher Gerichte zu unterwerfen.

‍

APPENDIX

ANNEX I
‍

A. LISTE VON PARTIES

Datenexporteur(en): [Identität und Kontaktdetails des Datenexporteurs und sofern zutreffend, von seinem Datenschutzbeauftragten und/oder Vertreter in der Europäischen Union]

‍

Name: Siehe Teil 1 des Zeitplans 1.

‍

Adresse: Siehe Teil 1 des Zeitplans 1

Name, Position und Kontaktdaten: Siehe Teil 1 des Zeitplans 1

‍

Aktivitäten die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Siehe Teil 1 des Zeitplans 1

Unterschrift und Datum: Die Parteien sind sich darüber einig, dass die Durchführung des betreffenden Vertrages die Ausführung dieser SCC durch beide Parteien darstellt, sofern kein anderer gültiger Transfermechanismus zur Verfügung steht.

Rolle (Controller/Prozessor): Siehe Teil 1 von Zeitplan 1

‍

Datenimporteur(en): [Identität und Kontaktdaten der Datenimporteure(s), einschließlich jeder Kontaktperson mit Verantwortung für den Datenschutz]

Name: Siehe Teil 1 des Zeitplans 1

Adresse: Siehe Teil 1 des Zeitplans 1

Name, Position und Kontaktdaten: Siehe Teil 1 des Zeitplans 1

Aktivitäten die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Siehe Teil 1 des Zeitplans 1

Rolle (Controller/Prozessor): Siehe Teil 1 von Zeitplan 1

‍

B. BESCHREIBUNG VON TRANSFER

‍

Kategorien von Datengegenständen, deren persönliche Daten übertragen werden

Siehe Teil 2 des Zeitplans 1.

‍

Übertragene Kategorien persönlicher Daten

Siehe Teil 2 des Zeitplans 1.

‍

Die Übermittlung sensibler Daten (falls zutreffend) und angewandte Einschränkungen oder Sicherheiten, die die Art der Daten und die damit verbundenen Risiken vollständig berücksichtigen wie zum Beispiel eine strenge Zweckbegrenzung, Zugangsbeschränkungen (einschließlich des Zugangs nur für Mitarbeiter mit spezialisierter Ausbildung), Aufzeichnung des Zugriffs auf die Daten, Einschränkungen für Weiterübertragungen oder zusätzliche Sicherheitsmaßnahmen.

Siehe Teil 2 des Zeitplans 1.

‍

Die Frequenz der Übertragung (z.B. ob die Daten einmalig oder kontinuierlich übertragen werden).

Siehe Teil 2 des Zeitplans 1.

‍

Art der Verarbeitung

Siehe Teil 2 des Zeitplans 1.

‍

Zweck(e) der Datenübertragung und Weiterverarbeitung

Siehe Teil 2 des Zeitplans 1.

‍

Der Zeitraum, für den die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien, die zur Bestimmung dieses Zeitraums verwendet werden.

Siehe Teil 2 des Zeitplans 1.

‍

Für die Übertragung an (Unter-)Prozessoren spezifizieren Sie auch Subjekt, Natur und Dauer der Verarbeitung

Siehe Teil 5 des Zeitplans 1.

‍

C. COMPETENT SUPERVISORY AUTHORITY

‍

Identifizieren Sie die zuständige Aufsichtsbehörde/ies gemäß Ziffer 13.

Siehe Teil 3 des Zeitplans 1.

‍

ANNEX II

TECHNISCHE UND ORGANISATIONALLE MEASUREN EINSCHLIESSLICH TECHNISCHEN UND ORGANISATIONALLE MEASUREN ZU EINSCHLIESSLICH DER SICHERUNG DER DATEN

‍

Siehe Teil 4 des Zeitplans 1.

‍

MODULE 2: CONTROLLER-TO-PROCESSOR

‍

ABSCHNITT I

‍

Satz 1

Zweck und Umfang

‍

(a)Zweck dieser Standardvertragsklauseln ist es, die Einhaltung der Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und den freien Verkehr solcher Daten (Allgemeine Datenschutzverordnung) (6) für die Übermittlung von Daten an Drittländer zu gewährleisten.

‍

(b)Die Parteien:

‍

(i)die natürliche oder juristische Person(en), öffentliche Behörden/ies, Agentur/ies oder andere Körper/ies (nachfolgend „Entity/ies“), die die personenbezogenen Daten gemäß Anhang I übermitteln. (im Folgenden „Datenexportierer“) und

‍

(ii)die Einheit/ies in einem Drittland, die die personenbezogenen Daten vom Datenexporteur erhalten direkt oder indirekt über eine andere Stelle auch Partei zu diesen Klauseln, wie in Anhang I aufgeführt. (nachfolgend jeder „Datenimporteur“)

‍

diesen vertraglichen Standardklauseln zugestimmt haben (im Folgenden „Klausel“).

‍

(d)Der Anhang zu diesen Klauseln, die die genannten Anhänge enthalten, ist ein integraler Bestandteil dieser Klauseln.

‍

Satz 2

Effekt und Unauslöschbarkeit der Klauseln

‍

b)Diese Klauseln sind unbeschadet von Verpflichtungen, denen der Datenexporteur gemäß der Verordnung (EU) 2016/679 unterliegt.

‍

Satz 3

Drittbegünstigte

‍

(a)Die Betroffenen können diese Klauseln als Drittbegünstigte gegen den Datenexporteur und/oder Datenimporteur mit den folgenden Ausnahmen geltend machen und durchsetzen:

‍

(i)Satz 1, Satz 2, Satz 3, Satz 6, Satz 7;

‍

(ii)Klausel 8.1(b), 8.9(a), (c), (d) und (e);

‍

(iii)Klausel 9(a), (c), (d) und (e);

‍

(iv)Klausel 12(a), (d) und (f);

‍

(v)Satz 13;

‍

(vi)Paragraf 15.1(c), (d) und (e);

‍

(vii)Satz 16(e);

‍

(vii)Klausel 18(a) und (b).

‍

(b)Absatz (a) unbeschadet der Rechte von Datengegenständen gemäß Verordnung (EU) 2016/679.

‍

Satz 4

Interpretationen

‍

(a)Wenn diese Klauseln Begriffe verwenden, die in der Verordnung (EU) 2016/679 definiert sind, haben diese Bedingungen dieselbe Bedeutung wie in dieser Verordnung.

‍

(b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 zu lesen und zu interpretieren.

‍

c) Diese Klauseln dürfen nicht in einer Weise interpretiert werden, die mit den Rechten und Pflichten der Verordnung (EU) 2016/679 kollidiert.

‍

Satz 5

Hierarchy

‍

Satz 6

Beschreibung der Überweisung(en)

‍

Die Details der Übertragung(en), und insbesondere die Kategorien der übertragenen personenbezogenen Daten und die Zwecke, für die sie übertragen werden, werden in Anhang I.B spezifiziert.

‍

Satz 7

Optionale Docking-Klausel

‍

NICHT BENUTZT

‍

ABSCHNITT II – EINGESCHLOSSUNGEN DER PARTIES

‍

Satz 8

Datenschutzgarantien

‍

8.1 Anweisungen

‍

(a) Der Datenimporteur darf die personenbezogenen Daten nur auf dokumentierten Anweisungen des Datenexporteurs verarbeiten. Der Datenexporteur kann solche Anweisungen während der gesamten Vertragsdauer erteilen.

‍

(b)Der Datenimporteur wird den Datenexporteur unverzüglich informieren, wenn er nicht in der Lage ist, diesen Anweisungen zu folgen.

‍

8.2 Zweckbegrenzung

‍

Der Datenimporteur verarbeitet die personenbezogenen Daten nur zu den spezifischen Zweck(en) der Übermittlung, wie in Anhang I dargelegt. , es sei denn, auf weitere Anweisungen des Datenexporteurs.

‍

8.3 Transparenz

‍

Auf Verlangen muss der Datenexporteur eine Kopie dieser Klauseln anfertigen, einschließlich des von den Vertragsparteien abgeschlossenen Anhangs, der dem Subjekt kostenlos zur Verfügung steht. Soweit erforderlich, um Geschäftsgeheimnisse oder andere vertrauliche Informationen zu schützen, einschließlich der in Anhang II beschriebenen Maßnahmen und persönlichen Daten. der Datenexporteur kann einen Teil des Textes des Anhangs zu diesen Klauseln vor der Freigabe einer Kopie wieder auflösen, jedoch eine aussagekräftige Zusammenfassung liefert, wenn der Betroffene sonst nicht in der Lage wäre, den Inhalt zu verstehen oder seine Rechte auszuüben. Die Vertragsparteien werden dem Betroffenen auf Verlangen die Gründe für die Wiedergutmachung zur Verfügung stellen, soweit dies möglich ist, ohne die berichtigten Informationen preiszugeben. Diese Klausel ist unbeschadet der Verpflichtungen des Datenexporteurs gemäß Artikel 13 und 14 der Verordnung (EU) 2016/679.

‍

8.4 Genauigkeit

‍

Wenn der Datenimporteur erkennt, dass die ihm übermittelten persönlichen Daten ungenau sind, oder veraltet ist, hat er den Datenexporteur unverzüglich zu informieren. In diesem Fall wird der Datenimporteur mit dem Datenexporteur zusammenarbeiten, um die Daten zu löschen oder zu berichtigen.

‍

8.5 Dauer der Verarbeitung und Löschung oder Rückgabe der Daten

‍

Die Verarbeitung durch den Datenimporteur erfolgt nur für die in Anhang I.B angegebene Dauer. Nach Beendigung der Bereitstellung der Verarbeitungsdienste hat der Datenimporteur nach Wahl des Datenexporteurs alle im Auftrag des Datenexporteurs verarbeiteten personenbezogenen Daten löschen und dem Datenexporteur bestätigen, dass er dies getan hat oder gehen Sie zum Datenexporteur alle personenbezogenen Daten zurück, die im Namen des Datenexporteurs verarbeitet werden und bestehende Kopien löschen. Bis zur Löschung oder Rückgabe der Daten wird der Datenimporteur weiterhin die Einhaltung dieser Bestimmungen sicherstellen. Im Falle lokaler Gesetze für den Datenimporteur, die die Rückgabe oder Löschung der personenbezogenen Daten verbieten Der Datenimporteur garantiert, dass er die Einhaltung dieser Bestimmungen auch weiterhin sicherstellt und nur in dem Umfang und für die Dauer verarbeitet, wie dies nach dem lokalen Recht erforderlich ist. Unbeschadet von Ziffer 14 insbesondere die Anforderung, dass der Datenimporteur gemäß Ziffer 14(e) den Datenexporteur während der gesamten Vertragsdauer benachrichtigen muss, wenn er Grund zu der Annahme hat, dass er gesetzlichen Bestimmungen oder Praktiken unterliegt, die nicht den Bestimmungen von Ziffer 14(a) entsprechen.

‍

8.6 Sicherheit der Verarbeitung

‍

a) Der Datenimporteur und während der Übertragung auch der Datenexporteur setzen geeignete technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Daten um. einschließlich Schutz vor einem Sicherheitsbruch, der zu versehentlicher oder rechtswidriger Zerstörung, Verlust führt, Änderung, unbefugte Weitergabe oder Zugriff auf diese Daten (nachfolgend „Verletzung personenbezogener Daten“). Bei der Beurteilung des angemessenen Sicherheitsniveaus berücksichtigen die Vertragsparteien den Stand der Technik, die Umsetzungskosten, die Art, den Umfang, den Kontext und die Zweck(e) der Verarbeitung und die mit der Verarbeitung der Daten verbundenen Risiken für die Subjekte. Die Vertragsparteien erwägen insbesondere den Einsatz von Verschlüsselung oder Pseudonymisierung, auch während der Übertragung, wo der Zweck der Verarbeitung auf diese Weise erfüllt werden kann. Im Falle einer Pseudonymisierung werden die zusätzlichen Informationen zur Zuordnung der persönlichen Daten an einen bestimmten Betreff, Soweit möglich, bleibt die ausschließliche Kontrolle des Datenexporteurs. Der Datenimporteur hat bei Erfüllung seiner Verpflichtungen aus diesem Absatz zumindest die in Anhang II festgelegten technischen und organisatorischen Maßnahmen umzusetzen. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Maß an Sicherheit bieten.

‍

(b)Der Datenimporteur gewährt den Mitgliedern seines Personals Zugang zu den personenbezogenen Daten nur in dem Maße, wie dies für die Umsetzung unbedingt erforderlich ist, Management und Überwachung des Vertrags. Sie stellt sicher, dass Personen, die zur Verarbeitung der persönlichen Daten berechtigt sind, sich zur Vertraulichkeit verpflichtet haben oder eine angemessene gesetzliche Vertraulichkeitspflicht haben.

‍

(c) Im Falle einer Verletzung personenbezogener Daten, die durch den Datenimporteur gemäß diesen Klauseln verarbeitet wird, Der Datenimporteur hat geeignete Maßnahmen zu ergreifen, um den Verstoß zu beheben, einschließlich Maßnahmen zur Abmilderung seiner negativen Auswirkungen. Der Datenimporteur wird den Datenexporteur auch nach Kenntnis der Verletzung unverzüglich benachrichtigen. Diese Mitteilung muss die Details einer Kontaktstelle enthalten, an der weitere Informationen erhalten werden können eine Beschreibung der Art des Verstoßes (einschließlich, wenn möglich, Kategorien und ungefähre Anzahl der betroffenen Datengegenstände und personenbezogener Datensätze), B. die wahrscheinlichen Folgen und die Maßnahmen, die ergriffen oder vorgeschlagen werden, um den Verstoß zu beheben, einschließlich, wo es angebracht ist, Maßnahmen zur Abmilderung seiner möglichen negativen Auswirkungen. Wo und soweit nicht alle Informationen gleichzeitig zur Verfügung gestellt werden können die Erstmitteilung die dann zur Verfügung stehenden Informationen enthält und weitere Informationen werden, soweit sie verfügbar werden, unverzüglich und unverzüglich zur Verfügung gestellt.

‍

d) Der Datenimporteur arbeitet mit dem Datenexporteur zusammen und unterstützt den Datenexporteur, damit der Datenexporteur seinen Verpflichtungen gemäß Verordnung (EU) 2016/679 nachkommen kann. insbesondere die zuständige Aufsichtsbehörde und die betroffenen Datengegenstände zu unterrichten, unter Berücksichtigung der Art der Verarbeitung und der Informationen, die dem Datenimporteur zur Verfügung stehen.

‍

8.7 Sensitive Daten

‍

8.8 Weiterübertragungen

‍

Der Datenimporteur wird die personenbezogenen Daten nur auf dokumentierten Anweisungen des Datenexporteurs an Dritte weitergeben. Zusätzlich die Daten dürfen nur an Dritte außerhalb der Europäischen Union (7) weitergegeben werden (im selben Land wie der Datenimporteur oder in einem anderen Drittland nachfolgend „Weiterüberweisung“), wenn der Dritte an diese Klauseln gebunden ist oder zustimmt, unter dem entsprechenden Modul, oder wenn:

(i)Die Weiterübertragung erfolgt an ein Land, das von einer Angemessenheitsentscheidung gemäß Artikel 45 der Verordnung (EU) 2016/679 profitiert, die die Weiterübertragung abdeckt;

(ii)Der Dritte gewährleistet anderweitig angemessene Garantien gemäß Artikel 46 oder 47 der Verordnung (EU) 2016/679 hinsichtlich der fraglichen Verarbeitung;

(iii) die Weiterverlegung ist für die Einrichtung notwendig, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen spezifischer verwaltungsrechtlicher, regulatorischer oder gerichtlicher Verfahren oder

(iv)Die Weitergabe ist notwendig, um die vitalen Interessen des Betroffenen oder einer anderen natürlichen Person zu schützen.
‍

Jede Weitergabe unterliegt der Einhaltung aller anderen Schutzklauseln, insbesondere der Zweckbeschränkung, durch den Datenimporteur.

‍

8.9 Dokumentation und Compliance

‍

(a) Der Datenimporteur befasst sich unverzüglich und angemessen mit Anfragen des Datenexporteurs, die sich auf die Verarbeitung gemäß diesen Klauseln beziehen.

(b)Die Vertragsparteien können nachweisen, dass diese Klauseln eingehalten werden. Insbesondere hat der Datenimporteur die im Auftrag des Datenexporteurs ausgeführten Verarbeitungsaktivitäten entsprechend zu dokumentieren.

(c)Der Datenimporteur stellt dem Datenexporteur alle Informationen zur Verfügung, die notwendig sind, um die Einhaltung der in diesen Klauseln und auf Wunsch des Datenexporteurs festgelegten Verpflichtungen nachzuweisen. die Prüfung der von diesen Klauseln abgedeckten Verarbeitungsaktivitäten in angemessenen Abständen zu ermöglichen und dazu beizutragen, oder wenn es Hinweise auf die Nichteinhaltung gibt. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Datenexporteur die vom Datenimporteur gehaltenen Zertifizierungen berücksichtigen.

(d)Der Datenexporteur kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfung kann Inspektionen in den Räumen oder in den physischen Einrichtungen des Datenimporteurs umfassen und gegebenenfalls mit angemessener Mitteilung durchgeführt werden.

(e)Die Vertragsparteien geben die in Absatz b und (c) genannten Informationen heraus. einschließlich der Ergebnisse aller Prüfungen, die der zuständigen Aufsichtsbehörde auf Verlangen zur Verfügung stehen.
‍

‍

Satz 9

Verwendung von Unterprozessoren

‍

(a)Der Datenimporteur hat die allgemeine Genehmigung des Datenexporteurs für die Verpflichtung von Subprozessor(en) aus einer vereinbarten Liste. Der Datenimporteur wird dem Datenexporteur alle beabsichtigten Änderungen dieser Liste schriftlich mitteilen, indem er mindestens dreißig (30) Tage im Voraus Subprozessoren hinzufügt oder ersetzt. Dadurch wird dem Datenexporteur genügend Zeit eingeräumt, um solchen Änderungen vor dem Engagement des Subprozessor(s) widersprechen zu können. Der Datenimporteur stellt dem Datenexporteur die notwendigen Informationen zur Verfügung, damit der Datenexporteur sein Widerspruchsrecht ausüben kann.

‍

b) Sofern der Datenimporteur einen Unterprozessor zur Durchführung spezifischer Verarbeitungstätigkeiten (im Namen des Datenexporteurs) beauftragt hat, sie tut dies durch einen schriftlichen Vertrag, der vorsieht, im Inhalt, die gleichen Datenschutzverpflichtungen wie diejenigen, die den Datenimporteur gemäß diesen Klauseln binden, auch im Hinblick auf die Rechte Dritter, die für die Datengegenstände zustehen. (8) Die Vertragsparteien sind sich einig, dass der Datenimporteur durch die Einhaltung dieser Klausel seinen Verpflichtungen gemäß Klausel 8.8 nachkommt. Der Datenimporteur stellt sicher, dass der Unterverarbeiter den Verpflichtungen nachkommt, denen der Datenimporteur gemäß diesen Klauseln unterliegt.

‍

(c)Der Datenimporteur stellt auf Verlangen des Datenexporteurs zur Verfügung eine Kopie einer solchen Unterverarbeitungsvereinbarung und etwaige nachträgliche Änderungen an dem Datenexporteur. Soweit notwendig zum Schutz des Geschäftsgeheimnisses oder anderer vertraulicher Informationen einschließlich personenbezogener Daten kann der Datenimporteur den Vertragstext vor der Weitergabe einer Kopie ändern.

(d)Der Datenimporteur bleibt dem Datenexporteur gegenüber voll verantwortlich für die Erfüllung der vertraglichen Verpflichtungen des Unterverarbeiters mit dem Datenimporteur. Der Datenimporteur hat dem Datenexporteur mitzuteilen, dass der Unterverarbeiter seinen vertraglichen Verpflichtungen nicht nachkommt.

‍

(e)Der Datenimporteur stimmt mit dem Subprozessor eine Drittbegünstigungsklausel überein, die – wenn der Datenimporteur faktisch verschwunden ist – einen Drittbegünstigungsklausel vereint. aufgehört oder insolvent geworden ist – der Datenexporteur hat das Recht, den Subprozessor-Vertrag zu kündigen und den Subprozessor anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

‍

Satz 10

Daten-Betreff Rechte

‍

(a) Der Datenimporteur wird den Datenexporteur umgehend über alle Anfragen informieren, die er von einem Datenporter erhalten hat. Sie wird auf diese Anfrage nicht selbst reagieren, es sei denn, sie wurde vom Datenexporteur dazu ermächtigt.

‍

(b)Der Datenimporteur unterstützt den Datenexporteur bei der Erfüllung seiner Verpflichtungen, auf Anfragen der Betroffenen zur Ausübung ihrer Rechte gemäß Verordnung (EU) 2016/679 zu reagieren. In diesem Zusammenhang legen die Vertragsparteien in Anhang II die entsprechenden technischen und organisatorischen Maßnahmen fest. unter Berücksichtigung der Art der Verarbeitung, durch die die Unterstützung geleistet wird, sowie Umfang und Umfang der erforderlichen Hilfe.

‍

c) Der Datenimporteur hat bei der Erfüllung seiner Verpflichtungen aus den Ziffern a) und b) die Anweisungen des Datenexporteurs einzuhalten.

‍

Satz 11

Redress

‍

(c)Wenn der Betroffene ein Drittbegünstigungsrecht gemäß Klausel 3 geltend macht, die Daten

der Importeur akzeptiert die Entscheidung der betroffenen Daten:

‍

(i)Beschwerde bei der Aufsichtsbehörde des Mitgliedstaats seines gewöhnlichen Wohnsitzes oder seines Arbeitsplatzes einreichen oder die zuständige Aufsichtsbehörde gemäß Ziffer 13;

‍

(ii)den Streit an die zuständigen Gerichte im Sinne von Ziffer 18 weiterzuleiten.

‍

e)Der Datenimporteur hält sich an eine Entscheidung, die nach dem anwendbaren EU-Recht oder Recht der Mitgliedstaaten bindend ist.

‍

Satz 12

Haftung

‍

(a)Jede Partei haftet gegenüber der anderen Partei/ies für jeglichen Schaden, den sie der anderen Partei durch einen Verstoß gegen diese Klauseln verursacht.

‍

(b)Der Datenimporteur haftet für den Betroffenen, und der Betroffene hat Anspruch auf Entschädigung, wegen materieller oder nicht materieller Schäden verursacht der Datenimporteur oder dessen Unterverarbeiter den Gegenstand durch Verletzung der Rechte Dritter gemäß diesen Klauseln.

‍

(c)Ungeachtet von Absatz (b) haftet der Datenexporteur für die betroffenen Daten, und der Betroffene hat Anspruch auf Entschädigung, bei jeglichem materiellen oder nichtmateriellen Schaden verursacht der Datenexporteur oder der Datenimporteur (oder dessen Subverarbeiter) den Gegenstand durch Verletzung der Rechte Dritter gemäß diesen Klauseln. Dies ist unbeschadet der Haftung des Datenexporteurs und, wenn der Datenexporteur ein im Auftrag eines Kontrolleurs handelnder Prozessor ist zur Haftung des Kontrolleurs nach Verordnung (EU) 2016/679 oder Verordnung (EU) 2018/1725 (EU).

‍

(d)Die Vertragsparteien stimmen zu, dass, wenn der Datenexporteur gemäß Absatz (c) für Schäden, die durch den Datenimporteur (oder dessen Unterverarbeiter) verursacht werden, haftbar gemacht wird. Sie ist berechtigt, vom Datenimporteur zurückzufordern, dass ein Teil der Entschädigung, die der Schadensersatzhaftung des Datenimporteurs entspricht, für den Schaden verantwortlich ist.

‍

(e)Wo mehr als eine Partei für den Schaden verantwortlich ist, der dem Betroffenen durch einen Verstoß gegen diese Klauseln entstanden ist, Alle verantwortlichen Parteien sind gemeinsam haftbar und der Betroffene ist berechtigt, eine Klage gegen eine dieser Parteien vor Gericht zu stellen.

‍

(f)Die Vertragsparteien sind sich einig, dass, wenn eine Partei gemäß Absatz (e) haftbar gemacht wird. Sie ist berechtigt, von der anderen Partei zurückzufordern, dass ein Teil des ihm zustehenden Schadensersatzanteils ihrer Schadensersatzhaftung entspricht.

‍

(g)Der Datenimporteur darf sich nicht auf das Verhalten eines Subprozessors berufen, um seiner eigenen Haftung zu entgehen.

‍

Satz 13

Aufsicht

‍

(a)Die Aufsichtsbehörde eines der Mitgliedstaaten, in dem die Daten, deren personenbezogene Daten gemäß diesen Klauseln in Bezug auf das Angebot von Waren oder Dienstleistungen an sie übermittelt werden, erfasst werden. oder deren Verhalten überwacht wird, sind nach Anhang I aufgeführt. , soll als zuständige Aufsichtsbehörde fungieren.
‍

‍

ABSCHNITT III – LOKALE GESCHÄFTSBEDINGUNGEN IN ZUSAMMENHANDLUNGEN DURCH AUTHORITÄTEN

‍

Satz 14

Lokale Gesetze und Praktiken, die die Einhaltung der Bestimmungen betreffen

‍

(b)Die Vertragsparteien erklären, dass sie bei der Gewährung der Garantie in Absatz (a) insbesondere den folgenden Elementen gebührend Rechnung getragen haben:

‍

(d)Die Vertragsparteien verpflichten sich, die Bewertung gemäß Ziffer (b) zu dokumentieren und sie der zuständigen Aufsichtsbehörde auf Verlangen zur Verfügung zu stellen.

‍

Satz 15

Verpflichtungen des Datenimporteurs im Falle des Zugangs durch Behörden

‍

15.1 Benachrichtigung

‍

(a)Der Datenimporteur erklärt sich bereit, den Datenexporteur und, soweit möglich, zu benachrichtigen der Datengegenstand (falls erforderlich mit Hilfe des Datenexporteurs) umgehend:

‍

15.2 Überprüfung der Legalität und Datenminimierung

‍

(c)Der Datenimporteur erklärt sich bereit, die für eine Offenlegungsanfrage zulässige Mindestanzahl an Informationen anzugeben, basierend auf einer angemessenen Auslegung des Antrags.

‍

ABSCHNITT IV – FINALE PROVISIONEN

‍

Satz 16

Nichteinhaltung der Klauseln und Beendigung

‍

(a)Der Datenimporteur wird den Datenexporteur unverzüglich informieren, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Bestimmungen einzuhalten.

‍

(c)Der Datenexporteur ist berechtigt, den Vertrag zu kündigen, sofern es sich um die Verarbeitung personenbezogener Daten gemäß diesen Klauseln handelt:

‍

(ii)der Datenimporteur ist in erheblichem oder anhaltender Verstoß gegen diese Klauseln oder

‍

(iii)Der Datenimporteur hält sich nicht an eine verbindliche Entscheidung eines zuständigen Gerichts oder einer Aufsichtsbehörde hinsichtlich seiner Verpflichtungen aus diesen Klauseln.

‍

Satz 17

Gesetzgeber

‍

Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, sofern ein solches Gesetz die Rechte Dritter zulässt. Die Vertragsparteien sind sich einig, dass dies das Recht Irlands sein soll.

‍

Satz 18

Wahl des Forums und der Gerichtsbarkeit

‍

(a) Alle Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten eines EU-Mitgliedstaates gelöst.

‍

(b)Die Vertragsparteien sind sich einig, dass dies die Gerichte Irlands sein sollen.

‍

(c)Ein Datengegenstand kann auch gegen den Datenexporteur und/oder Datenimporteur vor den Gerichten des Mitgliedstaates Klage erheben, in dem er seinen gewöhnlichen Aufenthalt hat.

‍

(d)Die Vertragsparteien verpflichten sich, sich der Gerichtsbarkeit solcher Gerichte zu unterwerfen.

‍

APPENDIX

ANNEX I

‍

A. LISTE VON PARTIES

‍

Datenexporteur(en): [Identität und Kontaktdetails des Datenexporteurs und sofern zutreffend, von seinem Datenschutzbeauftragten und/oder Vertreter in der Europäischen Union]

Name: Siehe Teil 1 des Zeitplans 1.

Adresse: Siehe Teil 1 des Zeitplans 1

Name, Position und Kontaktdaten: Siehe Teil 1 des Zeitplans 1

Aktivitäten die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Siehe Teil 1 des Zeitplans 1

Rolle (Controller/Prozessor): Siehe Teil 1 von Zeitplan 1

‍

Datenimporteur(en): [Identität und Kontaktdaten der Datenimporteure(s), einschließlich jeder Kontaktperson mit Verantwortung für den Datenschutz]

Name: Siehe Teil 1 des Zeitplans 1

Adresse: Siehe Teil 1 des Zeitplans 1

Name, Position und Kontaktdaten: Siehe Teil 1 des Zeitplans 1

Aktivitäten die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Siehe Teil 1 des Zeitplans 1

Rolle (Controller/Prozessor): Siehe Teil 1 von Zeitplan 1

‍

B. BESCHREIBUNG VON TRANSFER

‍

Kategorien von Datengegenständen, deren persönliche Daten übertragen werden

Siehe Teil 2 des Zeitplans 1.

‍

Übertragene Kategorien persönlicher Daten

Siehe Teil 2 des Zeitplans 1.

‍

Siehe Teil 2 des Zeitplans 1.

‍

Die Frequenz der Übertragung (z.B. ob die Daten einmalig oder kontinuierlich übertragen werden).

Siehe Teil 2 des Zeitplans 1.

‍

Art der Verarbeitung

Siehe Teil 2 des Zeitplans 1.

‍

Zweck(e) der Datenübertragung und Weiterverarbeitung

Siehe Teil 2 des Zeitplans 1.

‍

Der Zeitraum, für den die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien, die zur Bestimmung dieses Zeitraums verwendet werden.

Siehe Teil 2 des Zeitplans 1.

‍

Für die Übertragung an (Unter-)Prozessoren spezifizieren Sie auch Subjekt, Natur und Dauer der Verarbeitung

Siehe Teil 5 des Zeitplans 1.

‍

C. COMPETENT SUPERVISORY AUTHORITY

‍

Identifizieren Sie die zuständige Aufsichtsbehörde/ies gemäß Ziffer 13.

Siehe Teil 3 des Zeitplans 1.

‍

ANNEX II

TECHNISCHE UND ORGANISATIONALLE MEASUREN EINSCHLIESSLICH TECHNISCHEN UND ORGANISATIONALLE MEASUREN ZU EINSCHLIESSLICH DER SICHERUNG DER DATEN

‍

Siehe Teil 4 des Zeitplans 1.

‍

ANNEX III

‍

LISTE VON SUB-PROZESSORS

‍

Siehe Teil 5 des Zeitplans 1.

‍

UK International Data Transfer Addendum an die EU SCC

‍

Dieser Zusatz wurde von dem für Vertragsstaaten zuständigen Informationskommissar zur Durchführung von Restricted Transfers herausgegeben. Der Informationskommissar ist der Ansicht, dass er angemessene Schutzmaßnahmen für eingeschränkte Übertragungen bietet, wenn er als rechtsverbindlicher Vertrag abgeschlossen ist.

Teil 1: Tabellen

‍

Tabelle 1: Parteien

Start date	The date shall be the same as the date of the relevant agreement.
The Parties	Exporter (who sends the Restricted Transfer)	Importer (who receives the Restricted Transfer)
Parties’ details	See Part 1 of Schedule 1	See Part 1 of Schedule 1
Key Contact	See Part 1 of Schedule 1	See Part 1 of Schedule 1

‍

Tabelle 2: Ausgewählte SCCs, Module und ausgewählte Klauseln

Addendum EU SCCs	☒ The version of the Approved EU SCCs which this Addendum is appended to, detailed below, including the Appendix Information: Date: The date shall be the same as the date of the relevant agreement Reference (if any): Module 1: Controller-to-Controller and Module 2: Controller-to-Processor Other identifier (if any): Not used

‍

Tabelle 3: Anhang Informationen

“Anhang Informationen” sind die Informationen, die für die ausgewählten Module wie im Anhang der genehmigten EU-SCCs (außer den Partien) angegeben werden müssen. und welches für diesen Addendum festgelegt ist:

Annex 1A: List of Parties: Part 1 of Schedule 1
Annex 1B: Description of Transfer: Part 2 of Schedule 1
Annex II: Technical and organisational measures including technical and organisational measures to ensure the security of the data: Part 4 of Schedule 1

‍

Tabelle 4: Beendet diesen Nachtrag, wenn sich der Zusatz geändert hat

Ending this Addendum when the Approved Addendum changes	Which Parties may end this Addendum as set out in Section ‎19: ☒ Importer ☒ Exporter ☐ neither Party

‍

Teil 2: Pflichtklauseln

Mandatory Clauses	Part 2: Mandatory Clauses of the Approved Addendum, being the template Addendum B.1.0 issued by the ICO and laid before Parliament in accordance with s119A of the Data Protection Act 2018 on 28 January 2022, as it is revised under Section ‎‎18 of those Mandatory Clauses.

‍

SCHEDULE 1

‍

BESCHREIBUNG DER TRANSFER

‍

Teil 1, Teil 2, Teil 3 und Teil 4 dieses Zeitplans ist Teil der EU SCCs (Modul 1 und Modul 2)

‍

Teil 1, Teil 2, Teil 3 und Teil 4 dieses Zeitplans ist Teil der britischen SCCs

‍

Teil 1

‍

DATA EXPORTER UND DATEN WICHTIGE

‍

DATA-Export

‍

Die Datenexporteure sind:

‍

Alle im EWR und/oder im Vereinigten Königreich ansässigen Controllers und Prozessoren, die persönliche Daten an einen außerhalb des EWR ansässigen Datenempfänger übermitteln, das Vereinigte Königreich oder ein adäquates Land, wie in der entsprechenden Vereinbarung festgelegt, einschließlich der GVE Global Vision Inc. mit Sitz in 16800 Rte Transcanadienne, Kirkland, Quebec, H9H 4M7, Kanada.

Rolle (Controller/Prozessor):

(1)Modul 1: Controller zu Controller
Controller

(2) Modul 2: Controller-to-Processor
Controller oder Prozessor

‍

DATA-WICHTIGE

‍

Die Daten-Importeure sind:

‍

Alle Controllers und Processors außerhalb des EWR und/oder des Vereinigten Königreichs, an die personenbezogene Daten von den im EWR ansässigen Controllern und Prozessoren übertragen werden das Vereinigte Königreich oder wer auf die persönlichen Daten von außerhalb des EWR, des Vereinigten Königreichs oder eines angemessenen Landes zugreift, wie in der entsprechenden Vereinbarung festgelegt, einschließlich der GVE Global Vision Inc. mit Sitz in 16800 Rte Transcanadienne, Kirkland, Quebec, H9H 4M7, Kanada.

‍

Rolle (Controller/Prozessor):

‍

1)Modul 1: Controller-zu-Controller

Controller

‍

(2) Modul 2: Controller-to-Processor

Controller oder Prozessor

‍

AKTIVITÄTEN RELEVANT AUF DIE TRANSFER

‍

Der Betrieb des Geschäfts von GVE Global Vision Inc. erfordert die grenzüberschreitende Übermittlung oder personenbezogene Daten zwischen den Datenexporteuren und den Datenimporteuren.

‍

KONTAKTPUNKT FÜR DATENSCHUTZ ENKURIEN

‍

GVE Global Vision Inc.

Per E-Mail: privacy@globalvision.co

Per Post: GVE Global Vision Inc.

Attn: Compliance-Abteilung

16800 Route Trans-Canada

Kirkland, Quebec, H9H 4M7

Kanada

‍

Unser Datenschutzbeauftragter oder Datenschutzbeauftragter, der Direktor der Geschäftsführung, Risiken und Compliance, können unter der oben angegebenen E-Mail oder Postadresse kontaktiert werden.

‍

Teil 2

BESCHREIBUNG DES PROZESING UND TRANSFER

‍

Kategorien von Datengegenständen, deren persönliche Daten übertragen werden

Die verarbeiteten und übermittelten personenbezogenen Daten betreffen die folloKategorien der Datengegenstände:

Geschäftskunden und deren autorisierte Benutzer
Website-Besucher

‍

Übertragene Kategorien persönlicher Daten

Die verarbeiteten und übermittelten personenbezogenen Daten betreffen folgende Datenkategorien:

Identifikation und Kontaktinformationen
Konto- und Authentifizierungsdaten
Benutzung, Gerät und technische Daten

‍

Sensitive Daten übertragen (falls zutreffend) und angewandte Einschränkungen oder Sicherheitsvorkehrungen, die die Art der Daten und die damit verbundenen Risiken voll berücksichtigen wie zum Beispiel eine strenge Zweckbegrenzung, Zugriffsbeschränkungen (einschließlich des Zugangs nur für Mitarbeiter mit spezieller Schulung), Aufzeichnung des Zugriffs auf die Daten, Einschränkungen für Weiterübertragungen oder zusätzliche Sicherheitsmaßnahmen.

Nicht absichtlich verarbeitet.

‍

Für sensible Daten relevante technische und organisatorische Maßnahmen sind in Teil 4 des Zeitplans 1 festgelegt.

‍

Die Frequenz der Übertragung (z.B. ob die Daten einmalig oder kontinuierlich übertragen werden).

Die Häufigkeit der Übermittlung personenbezogener Daten zwischen dem Datenexporteur und dem Datenimporteur wird für die Dauer des Abkommens zwischen dem Datenexporteur und dem Datenimporteur oder gelegentlich für Besucher der Website fortgesetzt.

‍

Art der Verarbeitung

Die Art der Verarbeitung beinhaltet (je nach Bedarf für die unten aufgeführten Zwecke):

Erhebung, Empfang, Kompensierung, Zugriff, Überprüfung, Organisation, Strukturierung, Änderung, Anpassung, Analyse und Verwendung der personenbezogenen Daten
Personendaten aufnehmen, speichern, archivieren und löschen
Weitergabe, Weitergabe und Weitergabe personenbezogener Daten (einschließlich Datenimporteuren und deren Partner und Mitarbeiter; Drittanbieter von Datenimporteuren und Mitarbeitern solcher Drittanbieter; juristische und regulatorische Gremien, Gerichte, Tribunale, Regierungsbehörden und Strafverfolgungsbehörden, professionelle Berater, Wirtschaftsprüfer und Berater sowie Finanzorganisationen und Berater
Wie sonst erforderlich für die unten aufgeführten Zwecke.

‍

Zweck(e) der Datenübertragung und Weiterverarbeitung

Die Verarbeitung und Übermittlung personenbezogener Daten erfolgt zu folgenden Zwecken:

Lieferung unserer Produkte und Erbringung unserer Dienstleistungen
Kunden-Support
Verbesserung unserer Produkte und Dienstleistungen
Nutzer-Adoptionsanalyse
Überbeanspruchungsüberwachung
Senden von Marketingkommunikation
Organisiere Termine
Aufrechterhaltung der Sicherheit unserer Produkte und Dienstleistungen
Erfüllung unserer rechtlichen Verpflichtungen

‍

Der Zeitraum, für den die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien, die zur Bestimmung dieses Zeitraums verwendet werden.

Die Zeiträume für die Speicherung der personenbezogenen Daten werden unter Berücksichtigung der Anforderungen des geltenden Rechts und des Zwecks, für den die personenbezogenen Daten verarbeitet werden, festgelegt. unter Berücksichtigung rechtlicher und regulatorischer Verpflichtungen, Verjährungsfristen für Klagen, bewährte Verfahren und GVE Global Vision Inc. s geschäftlichen Zwecken.

‍

Für die Übertragung an (Sub-)Prozessoren spezifizieren Sie auch die Sachlage, die Art und die Dauer der Verarbeitung.

‍

Modul 1: Controller zu Controller

Nicht zutreffend

‍

Modul 2: Controller-to-Processor

Der Zweck, die Art und die Dauer der Übertragung an Prozessoren und Subprozessoren ist wie oben beschrieben, abhängig von den Anforderungen des Moduls 2: Controller-to-Processor SCCs.

‍

Teil 3

‍

COMPETENT SUPERVISORY AUTHORITY (EU SCCS)

‍

Für die Zwecke von Ziffer 13 der EUSCs Die zuständige Aufsichtsbehörde sowie das für die EU-SCC geltende Recht und die Gerichtsbarkeit gelten als Irland.

‍

Teil 4

‍

TECHNISCHE UND ORGANISATIONALLE MEASUREN EINSCHLIESSLICH TECHNISCHEN UND ORGANISATIONALLE MEASUREN ZU EINSCHLIESSLICH DER SICHERUNG DER DATEN

‍

Die GVE Global Vision Inc. hat folgende technische und organisatorische Maßnahmen ergriffen, um die Sicherheit personenbezogener Daten zu gewährleisten:

‍

Messungen zur Verschlüsselung persönlicher Daten

GVE Global Vision Inc. schützt personenbezogene Daten durch eine Kombination von starker Verschlüsselung (bei Ruhe und Transit), Zugriffskontrollen und organisatorische Richtlinien, abgestimmt auf Industriestandards und Datenschutzbestimmungen.

‍

Maßnahmen zur Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandskraft von Verarbeitungssystemen und -dienstleistungen

GVE Global Vision Inc. gewährleistet ständige Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandskraft der Verarbeitungssysteme und -dienstleistungen durch einen schichtigen technischen Ansatz organisatorische und prozedurale Kontrollen, die sich an bewährten Praktiken orientieren und regelmäßig auf Effektivität überprüft werden.

‍

Maßnahmen zur Sicherstellung der Möglichkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten rechtzeitig im Falle eines physischen oder technischen Zwischenfalls wiederherzustellen

GVE Global Vision Inc. hat RTO und RPO Ziele gesetzt. Auf der Grundlage dieser festgelegten Ziele werden der Schutz und die Wiederherstellung des Zugriffs und personenbezogener Daten durch Sicherungen sichergestellt. Diese Backups sind Teil eines ganzheitlichen Business Continuity Plans. Dieser Plan wird in regelmäßigen Abständen getestet.

‍

Prozesse zur regelmäßigen Erprobung, Bewertung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

GVE Global Vision Inc. gewährleistet die ständige Wirksamkeit der technischen und organisatorischen Sicherheitsmaßnahmen durch ein strukturiertes Audit-Programm, Verwundbarkeitsprüfungen, Penetrationstests, Strategieüberprüfungen, Tabellenkalkulationen, Mitarbeiterschulungen und regelmäßige Managementberichterstattung. Diese Prozesse werden dokumentiert, regelmäßig aktualisiert und an internationale Standards angepasst. GVE Global Vision Inc. ist ISO 27001 und ISO 9001 zertifiziert.

‍

Maßnahmen für Benutzeridentifikation und Autorisierung

GVE Global Vision Inc. sichert eine sichere Benutzeridentifikation und Autorisierung durch eindeutige Benutzer-IDs, zentralisiertes Identitätsmanagement, RBAC, starke Authentifizierung (einschließlich MFA), regelmäßige Zugriffsüberprüfungen und umfassende Überwachung. Diese Maßnahmen werden durch dokumentierte Richtlinien und regelmäßige Schulungen geregelt.

‍

Maßnahmen zur Gewährleistung der physischen Sicherheit von Orten, an denen personenbezogene Daten verarbeitet werden

GVE Global Vision Inc. gewährleistet die physische Sicherheit von Orten, in denen personenbezogene Daten verarbeitet werden, durch eingeschränkten Zugang, elektronische Eintragskontrollen, Überwachung, Umweltschutz, sicheres Gerätemanagement, regelmäßige Audits und Mitarbeiterschulung. Diese Maßnahmen werden durch eine formelle Politik geregelt und sind an internationale Standards angeglichen. Global Vision ist ISO 27001 und ISO 9001 zertifiziert.

‍

Maßnahmen zur Sicherstellung der Ereignisprotokollierung

GVE Global Vision Inc. stellt sicher, dass die Systeme durch verschiedene Werkzeuge überwacht werden. Protokolle werden nach den Richtlinien zur Datenspeicherung von Global Vision gespeichert und gepflegt.

‍

Maßnahmen zur Sicherstellung der Systemkonfiguration, einschließlich der Standardkonfiguration

GVE Global Vision Inc. sichert eine sichere Systemkonfiguration durch Durchsetzung gehärteter Baselines, Überprüfung und Aktualisierung der Standardeinstellungen, mithilfe automatisierter Konfigurations- und Patchverwaltungswerkzeuge die Anwendung von Zugriffskontrollrichtlinien, die Durchführung von Audits und die Pflege einer umfassenden Dokumentation und Personalschulung.

‍

Messungen für interne IT-Sicherheits-Governance und -Management

GVE Global Vision Inc. s interne IT und IT Security Governance basiert auf klaren Rollen, Richtlinien, Risikomanagement, Einhaltung von Standards. kontinuierliche Überwachung, formales Change Management, regelmäßige Schulungen, Lieferantenmanagement und laufende Prüfungen und Verbesserungen.

‍

Maßnahmen zur Zertifizierung/Sicherung von Prozessen und Produkten

GVE Global Vision Inc. sichert die Zertifizierung und Absicherung ihrer Prozesse und Produkte durch Anpassung an internationale Standards wie ISO 27001 (Informationssicherheit) und ISO 9001 (Qualitätsmanagement), regelmäßige interne und externe Audits, unabhängige Bewertungen Dritter, sichere Entwicklungs- und QA-Praktiken, formale Richtlinien und das Engagement für kontinuierliche Verbesserungen.

‍

Maßnahmen zur Sicherung der Datenqualität

GVE Global Vision Inc. sichert die Datenqualität durch Validierungskontrollen, regelmäßige Überprüfungen, Korrekturmechanismen, Zugriffsbeschränkungen, Audit-Wege, Personalschulung und formelle Richtlinien.

‍

Maßnahmen zur Sicherstellung einer begrenzten Vorratsdatenspeicherung

Die Daten werden auf schriftliche Anfrage des Kunden jederzeit gelöscht.

‍

Maßnahmen zur Sicherstellung der Rechenschaftspflicht

GVE Global Vision Inc. sichert die Rechenschaftspflicht durch Zugriffskontrollen (RBAC, Authentifizierung, Zugriffsüberprüfungen, Prüfpfade, Trennung von Pflichten), klare Governance, umfassende Richtlinien, obligatorische Schulung, gründliche Dokumentation, regelmäßige Risikobewertungen und Audits, Störungsmeldungen, kontinuierliche Verbesserung und strikte Verwaltung von Drittanbietern.

‍

PART 5

‍

SUB-PROZESSORS

‍

Eine Liste der Unterprozessoren der GVE Global Vision Inc. kann über den folgenden Link aufgerufen werden: https://trust.globalvision.co/subprocessors

‍

¹ Wo der Datenexporteur ein Prozessor ist, der der Verordnung (EU) 2016/679 unterliegt, der im Namen einer Institution oder Institution der Union als Controller tätig ist, die Verwendung dieser Klauseln bei der Einbeziehung eines anderen Verarbeiters (Unterverarbeitung), der nicht der Verordnung (EU) 2016/679 unterliegt, gewährleistet auch die Einhaltung von Artikel 29 Absatz 4 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Institutionen der Union. Einrichtungen, Büros und Agenturen sowie der freie Verkehr solcher Daten und Aufhebung der Verordnung (EG) Nr. 45/2001 und der Entscheidung Nr. 1247/2002/EG (AJ L 295, 21. 1.2018, S. 39), soweit diese Klauseln und die Datenschutzverpflichtungen, wie sie im Vertrag oder sonstigen Rechtsakt zwischen dem Kontrolleur und dem Verarbeiter gemäß Artikel 29 Absatz 3 der Verordnung (EU) 2018/1725 festgelegt sind, in Einklang stehen. Dies gilt insbesondere dann, wenn der Regler und Verarbeiter auf die vertraglichen Standardklauseln des Beschlusses 2021/915 angewiesen sind.

² Dazu muss die Daten so anonym dargestellt werden, dass die Person von niemandem mehr identifiziert werden kann in Übereinstimmung mit Erwägungsgrund 26 der Verordnung (EU) 2016/679, und dass dieser Prozess unumkehrbar ist.

³ Das Abkommen über den Europäischen Wirtschaftsraum (EEA-Abkommen) sieht die Ausweitung des Binnenmarktes der Europäischen Union auf Island der drei EWR-Staaten vor. Liechtenstein und Norwegen. Die Datenschutzgesetzgebung der Union, einschließlich der Verordnung (EU) 2016/679, fällt unter das EWR-Abkommen und wurde in Anhang XI aufgenommen. Daher Eine Weitergabe durch den Datenimporteur an einen im EWR ansässigen Dritten gilt nicht als Weitergabe für den Zweck dieser Klauseln.

⁴ Dieser Zeitraum kann um maximal zwei weitere Monate verlängert werden im erforderlichen Umfang unter Berücksichtigung der Komplexität und Anzahl der Anfragen. Der Datenimporteur wird den Betroffenen über eine solche Erweiterung ordnungsgemäß und unverzüglich informieren.

⁵ Was die Auswirkungen solcher Gesetze und Praktiken auf die Einhaltung dieser Klauseln betrifft, verschiedene Elemente können als Teil einer Gesamtbewertung betrachtet werden. Solche Elemente können relevante und dokumentierte praktische Erfahrungen mit früheren Anträgen auf Offenlegung durch Behörden umfassen. oder das Fehlen solcher Anträge, die einen ausreichend repräsentativen Zeitrahmen abdecken. Dies bezieht sich insbesondere auf interne Datensätze oder andere Dokumentationen, kontinuierlich nach Sorgfaltspflicht erstellt und auf leitender Ebene zertifiziert vorausgesetzt, dass diese Informationen rechtmäßig an Dritte weitergegeben werden können. Wenn diese praktische Erfahrung darauf beruht, dass der Datenimporteur nicht daran gehindert wird, diese Klauseln einzuhalten, es muss durch andere relevante, objektive Elemente unterstützt werden, und es ist Sache der Vertragsparteien, sorgfältig zu prüfen, ob diese Elemente zusammen ausreichend Gewicht haben, in Bezug auf ihre Zuverlässigkeit und Repräsentativität, um diese Schlussfolgerung. Insbesondere müssen die Vertragsparteien berücksichtigen, ob ihre praktische Erfahrung bestätigt und nicht von öffentlich zugänglichen oder anderweitig zugänglichen Personen widerlegt wird. zuverlässige Informationen über das Bestehen oder das Fehlen von Anfragen innerhalb desselben Bereichs und/oder die Anwendung des Gesetzes in der Praxis B. Fallrecht und Berichte unabhängiger Aufsichtsorgane.

⁶ Wo der Datenexporteur ein Prozessor ist, der der Verordnung (EU) 2016/679 unterliegt, der im Namen einer Institution oder Institution der Union als Controller tätig ist, die Verwendung dieser Klauseln bei der Einbeziehung eines anderen Verarbeiters (Unterverarbeitung), der nicht der Verordnung (EU) 2016/679 unterliegt, gewährleistet auch die Einhaltung von Artikel 29 Absatz 4 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Institutionen der Union. Einrichtungen, Büros und Agenturen sowie der freie Verkehr solcher Daten und Aufhebung der Verordnung (EG) Nr. 45/2001 und der Entscheidung Nr. 1247/2002/EG (AJ L 295, 21. 1.2018, S. 39), soweit diese Klauseln und die Datenschutzverpflichtungen, wie sie im Vertrag oder sonstigen Rechtsakt zwischen dem Kontrolleur und dem Verarbeiter gemäß Artikel 29 Absatz 3 der Verordnung (EU) 2018/1725 festgelegt sind, in Einklang stehen. Dies gilt insbesondere dann, wenn der Regler und Verarbeiter auf die vertraglichen Standardklauseln des Beschlusses 2021/915 angewiesen sind.

⁷ Das Abkommen über den Europäischen Wirtschaftsraum (EEA-Abkommen) sieht die Ausweitung des Binnenmarktes der Europäischen Union auf Island der drei EWR-Staaten vor. Liechtenstein und Norwegen. Die Datenschutzgesetzgebung der Union, einschließlich der Verordnung (EU) 2016/679, fällt unter das EWR-Abkommen und wurde in Anhang XI aufgenommen. Daher Eine Weitergabe durch den Datenimporteur an einen im EWR ansässigen Dritten gilt nicht als Weitergabe für den Zweck dieser Klauseln. lege die Fußnote ab, die du unter Clause 8.9 von Modul 2 hinzugefügt hast

⁸ Diese Anforderung kann erfüllt werden, wenn der Subprozessor diesen Klauseln unter dem entsprechenden Modul beitritt in Übereinstimmung mit Ziffer 7.

⁹ Bezüglich der Auswirkungen solcher Gesetze und Praktiken auf die Einhaltung dieser Klauseln verschiedene Elemente können als Teil einer Gesamtbewertung betrachtet werden. Solche Elemente können relevante und dokumentierte praktische Erfahrungen mit früheren Anträgen auf Offenlegung durch Behörden umfassen. oder das Fehlen solcher Anträge, die einen ausreichend repräsentativen Zeitrahmen abdecken. Dies bezieht sich insbesondere auf interne Datensätze oder andere Dokumentationen, kontinuierlich nach Sorgfaltspflicht erstellt und auf leitender Ebene zertifiziert vorausgesetzt, dass diese Informationen rechtmäßig an Dritte weitergegeben werden können. Wenn diese praktische Erfahrung darauf beruht, dass der Datenimporteur nicht daran gehindert wird, diese Klauseln einzuhalten, es muss durch andere relevante, objektive Elemente unterstützt werden, und es ist Sache der Vertragsparteien, sorgfältig zu prüfen, ob diese Elemente zusammen ausreichend Gewicht haben, in Bezug auf ihre Zuverlässigkeit und Repräsentativität, um diese Schlussfolgerung. Insbesondere müssen die Vertragsparteien berücksichtigen, ob ihre praktische Erfahrung bestätigt und nicht von öffentlich zugänglichen oder anderweitig zugänglichen Personen widerlegt wird. zuverlässige Informationen über das Bestehen oder das Fehlen von Anfragen innerhalb desselben Bereichs und/oder die Anwendung des Gesetzes in der Praxis B. Fallrecht und Berichte unabhängiger Aufsichtsorgane.

EU KOMMISSION STANDARD CONTRACTUAL KLAUSES (EU SCC) UND UK ADDENDUM

MODULE 1: CONTROLLER-TO-CONTROLLER

ABSCHNITT I

Satz 1

Satz 2

Satz 3

Satz 4

Satz 5

Satz 6

Satz 7

ABSCHNITT II – EINGESCHLOSSUNGEN DER PARTIES

Satz 8

8.1 Zweckbegrenzung

8.2 Transparenz

8.3 Genauigkeit und Datenminimierung

8.4 Speicherbeschränkung

8.5 Sicherheit der Verarbeitung

8.6 Sensitive Daten

8.7 Weitergehende Übertragungen

8.8 Verarbeitung unter der Autorität des Datenimporteurs

8.9 Dokumentation und Compliance

Satz 9

Satz 10

Satz 11

Satz 12

Satz 13

ABSCHNITT III – LOKALE GESCHÄFTSBEDINGUNGEN IN ZUSAMMENHANDLUNGEN DURCH AUTHORITÄTEN

Satz 14

Satz 15

15.1 Benachrichtigung

15.2 Überprüfung der Rechtmäßigkeit und der Datenminimierung

ABSCHNITT IV – FINALE PROVISIONEN

Satz 16

Satz 17

Satz 18

APPENDIX

ANNEX I‍

ANNEX II

MODULE 2: CONTROLLER-TO-PROCESSOR

ABSCHNITT I

Satz 1

Satz 2

Satz 3

Satz 4

Satz 5

Satz 6

Satz 7

ABSCHNITT II – EINGESCHLOSSUNGEN DER PARTIES

Satz 8

8.1 Anweisungen

8.2 Zweckbegrenzung

8.3 Transparenz

8.4 Genauigkeit

8.5 Dauer der Verarbeitung und Löschung oder Rückgabe der Daten

8.6 Sicherheit der Verarbeitung

8.7 Sensitive Daten

8.8 Weiterübertragungen

8.9 Dokumentation und Compliance

Satz 9

Satz 10

Satz 11

Satz 12

Satz 13

ABSCHNITT III – LOKALE GESCHÄFTSBEDINGUNGEN IN ZUSAMMENHANDLUNGEN DURCH AUTHORITÄTEN

Satz 14

Satz 15

15.1 Benachrichtigung

ABSCHNITT IV – FINALE PROVISIONEN

Satz 16

Satz 17

Satz 18

APPENDIX

ANNEX I

ANNEX II

TECHNISCHE UND ORGANISATIONALLE MEASUREN EINSCHLIESSLICH TECHNISCHEN UND ORGANISATIONALLE MEASUREN ZU EINSCHLIESSLICH DER SICHERUNG DER DATEN

‍

ANNEX III

LISTE VON SUB-PROZESSORS

UK International Data Transfer Addendum an die EU SCC

SCHEDULE 1

ANNEX I
‍