Datenverarbeitungsvertrag
Gemäß dem Durchführungsbeschluss der Europäischen Kommission vom 4. Juni 2021 über EU-Standardvertragsklauseln (SCC) zwischen für die Verarbeitung Verantwortlichen und Auftragsverarbeitern gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates und Artikel 29 Absatz 7 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates
Datenverarbeitungsvertrag
Abschnitt I
(a) Der Zweck dieser Standardvertragsklauseln (die Klauseln) besteht darin, die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sicherzustellen.
(b) Die in Anhang I aufgeführten für die Verarbeitung Verantwortlichen und Auftragsverarbeiter haben diesen Klauseln zugestimmt, um die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 und/oder Artikel 29 Absätze 3 und 4 der Verordnung (EU) 2018/1725 sicherzustellen.
(c) Diese Klauseln gelten für die Verarbeitung der in Anhang II aufgeführten personenbezogenen Daten.
(d) Die Anhänge I bis IV sind Bestandteil der Klauseln.
(e) Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der für die Verarbeitung Verantwortliche gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt.
(f) Diese Klauseln gewährleisten für sich genommen nicht die Einhaltung der Verpflichtungen im Zusammenhang mit internationalen Übermittlungen gemäß Kapitel V der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725.
(a) Die Parteien verpflichten sich, die Klauseln nicht zu ändern, mit Ausnahme des Hinzufügens von Informationen zu den Anhängen oder der Aktualisierung der darin enthaltenen Informationen.
(b) Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfassenderen Vertrag aufzunehmen oder weitere Klauseln oder zusätzliche Schutzmaßnahmen hinzuzufügen, sofern sie den Klauseln nicht direkt oder indirekt widersprechen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beeinträchtigen.
(a) Wenn in diesen Klauseln die in der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 definierten Begriffe verwendet werden, haben diese Begriffe dieselbe Bedeutung wie in dieser Verordnung.
(b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 zu lesen und auszulegen.
(c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die den in der Verordnung (EU) 2016/679/Verordnung (EU) 2018/1725 vorgesehenen Rechten und Pflichten zuwiderläuft, oder in einer Weise, die die Grundrechte oder Grundfreiheiten der betroffenen Personen beeinträchtigt.
Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen verwandter Vereinbarungen zwischen den Parteien, die zum Zeitpunkt der Vereinbarung oder des späteren Abschlusses dieser Klauseln bestanden, haben diese Klauseln Vorrang.
Docking-Klausel
(a) Jedes Unternehmen, das nicht Vertragspartei dieser Klauseln ist, kann mit Zustimmung aller Parteien diesen Klauseln jederzeit als für die Verarbeitung Verantwortlicher oder Verarbeiter beitreten, indem es die Anlagen ausfüllt und Anlage I unterzeichnet.
(b) Sobald die Anlagen unter (a) ausgefüllt und unterzeichnet sind, gilt das beitretende Unternehmen als Vertragspartei dieser Klauseln und hat gemäß seiner Benennung in Anlage I die Rechte und Pflichten eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters.
(c) Das beitretende Unternehmen hat keine Rechte oder Pflichten, die sich aus diesen Klauseln aus der Zeit vor dem Beitritt zur Vertragspartei ergeben.
Datenverarbeitungsvertrag
Abschnitt II: Pflichten der Parteien
Die Einzelheiten der Verarbeitungsvorgänge, insbesondere die Kategorien personenbezogener Daten und die Verarbeitungszwecke, für die die personenbezogenen Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet werden, sind in Anhang II aufgeführt.
7.1. Anweisungen
(a) Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf Grundlage dokumentierter Anweisungen des für die Verarbeitung Verantwortlichen, sofern er nicht nach dem Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, dazu verpflichtet ist. In diesem Fall informiert der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen vor der Verarbeitung über diese gesetzliche Anforderung, es sei denn, das Gesetz verbietet dies aus wichtigen Gründen des öffentlichen Interesses. Der für die Verarbeitung Verantwortliche kann während der gesamten Dauer der Verarbeitung personenbezogener Daten auch nachfolgende Anweisungen erteilen. Diese Anweisungen müssen stets dokumentiert werden.
(b) Der Auftragsverarbeiter informiert den für die Verarbeitung Verantwortlichen unverzüglich, wenn seiner Meinung nach die Anweisungen des für die Verarbeitung Verantwortlichen gegen die Verordnung (EU) 2016/679/Verordnung (EU) 2018/1725 oder die geltenden Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstoßen.
7.2. Zweckbeschränkung
Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur für den oder die spezifischen Zwecke der Verarbeitung gemäß Anhang II, , sofern er keine weiteren Anweisungen vom für die Verarbeitung Verantwortlichenerhält.
7.3. Dauer der Verarbeitung personenbezogener Daten
Die Verarbeitung durch den Verarbeiter erfolgt nur für die in Anhang II angegebene Dauer.
7.4. Sicherheit der Verarbeitung
(a) Der Auftragsverarbeiter trifft mindestens die in Anhang III aufgeführten technischen und organisatorischen Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dazu gehört auch der Schutz der Daten vor einer Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf die Daten führt (Verletzung personenbezogener Daten). Bei der Bewertung des angemessenen Sicherheitsniveaus tragen die Vertragsparteien dem Stand der Technik, den Kosten der Umsetzung, Art, Umfang, Kontext und Zweck der Verarbeitung sowie den damit verbundenen Risiken für die betroffenen Personen gebührend Rechnung.
(b) Der Auftragsverarbeiter gewährt Mitgliedern seines Personals Zugriff auf die personenbezogenen Daten, die Gegenstand der Verarbeitung sind, nur insoweit, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter stellt sicher, dass sich die zur Verarbeitung der erhaltenen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
7.5. Sensible Daten
Umfasst die Verarbeitung personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetische Daten oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit oder das Sexualleben oder die sexuelle Orientierung einer Person oder Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten („sensible Daten“), wendet der Auftragsverarbeiter besondere Einschränkungen und/oder zusätzliche Schutzmaßnahmen an.
7.6 Dokumentation und Einhaltung
(a) Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können.
(b) Der Auftragsverarbeiter muss Anfragen des für die Verarbeitung Verantwortlichen zur Datenverarbeitung gemäß diesen Klauseln umgehend und angemessen bearbeiten.
(c) Der Auftragsverarbeiter stellt dem für die Verarbeitung Verantwortlichen alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der in diesen Klauseln festgelegten Verpflichtungen erforderlich sind und sich direkt aus der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 ergeben. Auf Anfrage des für die Verarbeitung Verantwortlichen gestattet der Auftragsverarbeiter auch Prüfungen der unter diese Klauseln fallenden Verarbeitungstätigkeiten und trägt dazu bei, und zwar in angemessenen Abständen oder wenn es Anzeichen für eine Nichteinhaltung gibt. Bei der Entscheidung über eine Überprüfung oder ein Audit kann der für die Verarbeitung Verantwortliche die entsprechenden Zertifizierungen des Auftragsverarbeiters berücksichtigen.
(d) Der für die Verarbeitung Verantwortliche kann wählen, ob er die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen möchte. Audits können auch Inspektionen in den Geschäftsräumen oder physischen Einrichtungen des Verarbeiters umfassen und müssen gegebenenfalls mit einer angemessenen Frist durchgeführt werden.
(e) Die Parteien stellen den zuständigen Aufsichtsbehörden die in dieser Klausel genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.
7.7. Einsatz von Subprozessoren
(a)
Der Auftragsverarbeiter hat die allgemeine Genehmigung des für die Verarbeitung Verantwortlichen, Unterauftragsverarbeiter aus einer vereinbarten Liste zu beauftragen. Der Auftragsverarbeiter informiert den für die Verarbeitung Verantwortlichen ausdrücklich schriftlich über alle beabsichtigten Änderungen dieser Liste durch Hinzufügung oder Ersetzung von Unterauftragsverarbeitern mindestens 3 Wochen im Voraus, sodass der für die Verarbeitung Verantwortliche ausreichend Zeit hat, um solchen Änderungen vor der Beauftragung des oder der betroffenen Unterauftragsverarbeiter zu widersprechen. Der Auftragsverarbeiter stellt dem für die Verarbeitung Verantwortlichen die erforderlichen Informationen zur Verfügung, damit der für die Verarbeitung Verantwortliche das Widerspruchsrecht ausüben kann.
(b) Wenn der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Namen des für die Verarbeitung Verantwortlichen) beauftragt, tut er dies im Rahmen eines Vertrags, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzverpflichtungen auferlegt wie die, die dem Datenverarbeiter gemäß diesen Klauseln auferlegt werden. Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter die Verpflichtungen einhält, denen der Auftragsverarbeiter gemäß diesen Klauseln und der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt.
(c) Auf Anfrage des für die Verarbeitung Verantwortlichen stellt der Prozessor dem für die Verarbeitung Verantwortlichen eine Kopie einer solchen Unterauftragsvereinbarung und aller nachfolgenden Änderungen zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Auftragsverarbeiter den Vertragstext vor der Weitergabe der Kopie redigieren.
(d)
Der Auftragsverarbeiter bleibt gegenüber dem für die Verarbeitung Verantwortlichen in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters gemäß seinem Vertrag mit dem Auftragsverarbeiter verantwortlich. Der Auftragsverarbeiter informiert den für die Verarbeitung Verantwortlichen über jede Nichterfüllung seiner vertraglichen Verpflichtungen durch den Unterauftragsverarbeiter.
(e) Der Auftragsverarbeiter vereinbart mit dem Unterauftragsverarbeiter eine Klausel über Drittbegünstigte, wonach — falls der Auftragsverarbeiter tatsächlich verschwunden ist, rechtlich nicht mehr existiert oder zahlungsunfähig geworden ist — der für die Verarbeitung Verantwortliche das Recht hat, den Unterauftragsverarbeiter zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.
7.8. Internationale Überweisungen
(a) Jede Übermittlung von Daten an ein Drittland oder eine internationale Organisation durch den Auftragsverarbeiter erfolgt nur auf der Grundlage dokumentierter Anweisungen des für die Verarbeitung Verantwortlichen oder zur Erfüllung einer bestimmten Anforderung nach dem Recht der Union oder der Mitgliedstaaten, denen der Auftragsverarbeiter unterliegt , und erfolgt in Übereinstimmung mit Kapitel V der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725.
(b)
Der für die Verarbeitung Verantwortliche erklärt sich damit einverstanden, dass der Prozessor einen Unterauftragsverarbeiter gemäß Klausel 7.7 beauftragt. für die Durchführung bestimmter Verarbeitungstätigkeiten (im Namen des für die Verarbeitung Verantwortlichen) und diese Verarbeitungstätigkeiten eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der Verordnung (EU) 2016/679 beinhalten, können der Auftragsverarbeiter und der Unterauftragsverarbeiter die Einhaltung von Kapitel V der Verordnung (EU) 2016/679 sicherstellen, indem sie Standardvertragsklauseln verwenden, die von der Kommission gemäß Artikel 46 Absatz 2 der Verordnung (EU) 2016/679 angenommen wurden, sofern die Bedingungen für die Verwendung dieser Standardvertragsklauseln vorliegen sind erfüllt.
(a) Der Auftragsverarbeiter informiert den für die Verarbeitung Verantwortlichen unverzüglich über jede Anfrage, die er von der betroffenen Person erhalten hat. Sie beantwortet die Anfrage nicht selbst, es sei denn, der für die Verarbeitung Verantwortliche hat sie dazu ermächtigt.
(b)
Der Auftragsverarbeiter unterstützt den für die Verarbeitung Verantwortlichen bei der Erfüllung seiner Verpflichtungen zur Beantwortung von Anfragen der betroffenen Personen zur Ausübung ihrer Rechte unter Berücksichtigung der Art der Verarbeitung. Bei der Erfüllung seiner Verpflichtungen gemäß (a) und (b) hat der Auftragsverarbeiter die Anweisungen des für die Verarbeitung Verantwortlichen zu befolgen
(c) Zusätzlich zu der Verpflichtung des Auftragsverarbeiters, den für die Verarbeitung Verantwortlichen gemäß Klausel 8 (b) zu unterstützen, unterstützt der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen außerdem dabei, die Einhaltung der folgenden Verpflichtungen sicherzustellen, wobei die Art der Datenverarbeitung und die dem Auftragsverarbeiter zur Verfügung stehenden Informationen berücksichtigt werden:
(1) die Verpflichtung, eine Bewertung der Auswirkungen der geplanten Verarbeitungsvorgänge auf den Schutz personenbezogener Daten durchzuführen (eine „Datenschutz-Folgenabschätzung“), wenn eine Art der Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt;
(2) die Verpflichtung, vor der Verarbeitung die zuständige (n) Aufsichtsbehörde (n) zu konsultieren, wenn eine Datenschutz-Folgenabschätzung ergibt, dass die Verarbeitung ein hohes Risiko mit sich bringen würde, wenn der für die Verarbeitung Verantwortliche keine Maßnahmen zur Risikominderung ergreift;
(3) die Verpflichtung, sicherzustellen, dass personenbezogene Daten korrekt und aktuell sind, indem der für die Verarbeitung Verantwortliche unverzüglich informiert wird, wenn der Auftragsverarbeiter feststellt, dass die von ihm verarbeiteten personenbezogenen Daten unrichtig oder veraltet sind;
(4) die Verpflichtungen in Artikel 32 der Verordnung (EU) 2016/679
(d) Die Vertragsparteien legen in Anlage III die geeigneten technischen und organisatorischen Maßnahmen fest, mit denen der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen bei der Anwendung dieser Klausel unterstützen muss, sowie den Umfang und den Umfang der erforderlichen Unterstützung.
Im Falle einer Verletzung des Schutzes personenbezogener Daten arbeitet der Auftragsverarbeiter mit dem für die Verarbeitung Verantwortlichen zusammen und unterstützt ihn dabei, seinen Verpflichtungen gemäß den Artikeln 33 und 34 der Verordnung (EU) 2016/679 oder gegebenenfalls gemäß den Artikeln 34 und 35 der Verordnung (EU) 2018/1725 nachzukommen, wobei die Art der Verarbeitung und die dem Auftragsverarbeiter zur Verfügung stehenden Informationen berücksichtigt werden.
9.1 Datenschutzverletzung in Bezug auf vom für die Verarbeitung Verantwortliche
Im Falle einer Verletzung des Schutzes personenbezogener Daten in Bezug auf die vom für die Verarbeitung Verantwortlichen verarbeiteten Daten unterstützt der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen:
(a) bei der Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige (n) Aufsichtsbehörde (n), gegebenenfalls ohne unangemessene Verzögerung, nachdem der für die Verarbeitung Verantwortliche davon Kenntnis erlangt hat/ (es sei denn, es ist unwahrscheinlich, dass die Verletzung des Schutzes personenbezogener Daten zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt);
(b) bei der Einholung der folgenden Informationen, die gemäß Artikel 33 Absatz 3 der Verordnung (EU) 2016/679 in der Mitteilung des für die Verarbeitung Verantwortlichen anzugeben sind und mindestens Folgendes enthalten müssen:
(1) die Art der personenbezogenen Daten, einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen sowie der Kategorien und der ungefähren Anzahl der betreffenden personenbezogenen Datensätze;
(2) die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
(3) die Maßnahmen, die der für die Verarbeitung Verantwortliche ergriffen hat oder zu ergreifen beabsichtigt, um der Verletzung des Schutzes personenbezogener Daten zu begegnen, einschließlich gegebenenfalls Maßnahmen zur Minderung ihrer möglichen nachteiligen Auswirkungen.
Wenn und soweit es nicht möglich ist, alle diese Informationen gleichzeitig bereitzustellen, enthält die ursprüngliche Mitteilung die zu diesem Zeitpunkt verfügbaren Informationen; weitere Informationen sind, sobald sie verfügbar sind, anschließend unverzüglich bereitzustellen.
(c) gemäß Artikel 34 der Verordnung (EU) 2016/679 der Verpflichtung nachzukommen, die betroffene Person unverzüglich über die Verletzung des Schutzes personenbezogener Daten zu informieren, wenn die Verletzung des Schutzes personenbezogener Daten wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
9.2 Datenschutzverletzung in Bezug auf vom Prozessor verarbeitete Daten
Im Falle einer Verletzung des Schutzes personenbezogener Daten, die vom Auftragsverarbeiter verarbeitet werden, benachrichtigt der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen unverzüglich, nachdem der Auftragsverarbeiter von der Verletzung Kenntnis erlangt hat. Diese Mitteilung muss mindestens Folgendes enthalten:
(a) eine Beschreibung der Art des Verstoßes (einschließlich, wenn möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen und der betroffenen Datensätze);
(b) die Angaben zu einer Kontaktstelle, bei der weitere Informationen über die Verletzung des Schutzes personenbezogener Daten eingeholt werden können;
(c) seine wahrscheinlichen Folgen und die Maßnahmen, die ergriffen wurden oder zu ergreifen sind, um den Verstoß zu beheben, einschließlich der Abschwächung seiner möglichen nachteiligen Auswirkungen.
Wenn und soweit es nicht möglich ist, alle diese Informationen gleichzeitig bereitzustellen, enthält die ursprüngliche Mitteilung die zu diesem Zeitpunkt verfügbaren Informationen; weitere Informationen sind, sobald sie verfügbar sind, anschließend unverzüglich bereitzustellen.
Die Vertragsparteien legen in Anhang III alle anderen Angaben fest, die der Auftragsverarbeiter bereitzustellen hat, wenn er den für die Verarbeitung Verantwortlichen bei der Erfüllung seiner Verpflichtungen gemäß den Artikeln 33 und 34 der Verordnung (EU) 2016/679 unterstützt.
Data Processing Agreement
SECTION III - Final Provisions
(a) Unbeschadet der Bestimmungen der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 kann der für die Verarbeitung Verantwortliche den Auftragsverarbeiter anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis dieser diese Klauseln einhält oder der Vertrag gekündigt wird. Der Auftragsverarbeiter informiert den für die Verarbeitung Verantwortlichen unverzüglich, falls er aus welchem Grund auch immer nicht in der Lage ist, diese Klauseln einzuhalten.
(b) Der für die Verarbeitung Verantwortliche ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn:
(1) Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter wurde vom für die Verarbeitung Verantwortlichen gemäß Buchstabe a ausgesetzt und wenn die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall innerhalb eines Monats nach der Aussetzung, wiederhergestellt wird;
(2) Der Auftragsverarbeiter verstößt erheblich oder anhaltend gegen diese Klauseln oder gegen seine Verpflichtungen gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725;
(3) Der Auftragsverarbeiter kommt einer verbindlichen Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde (n) in Bezug auf seine Verpflichtungen gemäß diesen Klauseln oder der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 nicht nach.
(c) Der Auftragsverarbeiter ist berechtigt, den -Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn der für die Verarbeitung Verantwortliche, nachdem er den für die Verarbeitung Verantwortlichen darüber informiert hat, dass seine Anweisungen gemäß Klausel 7.1 (b) gegen geltende gesetzliche Anforderungen verstoßen, auf der Einhaltung der Anweisungen besteht.
(d) Nach Beendigung des -Vertragslöscht der Auftragsverarbeiter nach Wahl des für die Verarbeitung Verantwortlichen alle personenbezogenen Daten, die im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet wurden, und bestätigt dem für die Verarbeitung Verantwortlichen, dass er dies getan hat, oder er gibt alle personenbezogenen Daten an den für die Verarbeitung Verantwortlichen zurück und löscht vorhandene Kopien, sofern das Unionsrecht oder das Recht der Mitgliedstaaten die Aufbewahrung von die personenbezogenen Daten. Bis zur Löschung oder Rückgabe der Daten muss der Verarbeiter weiterhin die Einhaltung dieser Klauseln sicherstellen.
Anlage I: Liste der Vertragsparteien
Anlage II: Beschreibung der Verarbeitung
Kategorien von betroffenen Personen , deren personenbezogene Daten verarbeitet werden
☒ Kunden
☐ Aussichten
☒ Abonnenten
☒ Mitarbeiter, Ansprechpartner des für die Verarbeitung Verantwortlichen
☐ Mitarbeiter des Verarbeiters
☒ Kunden des Controllers
☐ Lieferanten
☐ Handelsvertreter
☒ Ansprechpartner
☒ Zahlungsdienstleister des für die Verarbeitung Verantwortlichen
☐ Bewerber
☐ Andere, bitte angeben
………………………..
Kategorien der verarbeiteten personenbezogenen Daten
☒ Stammdaten (z.B. Anrede, Titel, Vorname, Nachname)
☒ Kontaktdaten (z.B. E-Mail-Adresse, Telefonnummer, Faxnummer)
☐ Adressdaten (z. B. Straße, Hausnummer, PLZ, Ort, Land)
☒ Zahlungs-/Finanz- und Bankdaten (z. B. IBAN, BIC, Kreditkartendaten, Zahlungsbedingungen)
☒ Daten zur Auftragsabwicklung (z. B. Bestelldaten, Kundennummer, Kundentyp usw.)
☒ Rechnungsdaten
☒ Daten zum Zahlungsverhalten
☒ IT-Daten (IP-Adressen, Zeitzone, Betriebssystem, Browsersprache)
☐ …
☐ Andere, bitte spezifizieren/andere, bitte spezifizieren
………………………..
Verarbeitete sensible Daten (falls zutreffend) und angewandte Einschränkungen oder Schutzmaßnahmen, die die Art der Daten und die damit verbundenen Risiken in vollem Umfang berücksichtigen, wie z. B. strenge Zweckbeschränkungen, Zugriffsbeschränkungen (einschließlich Zugriff nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Führung von Aufzeichnungen über den Zugriff auf die Daten, Beschränkungen für Weiterübertragungen oder zusätzliche Sicherheitsmaßnahmen.
☐ rassische oder ethnische Herkunft
☐ politische Meinungen
☐ religiöse oder philosophische Überzeugungen
☐ Gewerkschaftsmitgliedschaft
☐ genetische Daten
☐ biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person
☐ Gesundheitsdaten
☐ Daten über das Sexualleben oder die sexuelle Orientierung einer natürlichen Person
☒ keine dieser Daten
………………………..
Art der Verarbeitung
Im Rahmen der im Hauptvertrag definierten Dienstleistungen werden Daten für den angegebenen Zweck verarbeitet.
Zweck (e), für den/die die personenbezogenen Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet werden
Bereitstellung von Software und Dienstleistungen für die Ausführung und Abwicklung von Zahlungsvorgängen, Rechnungsstellung, Rechnungsstellung und Abonnementverwaltung sowie Abwicklung wiederkehrender Zahlungen.
Dauer der Verarbeitung
Die Dauer der Verarbeitung richtet sich nach der Laufzeit der jeweiligen Leistungsvereinbarung (en), es sei denn, die Bestimmungen der Klauseln begründen weitere Pflichten oder Kündigungsrechte. Servicevertrag im Sinne dieser Bestimmung bedeutet den unten bezeichneten Vertrag: xxx………………………..
Geben Sie bei der Verarbeitung durch (Unter-) Prozessorenauch Gegenstand, Art und Dauer der Verarbeitung an
ANLAGE III: technische und organisatorische Maßnahmen, einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit
Bitte fordern Sie den Anhang „Technische/organisatorische Maßnahmen“ unter [email protected] an
Anlage IV: Liste der Unterauftragsverarbeiter
ERLÄUTERNDER HINWEIS:
Dieser Anhang muss ausgefüllt werden, falls Unterauftragsverarbeiter ausdrücklich autorisiert werden (Klausel 7.7 (a), Option 1).
Eine Beschreibung der Unterauftragsverarbeiter (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten für den Fall, dass mehrere Unterauftragsverarbeiter autorisiert sind) finden Sie hier: https://frisbii.com/de/sub-processors/
Der Prozessor informiert über alle geplanten Änderungen/Ergänzungen der Unterauftragsverarbeiter auf der Website https://frisbii.com/de/sub-processors/. Um automatisch benachrichtigt zu werden, kann der Controller hier abonnieren und der Abonnent wird informiert, wenn Änderungen vorgenommen werden.
