Deu
Kontaktiere uns Anmelden Registrieren

Vereinbarung zur Datenverarbeitung

Diese Datenverarbeitungsvereinbarung ("DPA") ergänzt die Nutzungsbedingungen, die von Zeit zu Zeit zwischen Ihnen (zusammen mit Tochtergesellschaften und verbundenen Unternehmen, gemeinsam "Kunde") und Claspo.io (zusammen mit seinen Tochtergesellschaften, gemeinsam als "Claspo.io" bezeichnet) aktualisiert werden, wenn die DSGVO auf die Nutzung der Claspo.io-Dienste durch den Kunden zur Verarbeitung von Kundendaten Anwendung findet.

Diese DPA ist ab dem Datum gültig, an dem der Kunde den Nutzungsbedingungen zustimmt. Im Falle eines Widerspruchs zwischen dieser DPA und den Nutzungsbedingungen haben die entsprechenden Bestimmungen dieser DPA-Vorrang.

Bitte kontaktieren Sie unseren Datenschutzbeauftragten (DSB) unter info@claspo.io, wenn Sie Ratschläge oder Empfehlungen zur Auslegung oder Anwendung der Datenschutzvorschriften benötigen.

DIESE VEREINBARUNG WIRD GESCHLOSSEN ZWISCHEN:

1. Kunde

UND

2. ARDAS INTERNATIONAL INC. mit Sitz in 16192 COASTAL HIGHWAY, LEWES, DE 19958, COUNTY OF SUSSEX, USA, ordnungsgemäß vertreten durch Andrii Ryzhokhin mit der für die Zwecke dieses Dokuments erforderlichen Befugnis und Vollmacht.

WIRD HIERMIT FOLGENDES VEREINBART:

1. Anwendungsbereich und Rangfolge

Diese Vereinbarung (die "Datenverarbeitungsvereinbarung") gilt für Ihre Verarbeitung personenbezogener Daten, die Claspo.io vom Kunden zur Verfügung gestellt werden, wie in der zwischen Claspo.io und dem Kunden abgeschlossenen Vereinbarung vom Datum der Zustimmung des Kunden zu den Nutzungsbedingungen (die "Vereinbarung") näher beschrieben.

Diese Datenverarbeitungsvereinbarung unterliegt den Bestimmungen des Abkommens und ist Bestandteil des Abkommens. Sofern in dieser Datenverarbeitungsvereinbarung nichts anderes angegeben ist, haben im Falle eines Widerspruchs zwischen den Bestimmungen der Vereinbarung und den Bestimmungen dieser Datenverarbeitungsvereinbarung die entsprechenden Bestimmungen dieser Datenverarbeitungsvereinbarung Vorrang.

2. Begriffsbestimmungen

Großgeschriebene Begriffe, die in dieser Datenverarbeitungsvereinbarung nicht anderweitig definiert sind, haben die ihnen in der Vereinbarung zugewiesene Bedeutung.

"Kunde" oder "Controller" bedeutet Kunde.

Die "Richtlinie" ist die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in ihrer geänderten Fassung.

"Musterklauseln" sind die Standardvertragsklauseln im Anhang des Beschlusses 2021/914/EU der EU-Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (Übermittlungen vom für die Verarbeitung Verantwortlichen an den Auftragsverarbeiter), die von Zeit zu Zeit geändert, ersetzt oder überholt werden können.

"Personenbezogene Daten" sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen und die (i) der Kunde oder eine im Namen des Kunden handelnde Person Claspo.io zur Verfügung stellt oder (ii) Claspo.io im Rahmen, der im Rahmen der Vereinbarung erbrachten Dienstleistungen verarbeitet. Eine identifizierte oder identifizierbare natürliche Person (eine "betroffene Person") ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

"Verarbeitung" oder "Verarbeitung" bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die von Claspo.io im Rahmen der Vereinbarung mit personenbezogenen Daten durchgeführt werden, unabhängig davon, ob dies mit automatischen Mitteln geschieht, wie z. B. das Sammeln, Aufzeichnen, Organisieren, Strukturieren, Speichern, Anpassen oder Ändern, Abrufen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreiten oder anderweitiges Zugänglichmachen, Abgleichen oder Kombinieren, Einschränken, Löschen oder Vernichten.

"Verarbeiter" oder "Claspo.io" bezeichnet die oben genannte Einrichtung.

"Unterauftragsverarbeiter" ist ein von Claspo.io beauftragter dritter Unterauftragnehmer, der als Teil der Aufgabe des Unterauftragnehmers, die Dienstleistungen im Rahmen der Vereinbarung zu erbringen, personenbezogene Daten des Kunden verarbeitet.

Die "Verordnung" bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.

Andere Begriffe haben die für sie im Abkommen vorgesehene Bedeutung oder werden im Folgenden anders definiert.

3. Kategorien von personenbezogenen Daten und Zweck der Verarbeitung personenbezogener Daten

Die Arten der zu verarbeitenden personenbezogenen Daten des Unternehmens:

A. Kunden und Nutzer: Identifikations- und Kontaktdaten (Name, Adresse, Titel, Kontaktdaten, Benutzername); Finanzdaten (Kontodaten, Zahlungsinformationen); Beschäftigungsdaten (Arbeitgeber, Berufsbezeichnung, geografischer Standort, Verantwortungsbereich);

B. Abonnenten: Identifizierungs- und Kontaktdaten (Name, Geburtsdatum, Geschlecht, allgemeine, berufliche oder andere demografische Informationen, Adresse, Titel, Kontaktdaten, einschließlich E-Mail-Adresse), persönliche Interessen oder Präferenzen (einschließlich Kaufhistorie, Marketingpräferenzen); IT-Informationen (IP-Adressen, Nutzungsdaten, Cookie-Daten, Online-Navigationsdaten, Standortdaten, Browserdaten).

Die Verarbeitung besonderer Kategorien von personenbezogenen Daten ist verboten.

Die Daten werden kontinuierlich übertragen.

Die Verarbeitung der Daten besteht aus dem Sammeln, Sortieren, Speichern, Übertragen, Einschränken und Löschen der Daten des für die Verarbeitung Verantwortlichen, um relevante Marketingkommunikation bereitzustellen.

Der Zweck der Verarbeitung besteht darin, den für die Verarbeitung Verantwortlichen bei der Bereitstellung relevanter Marketingmitteilungen zu unterstützen.

Die personenbezogenen Daten werden so lange verarbeitet und aufbewahrt, wie es für die Durchführung des Abkommens erforderlich ist, und werden auf Ersuchen des für die Verarbeitung Verantwortlichen und gemäß dessen Anweisungen gelöscht.

4. Anweisungen des Kontrolleurs

Während der Laufzeit der Vereinbarung kann der Kunde Claspo.io zusätzlich zu den in der Vereinbarung genannten Anweisungen Anweisungen hinsichtlich der Verarbeitung personenbezogener Daten erteilen. Claspo.io wird alle diese Anweisungen ohne zusätzliche Kosten befolgen, soweit dies für Claspo.io erforderlich ist, um die für Claspo.io als Datenverarbeiter geltenden Gesetze bei der Erfüllung des Vertrags einzuhalten.

Claspo.io wird den Kunden unverzüglich informieren, wenn eine Anweisung nach Ansicht von Claspo.io gegen die Richtlinie, die Verordnung oder andere anwendbare Datenschutz- und/oder Privatsphäre-Bestimmungen verstößt.

Die Kontrolle über die persönlichen Daten verbleibt beim Kunden, und zwischen dem Kunden und Claspo.io bleibt der Kunde zu jeder Zeit der Datenverantwortliche für die Zwecke der Vereinbarung und dieser Datenverarbeitungsvereinbarung. Der Kunde ist für die Einhaltung seiner Verpflichtungen als Datenverantwortlicher gemäß den Datenschutzgesetzen verantwortlich, insbesondere für seine Entscheidungen und Handlungen in Bezug auf die Verarbeitung und Nutzung der Daten.

5. Rechte der betroffenen Person

Claspo.io verpflichtet sich, den Kunden bei der Beantwortung der Anfragen von betroffenen Personen zu unterstützen, die ihr Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit oder Widerspruch ausüben.

Insbesondere wird Claspo.io auf Anweisung des Kunden bestimmte personenbezogene Daten löschen, freigeben, berichtigen oder den Zugang zu ihnen einschränken und sich verpflichten, alle Anträge einer betroffenen Person auf Zugang, Berichtigung, Löschung, Einschränkung oder Widerspruch zu personenbezogenen Daten, die im Rahmen der Vereinbarung verarbeitet werden, unverzüglich an den Kunden weiterzuleiten.

6. Pflichten des Verarbeiters

Zusätzlich zu den anderen Bestimmungen dieser Datenverarbeitungsvereinbarung verpflichtet sich Claspo.io zu:

Zusätzlich zu den anderen Bestimmungen dieser Datenverarbeitungsvereinbarung verpflichtet sich Claspo.io zu:

  1. einen Datenschutzbeauftragten zu benennen, sofern dies nach geltendem Recht erforderlich ist, und dem Kunden dessen Kontaktdaten mitzuteilen;
  2. sicherstellen, dass alle Personen, die im Rahmen der Vereinbarung und der Datenverarbeitungsvereinbarung Zugang zu personenbezogenen Daten des Kunden haben, sich zur Vertraulichkeit verpflichten und Vereinbarungen mit Claspo.io unterzeichnet haben, die nicht weniger strenge Schutzmaßnahmen als die hierin enthaltenen enthalten, und von Claspo.io über alle Datenschutzanforderungen im Zusammenhang mit der Verarbeitung der personenbezogenen Daten informiert werden, einschließlich der Beschränkung der Nutzung auf den spezifischen Zweck der Vereinbarung und die Anweisungen des Kunden; und
  3. den Kunden dabei zu unterstützen, seine Verpflichtungen in Bezug auf die Sicherheit personenbezogener Daten zu erfüllen. Insbesondere verpflichtet sich Claspo.io, den Kunden unverzüglich über jede Verletzung des Datenschutzes, wie in Abschnitt 11 unten beschrieben, zu informieren und den Kunden bei der Durchführung einer Datenschutz-Folgenabschätzung, die direkt oder indirekt mit dem Vertrag und/oder der Datenverarbeitungsvereinbarung zusammenhängt, in angemessener Weise zu unterstützen.
7. Grenzüberschreitende Datenübermittlung und Datenweitergabe

Claspo.io wird alle persönlichen Daten in Übereinstimmung mit den Anforderungen der Vereinbarung und dieser Datenverarbeitungsvereinbarung an allen Standorten weltweit behandeln.

Soweit personenbezogene Daten, die aus dem EWR stammen, vom Kunden an Claspo.io oder einen der Unterauftragsverarbeiter von Claspo.io übermittelt werden, die in Ländern außerhalb des EWR ansässig sind, die keinen verbindlichen Angemessenheitsbeschluss der Europäischen Kommission gemäß Artikel 25(6) und 31(2) der Richtlinie oder alternativ gemäß Artikel 45 der Verordnung oder einer zuständigen nationalen Datenschutzbehörde erhalten haben, sollten solche Übermittlungen wie folgt gehandhabt werden:

  1. Übertragungen vom Kunden an Claspo.io erfolgen gegebenenfalls gemäß den Bedingungen dieser Datenverarbeitungsvereinbarung und den in Anhang 3 wiedergegebenen Musterklauseln.
  2. Bei Übermittlungen von Claspo.io an Unterauftragsverarbeiter von Claspo.io stellt Claspo.io gegebenenfalls sicher, dass solche Übermittlungen (i) geeigneten Übermittlungsmechanismen unterliegen, die ein angemessenes Schutzniveau in Übereinstimmung mit den geltenden Anforderungen von Artikel 25 und 26 der Richtlinie/ Artikel 45 der Verordnung bieten, oder (ii) Modellklauseln ausführen, die Sicherheits- und andere Datenschutzanforderungen enthalten, die mindestens so restriktiv sind wie die dieser Datenverarbeitungsvereinbarung.

Eine Übermittlung in ein Land außerhalb des EWR sollte nicht ohne die vorherige schriftliche Zustimmung des Kunden erfolgen.

8. Unterauftragsverarbeiter

Claspo.io darf ohne vorherige schriftliche Zustimmung des Kunden keine der im Rahmen der Vereinbarung im Auftrag des Kunden durchgeführten Verarbeitungsvorgänge an Subunternehmer vergeben.

Der Kunde erklärt sich hiermit ausdrücklich damit einverstanden, dass Claspo.io die in Anlage 1 aufgeführten Unterauftragsverarbeiter einsetzt.

Wenn Claspo.io mit Zustimmung des Kunden Unterauftragsverarbeiter einsetzt, wird Claspo.io dies nur im Rahmen einer schriftlichen Vereinbarung mit dem Unterauftragsverarbeiter tun, die dem Unterauftragsverarbeiter dieselben Verpflichtungen auferlegt, die Claspo.io im Rahmen dieser Datenverarbeitungsvereinbarung auferlegt werden.

Claspo.io bleibt zu jeder Zeit für die Einhaltung der Bedingungen der Vereinbarung und dieser Datenverarbeitungsvereinbarung durch die Unterauftragsverarbeiter von Claspo.io verantwortlich.

Der Kunde kann verlangen, dass Claspo.io den Unterauftragsverarbeiter prüft oder bestätigt, dass eine solche Prüfung stattgefunden hat (oder, sofern verfügbar, einen Prüfbericht eines Dritten über die Tätigkeit des Unterauftragsverarbeiters einholen oder den Kunden dabei unterstützen), um die Einhaltung seiner Verpflichtungen sicherzustellen. Der Kunde hat außerdem das Recht, auf schriftlichen Antrag Kopien der relevanten Bedingungen des Vertrags zwischen Claspo.io und den Unterauftragsverarbeitern, die personenbezogenen Daten verarbeiten dürfen, zu erhalten.

9. Technische und organisatorische Maßnahmen

Bei der Verarbeitung personenbezogener Daten im Namen des Kunden in Verbindung mit dem Vertrag gewährleistet Claspo.io, dass Claspo.io angemessene technische und organisatorische Sicherheitsmaßnahmen für die Verarbeitung dieser Daten eingeführt hat und beibehalten wird, einschließlich der in Anhang 2 aufgeführten Maßnahmen.

Mit diesen Maßnahmen sollen personenbezogene Daten gegen versehentlichen oder unbefugten Verlust, Zerstörung, Änderung, Weitergabe oder Zugriff sowie gegen alle anderen unrechtmäßigen Formen der Verarbeitung geschützt werden. Zusätzliche Informationen über diese Maßnahmen können in der Vereinbarung festgelegt werden.

Claspo.io verpflichtet sich, die Umsetzung der technischen und organisatorischen Maßnahmen zu dokumentieren, um dem Kunden diese Dokumentation auf Anfrage zur Verfügung zu stellen und dem Kunden jede Aktualisierung dieser Dokumentation vorzulegen.

10. Prüfungsrechte

Der Kunde ist berechtigt, auf eigene Kosten zu prüfen, ob Claspo.io die Bedingungen des Vertrags und dieser Datenverarbeitungsvereinbarung einhält. Wenn ein Dritter die Prüfung durchführen soll, müssen der Kunde und Claspo.io dem Dritten zustimmen und vor der Durchführung der Prüfung eine schriftliche Geheimhaltungsvereinbarung unterzeichnen.

Um ein Audit zu beantragen, muss der Kunde Claspo.io mindestens zwei Wochen vor dem vorgeschlagenen Auditdatum einen Auditplan vorlegen, der den vorgeschlagenen Umfang, die Dauer und das Startdatum des Audits beschreibt. Claspo.io prüft den Audit-Plan und teilt dem Kunden alle Bedenken oder Fragen mit, die Claspo.io verpflichtet, mit dem Kunden zusammenzuarbeiten, um sich auf einen endgültigen Audit-Plan zu einigen.

Die Prüfung wird während der regulären Geschäftszeiten in der betreffenden Einrichtung durchgeführt und darf die Geschäftsaktivitäten von Claspo.io nicht unangemessen beeinträchtigen.

Der Kunde stellt Claspo.io eine Kopie aller Prüfberichte zur Verfügung, die in Verbindung mit einer Prüfung gemäß diesem Abschnitt erstellt wurden, sofern dies nicht gesetzlich verboten ist. Der Kunde darf die Audit-Berichte nur zum Zweck der Erfüllung seiner regulatorischen Audit-Anforderungen und/oder zur Bestätigung der Einhaltung der Anforderungen der Vereinbarung, dieser Datenverarbeitungsvereinbarung und des geltenden Rechts verwenden. Die Audit-Berichte sind gemäß den Bestimmungen der Vereinbarung vertrauliche Informationen der Parteien.

Claspo.io verpflichtet sich, bei jeder vom Kunden durchgeführten Prüfung angemessene Unterstützung zu leisten.

Claspo.io erklärt sich damit einverstanden, dass die zuständige Datenschutzbehörde das Recht hat, eine Inspektion bei Claspo.io und jedem Unterauftragsverarbeiter durchzuführen.

Claspo.io verpflichtet sich, dem Kunden und/oder der zuständigen Datenschutzbehörde alle Informationen zur Verfügung zu stellen, die erforderlich sind, um die Einhaltung der in dieser Datenverarbeitungsvereinbarung festgelegten Verpflichtungen und des geltenden Rechts nachzuweisen, und mit dem Kunden und/oder der zuständigen Datenschutzbehörde im Rahmen von Audits und/oder Inspektionen uneingeschränkt zu kooperieren.

11. Benachrichtigung bei Datenschutzverletzungen

Für die Zwecke dieses Abschnitts bedeutet "Sicherheitsverletzung" eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum Zugriff auf personenbezogene Daten führt, die auf den Systemen von Claspo.io oder in der Umgebung von Claspo.io übertragen, gespeichert oder anderweitig verarbeitet werden. Claspo.io wird den Kunden unverzüglich informieren, wenn Claspo.io feststellt, dass personenbezogene Daten Gegenstand einer Sicherheitsverletzung (auch durch einen Mitarbeiter von Claspo.io) oder eines anderen Umstandes waren, in dem der Kunde nach geltendem Recht zu einer Benachrichtigung verpflichtet ist.

Claspo.io wird den Sicherheitsverstoß unverzüglich untersuchen und angemessene Maßnahmen ergreifen, um die Ursachen zu ermitteln und eine Wiederholung zu verhindern. Sobald Informationen gesammelt werden oder anderweitig verfügbar sind, wird Claspo.io dem Kunden eine Beschreibung der Sicherheitsverletzung, die Art der Daten, die Gegenstand der Verletzung waren, und andere Informationen, die der Kunde in angemessener Weise über die betroffenen Personen anfordern kann, zur Verfügung stellen. Die Parteien vereinbaren, sich nach Treu und Glauben bei der Ausarbeitung des Inhalts aller damit verbundenen öffentlichen Erklärungen oder aller erforderlichen Mitteilungen an die betroffenen Personen und/oder die zuständigen Datenschutzbehörden abzustimmen.

12. Rückgabe und Löschung personenbezogener Daten bei Beendigung des Vertrags oder auf Wunsch des Kunden

Sofern in der Vereinbarung nichts anderes vorgesehen ist, wird Claspo.io nach Beendigung der Vereinbarung alle persönlichen Daten des Kunden zurückgeben oder anderweitig zum Abruf bereitstellen.

Nach der Rückgabe der Daten oder wie anderweitig in der Vereinbarung festgelegt, löscht Claspo.io unverzüglich alle Kopien der personenbezogenen Daten, über die Claspo.io verfügt, sofern dies nicht gesetzlich vorgeschrieben ist.

13. Gesetzlich vorgeschriebene Offenlegungen

Sofern nicht anderweitig gesetzlich vorgeschrieben, wird Claspo.io den Kunden unverzüglich über alle Vorladungen, gerichtlichen, administrativen oder schiedsgerichtlichen Anordnungen einer Exekutiv- oder Verwaltungsbehörde oder einer anderen Regierungsbehörde ("Aufforderung") informieren, die Claspo.io erhält und die sich auf die personenbezogenen Daten beziehen, die Claspo.io im Namen des Kunden verarbeitet.

Auf Anfrage des Kunden stellt Claspo.io dem Kunden angemessene Informationen zur Verfügung, die sich im Besitz von Claspo.io befinden und die eine Antwort auf die Anfrage darstellen können, sowie jegliche Unterstützung, die der Kunde vernünftigerweise benötigt, um auf die Anfrage zeitnah zu reagieren.

Von: ………………………………

Für und im Namen von ARDAS INTERNATIONAL INC., ordnungsgemäß bevollmächtigt, dieses Abkommen zu unterzeichnen.

Von: ………………………………

Für und im Namen des Kunden, der ordnungsgemäß bevollmächtigt ist, diese Vereinbarung zu unterzeichnen.

Anlage 1: Liste der Unterauftragsverarbeiter (falls zutreffend)

Name des Subprozessors Adresse Tätigkeit des Subprozessors für Claspo.io Sicherheitsmaßnahmen der Unterauftragsverarbeiter
Amazon Webdienste Dublin, Irland Anmietung von Servern und anderen Ressourcen zur Verarbeitung der Daten https://aws.amazon.com/products/security
Gegensprechanlage Kalifornien, USA Live-Chat & Helpdesk-Lösungen https://www.intercom.com/security
Hetzner Online GmbH Gunzenhausen, Deutschland Vermietung von Servern und anderen Ressourcen für die Bereitstellung von Online-Diensten https://www.hetzner.com/unternehmen/zertifizierung/
Google Ireland Ltd. Dublin, Irland datenspeicherung, erstellung analytischer dashboards https://www.google.com/about/datacenters/data-security/
Stripe, Inc. Dublin, Ireland online-zahlungsabwicklung https://stripe.com/docs/security

Anhang 2: Organisatorische und technische Maßnahmen, die von Claspo.io

  1. Physische Zugangskontrolle (Maßnahmen, die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können)

    2. Ausgelagerte Verarbeitung: Wir hosten unseren Dienst bei ausgelagerten Cloud-Infrastrukturanbietern. Darüber hinaus unterhalten wir vertragliche Beziehungen mit Anbietern, um den Dienst in Übereinstimmung mit unserer DSGVO bereitzustellen. Wir verlassen uns auf vertragliche Vereinbarungen, Datenschutzrichtlinien und Compliance-Programme der Anbieter, um die von diesen Anbietern verarbeiteten oder gespeicherten Daten zu schützen.

    Physische und ökologische Sicherheit: Wir hosten unsere Produktinfrastruktur bei ausgelagerten Multi-Tenant-Infrastrukturanbietern. Die physischen und umweltbezogenen Sicherheitskontrollen der Anbieter werden unter anderem auf die Einhaltung von SOC 2 Typ II und ISO 27001 geprüft.

  2. Systemzugangskontrolle (Maßnahmen, die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können)

    3. Autorisierung: Die Kundendaten werden in mandantenfähigen Speichersystemen gespeichert, auf die die Kunden nur über Anwendungsbenutzerschnittstellen und Anwendungsprogrammierschnittstellen zugreifen können. Den Kunden ist kein direkter Zugriff auf die zugrunde liegende Anwendungsinfrastruktur gestattet. Das Autorisierungsmodell in jedem unserer Produkte ist so konzipiert, dass nur die entsprechend zugewiesenen Personen auf relevante Funktionen, Ansichten und Anpassungsoptionen zugreifen können. Die Autorisierung für Datensätze erfolgt durch die Validierung der Berechtigungen des Benutzers anhand der mit jedem Datensatz verbundenen Attribute.

    Authentifizierung: Wir setzen eine einheitliche Passwortpolitik für unsere Kundenprodukte ein. Kunden, die über die Benutzeroberfläche mit den Produkten interagieren, müssen sich vor dem Zugriff auf nichtöffentliche Kundendaten authentifizieren.

  3. Data Access Control (Maßnahmen, die sicherstellen, dass die zur Nutzung der Datenverarbeitungssysteme berechtigten Personen nur im Rahmen und Umfang ihrer jeweiligen Zugriffsberechtigung (Autorisierung) auf die Daten zugreifen können und dass personenbezogene Daten nicht unbefugt gelesen, kopiert oder verändert bzw. entfernt werden können)

    4. Produktzugang: Eine Untergruppe unserer Mitarbeiter hat über kontrollierte Schnittstellen Zugang zu den Produkten und zu den Kundendaten. Der Zweck der Gewährung des Zugangs für eine Untergruppe von Mitarbeitern ist die Bereitstellung eines effektiven Kundensupports, die Behebung potenzieller Probleme, die Erkennung von und Reaktion auf Sicherheitsvorfälle und die Implementierung von Datensicherheit. Der Zugang wird durch "just in time"-Zugangsanfragen ermöglicht; alle diese Anfragen werden protokolliert. Den Mitarbeitern wird der Zugang nach Rolle gewährt, und die Überprüfung von Privilegien mit hohem Risiko wird täglich eingeleitet. Die Rollen der Mitarbeiter werden mindestens einmal alle sechs Monate überprüft.

    Hintergrundüberprüfungen: Alle Mitarbeiter unterziehen sich einer Hintergrundüberprüfung durch Dritte, bevor sie ein Beschäftigungsangebot erhalten, in Übereinstimmung mit den geltenden Gesetzen und soweit dies zulässig ist. Alle Mitarbeiter sind verpflichtet, sich in einer Weise zu verhalten, die mit den Unternehmensrichtlinien, den Geheimhaltungsvorschriften und den ethischen Standards im Einklang steht.

  4. Übermittlungskontrolle (Maßnahmen, die verhindern, dass personenbezogene Daten während ihrer Übermittlung oder während des Transports der Datenträger von Unbefugten gelesen, kopiert, verändert oder gelöscht werden können)

    5. Während des Transits: Wir stellen die HTTPS-Verschlüsselung (auch als SSL oder TLS bezeichnet) auf allen Login-Schnittstellen zur Verfügung. Unsere HTTPS-Implementierung verwendet branchenübliche Algorithmen und Zertifikate.

    Im Ruhezustand: Wir speichern die Passwörter der Benutzer nach Richtlinien, die dem Industriestandard für Sicherheit entsprechen. Wir haben Technologien implementiert, die sicherstellen, dass die gespeicherten Daten im Ruhezustand verschlüsselt werden.

  5. Eingabekontrolle (Maßnahmen, die sicherstellen, dass überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben oder entfernt wurden)

    6. Erkennung: Wir haben unsere Infrastruktur so konzipiert, dass umfangreiche Informationen über das Systemverhalten, den empfangenen Datenverkehr, die Systemauthentifizierung und andere Anwendungsanforderungen protokolliert werden. Interne Systeme fassen die Protokolldaten zusammen und alarmieren die zuständigen Mitarbeiter bei böswilligen, unbeabsichtigten oder anormalen Aktivitäten. Unser Personal, einschließlich des Sicherheits-, Betriebs- und Supportpersonals, reagiert auf bekannte Vorfälle.

    Reaktion und Nachverfolgung: Wir führen Aufzeichnungen über bekannte Sicherheitsvorfälle, die eine Beschreibung, Datum und Uhrzeit der relevanten Aktivitäten sowie die Art des Vorfalls enthalten. Verdächtige und bestätigte Sicherheitsvorfälle werden von Sicherheits-, Betriebs- oder Support-Mitarbeitern untersucht, und es werden geeignete Lösungsschritte festgelegt und dokumentiert. Bei allen bestätigten Vorfällen ergreifen wir geeignete Maßnahmen, um Schäden an Produkten und Kunden oder eine unbefugte Offenlegung zu minimieren. Die Benachrichtigung an Sie erfolgt in Übereinstimmung mit den Bedingungen der Vereinbarung.

  6. Auftragskontrolle (Maßnahmen, die sicherstellen, dass die Daten streng nach den Anweisungen des Kunden verarbeitet werden)

    7. Unser System befindet sich in einer sicheren Cloud, wir verwenden Verschlüsselung für alle sensiblen Daten, zentralisiertes Zugriffsmanagement mit strengen Rollen und sehr begrenzten Zugang zu Datenbanken für unsere Mitarbeiter. Außerdem protokollieren wir alle Aktionen auf Servern und der Cloud-Plattform.

  7. Verfügbarkeitskontrolle (Maßnahmen, die sicherstellen, dass Daten vor versehentlicher Zerstörung oder Verlust geschützt sind)

    8. Verfügbarkeit der Infrastruktur: Die Infrastrukturanbieter unternehmen wirtschaftlich vertretbare Anstrengungen, um eine Betriebszeit von mindestens 99,95 % zu gewährleisten. Die Anbieter unterhalten eine Mindestredundanz von N+1 für Strom, Netzwerk und HLK-Dienste.

    Fehlertoleranz: Die Sicherungs- und Replikationsstrategien sind so konzipiert, dass Redundanz und Failover-Schutz bei einem erheblichen Verarbeitungsausfall gewährleistet sind. Die Kundendaten werden in mehreren dauerhaften Datenspeichern gesichert und über mehrere Verfügbarkeitszonen repliziert.

    Online-Replikate und Backups: Soweit machbar, sind die Produktionsdatenbanken so konzipiert, dass Daten zwischen mindestens einer primären und einer sekundären Datenbank repliziert werden. Alle Datenbanken werden mit mindestens branchenüblichen Methoden gesichert und gepflegt.

    Unsere Produkte sind so konzipiert, dass Redundanz und nahtloses Failover gewährleistet sind. Die Serverinstanzen, die die Produkte unterstützen, sind ebenfalls mit dem Ziel konzipiert, einzelne Ausfallpunkte zu vermeiden. Dieses Design unterstützt unseren Betrieb bei der Wartung und Aktualisierung der Produktanwendungen und des Backends, während gleichzeitig die Ausfallzeiten begrenzt werden.

  8. Datentrennung (measures to separate the processing for different purposes and/or operations)

    9. a) Die für Entwicklungs-, Test- und Produktionszwecke genutzten Umgebungen sind räumlich getrennt.

    b) Usage of production un-anonymized data in the development environment is not allowed.

Anhang 3: Musterklauseln (falls zutreffend)

Referat C.3: Datenschutz

Beschluss K (2010)593 der Kommission

Standardvertragsklauseln (Verarbeiter)

für die Zwecke von Artikel 26 Absatz 2 der Richtlinie 95/46/EG für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern, die kein angemessenes Datenschutzniveau gewährleisten

Name der datenexportierenden Organisation:Kunde

Kunde

Tel.: N/A; Faxen/A; E-Mail:

Sonstige zur Identifizierung der Organisation erforderliche Angaben: N/A

(der Datenexporteur)

Und

Name der datenimportierenden Organisation: ARDAS INTERNATIONAL INC.

Adresse: 16192 COASTAL HIGHWAY, LEWES, DE 19958, COUNTY OF SUSSEX, USA

e-mail: info@claspo.io

(der Datenimporteur)

jeweils eine "Partei"; zusammen "die Parteien",

SIND über die folgenden Vertragsklauseln (die Klauseln) ÜBEREINGEKOMMEN, um angemessene Garantien in Bezug auf den Schutz der Privatsphäre und der Grundrechte und -freiheiten natürlicher Personen für die Übermittlung der in Anlage 1 aufgeführten personenbezogenen Daten durch den Datenexporteur an den Datenimporteur zu schaffen.

Klausel 1
Definitionen

Für die Zwecke der Klauseln:

(a) "personenbezogene Daten", "besondere Kategorien von Daten", "Verarbeitung", "für die Verarbeitung Verantwortlicher", "Auftragsverarbeiter", "betroffene Person" und "Kontrollstelle" haben die gleiche Bedeutung wie in der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr1;

(b) "Datenexporteur" ist der für die Verarbeitung Verantwortliche, der die personenbezogenen Daten übermittelt;

(c) "Datenimporteur" den Auftragsverarbeiter, der sich damit einverstanden erklärt, vom Datenexporteur personenbezogene Daten zu erhalten, die nach der Übermittlung gemäß seinen Anweisungen und den Bestimmungen der Klauseln in seinem Namen verarbeitet werden sollen, und der nicht einem System eines Drittlandes unterliegt, das einen angemessenen Schutz im Sinne von Artikel 25 Absatz 1 der Richtlinie 95/46/EG gewährleistet;

(d) "Unterauftragsverarbeiter" ist jeder vom Datenimporteur oder von einem anderen Unterauftragsverarbeiter des Datenimporteurs beauftragte Auftragsverarbeiter, der sich bereit erklärt, vom Datenimporteur oder von einem anderen Unterauftragsverarbeiter des Datenimporteurs personenbezogene Daten zu erhalten, die ausschließlich für Verarbeitungstätigkeiten bestimmt sind, die nach der Übermittlung im Auftrag des Datenexporteurs gemäß seinen Anweisungen, den Bestimmungen der Klauseln und den Bestimmungen des schriftlichen Untervertrags durchgeführt werden;

(e) "anwendbares Datenschutzrecht" die Rechtsvorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihres Rechts auf Schutz der Privatsphäre bei der Verarbeitung personenbezogener Daten, die für einen für die Verarbeitung Verantwortlichen in dem Mitgliedstaat gelten, in dem der Datenexporteur niedergelassen ist;

(f) "technische und organisatorische Sicherheitsmaßnahmen": Maßnahmen zum Schutz personenbezogener Daten gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung von Daten über ein Netzwerk umfasst, sowie gegen jede andere Form der unrechtmäßigen Verarbeitung.

1Die Vertragsparteien können die in der Richtlinie 95/46/EG enthaltenen Definitionen und Bedeutungen in dieser Klausel wiedergeben, wenn sie es für besser halten, dass der Vertrag alleinsteht.

Klausel 2
Einzelheiten der Überweisung

Die Einzelheiten der Übermittlung, insbesondere die besonderen Kategorien personenbezogener Daten, sind in Anhang 1 aufgeführt, der Bestandteil der Klauseln ist.

Klausel 3
Drittbegünstigungsklausel

Die betroffene Person kann diese Klausel, Klausel 4 Buchstaben b bis i, Klausel 5 Buchstaben a bis e und g bis j, Klausel 6 Absätze 1 und 2, Klausel 7, Klausel 8 Absatz 2 und die Klauseln 9 bis 12 als Drittbegünstigter gegenüber dem Datenexporteur geltend machen.

Die betroffene Person kann diese Klausel, Klausel 5 Buchstaben a bis e und g, Klausel 6, Klausel 7, Klausel 8 Absatz 2 und die Klauseln 9 bis 12 gegenüber dem Datenimporteur geltend machen, wenn der Datenexporteur faktisch oder rechtlich nicht mehr existiert, es sei denn, ein Nachfolgeunternehmen hat die gesamten rechtlichen Verpflichtungen des Datenexporteurs vertraglich oder von Rechts wegen übernommen, wodurch es in die Rechte und Pflichten des Datenexporteurs eintritt; in diesem Fall kann die betroffene Person sie gegenüber diesem Unternehmen geltend machen.

Die betroffene Person kann diese Klausel, Klausel 5 Buchstaben a bis e und g, Klausel 6, Klausel 7, Klausel 8 Absatz 2 und die Klauseln 9 bis 12 gegenüber dem Unterauftragsverarbeiter durchsetzen, in Fällen, in denen sowohl der Datenexporteur als auch der Datenimporteur faktisch oder rechtlich nicht mehr existieren oder zahlungsunfähig geworden sind, es sei denn, ein Nachfolgeunternehmen hat die gesamten rechtlichen Verpflichtungen des Datenexporteurs vertraglich oder kraft Gesetzes übernommen, wodurch es in die Rechte und Pflichten des Datenexporteurs eintritt; in diesem Fall kann die betroffene Person diese gegenüber diesem Unternehmen geltend machen. Die Haftung des Unterauftragsverarbeiters gegenüber Dritten ist auf seine eigenen Verarbeitungen gemäß den Klauseln beschränkt.

Die Parteien haben keine Einwände dagegen, dass eine betroffene Person durch einen Verband oder eine andere Einrichtung vertreten wird, wenn die betroffene Person dies ausdrücklich wünscht und es nach nationalem Recht zulässig ist.

Klausel 4
Pflichten des Datenexporteurs

Der Datenexporteur erklärt sich damit einverstanden und gewährleistet dies:

a. dass die Verarbeitung der personenbezogenen Daten, einschließlich der Übermittlung selbst, im Einklang mit den einschlägigen Bestimmungen des geltenden Datenschutzrechts erfolgt ist und weiterhin erfolgen wird (und gegebenenfalls den zuständigen Behörden des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, gemeldet wurde) und nicht gegen die einschlägigen Bestimmungen dieses Staates verstößt;

b. dass er den Datenimporteur angewiesen hat und während der gesamten Dauer der Dienstleistungen zur Verarbeitung personenbezogener Daten anweisen wird, die übermittelten personenbezogenen Daten nur im Namen des Datenexporteurs und in Übereinstimmung mit dem geltenden Datenschutzrecht und den Klauseln zu verarbeiten;

c. dass der Datenimporteur ausreichende Garantien für die in Anlage 2 zu diesem Vertrag genannten technischen und organisatorischen Sicherheitsmaßnahmen bietet;

d. dass nach Prüfung der Anforderungen des geltenden Datenschutzrechts die Sicherheitsmaßnahmen geeignet sind, personenbezogene Daten gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang - insbesondere wenn die Verarbeitung die Übermittlung von Daten über ein Netz umfasst - und gegen jede andere Form der unrechtmäßigen Verarbeitung zu schützen, und dass diese Maßnahmen unter Berücksichtigung des Stands der Technik und der Kosten ihrer Durchführung ein Schutzniveau gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist;

e. dass sie die Einhaltung der Sicherheitsmaßnahmen gewährleisten wird;

f. dass, falls die Übermittlung besondere Datenkategorien betrifft, die betroffene Person vor oder so bald wie möglich nach der Übermittlung darüber informiert wurde oder wird, dass ihre Daten in ein Drittland übermittelt werden könnten, das keinen angemessenen Schutz im Sinne der Richtlinie 95/46/EG bietet;

g. jede Meldung des Datenimporteurs oder eines Unterauftragsverarbeiters gemäß Klausel 5 Buchstabe b und Klausel 8 Absatz 3 an die Datenschutzaufsichtsbehörde weiterzuleiten, wenn der Datenexporteur beschließt, die Übermittlung fortzusetzen oder die Aussetzung aufzuheben;

h. den betroffenen Personen auf Anfrage ein Exemplar der Klauseln, mit Ausnahme von Anhang 2, und eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen sowie ein Exemplar jedes Vertrags für Unterverarbeitungsdienste, der gemäß den Klauseln geschlossen werden muss, zur Verfügung zu stellen, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall kann er diese Geschäftsinformationen entfernen;

i. dass im Falle einer Unterverarbeitung die Verarbeitungstätigkeit gemäß Klausel 11 von einem Unterauftragsverarbeiter durchgeführt wird, der mindestens das gleiche Maß an Schutz für die personenbezogenen Daten und die Rechte der betroffenen Person bietet wie der Datenimporteur gemäß den Klauseln; und

j. dass sie die Einhaltung von Klausel 4 Buchstaben a) bis i) sicherstellen wird.

Klausel 5
Pflichten des Datenimporteurs 2

Der Datenimporteur erklärt sich damit einverstanden und gewährleistet dies:

a. die personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dessen Weisungen und den Klauseln zu verarbeiten; kann er dies aus welchen Gründen auch immer nicht leisten, verpflichtet er sich, den Datenexporteur unverzüglich darüber zu informieren, dass er dazu nicht in der Lage ist; in diesem Fall ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder den Vertrag zu kündigen;

b. dass er keinen Grund zu der Annahme hat, dass die für ihn geltenden Rechtsvorschriften ihn daran hindern, die vom Datenexporteur erhaltenen Anweisungen und seine Verpflichtungen aus dem Vertrag zu erfüllen, und dass er im Falle einer Änderung dieser Rechtsvorschriften, die erhebliche nachteilige Auswirkungen auf die in den Klauseln vorgesehenen Garantien und Verpflichtungen haben könnte, dem Datenexporteur die Änderung unverzüglich mitteilen wird, sobald er davon Kenntnis hat; in diesem Fall ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder den Vertrag zu kündigen;

c. dass sie vor der Verarbeitung der übermittelten personenbezogenen Daten die in Anlage 2 genannten technischen und organisatorischen Sicherheitsmaßnahmen getroffen hat;

d. die sie dem Datenexporteur unverzüglich mitteilen wird:

i. jedes rechtsverbindliche Ersuchen einer Strafverfolgungsbehörde um Offenlegung personenbezogener Daten, sofern dies nicht anderweitig untersagt ist, wie z. B. ein strafrechtliches Verbot zur Wahrung der Vertraulichkeit einer strafrechtlichen Untersuchung,

ii. jeden versehentlichen oder unbefugten Zugriff und

iii. jedes direkt von den betroffenen Personen erhaltene Ersuchen, ohne auf dieses Ersuchen zu antworten, es sei denn, sie wurde anderweitig dazu ermächtigt;

e. alle Anfragen des Datenexporteurs in Bezug auf die Verarbeitung der personenbezogenen Daten, die Gegenstand der Übermittlung sind, unverzüglich und ordnungsgemäß zu beantworten und den Rat der Kontrollstelle in Bezug auf die Verarbeitung der übermittelten Daten zu befolgen;

f. auf Ersuchen des Datenexporteurs seine Datenverarbeitungsanlagen einem Audit der unter die Klauseln fallenden Verarbeitungstätigkeiten zu unterziehen, das vom Datenexporteur oder einer Kontrollstelle durchgeführt wird, die sich aus unabhängigen Mitgliedern zusammensetzt, die über die erforderlichen beruflichen Qualifikationen verfügen und zur Vertraulichkeit verpflichtet sind; diese Stelle wird vom Datenexporteur gegebenenfalls im Einvernehmen mit der Kontrollstelle ausgewählt;

g. der betroffenen Person auf Anfrage eine Kopie der Klauseln oder eines bestehenden Vertrags über die Unterverarbeitung zur Verfügung zu stellen, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall kann er diese Geschäftsinformationen entfernen, mit Ausnahme von Anhang 2, der in den Fällen, in denen die betroffene Person keine Kopie vom Datenexporteur erhalten kann, durch eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen ersetzt wird;

h. dass sie im Falle einer Unterverarbeitung den Datenexporteur vorher informiert und dessen schriftliche Zustimmung eingeholt hat;

i. dass die Verarbeitung durch den Unterauftragsverarbeiter im Einklang mit Ziffer 11 durchgeführt wird;

j. dem Datenexporteur unverzüglich eine Kopie der von ihm im Rahmen der Klauseln abgeschlossenen Unterverarbeitungsverträge zu übermitteln.

2Zwingende Anforderungen der für den Datenimporteur geltenden nationalen Rechtsvorschriften, die nicht über das hinausgehen, was in einer demokratischen Gesellschaft aufgrund eines der in Artikel 13 Absatz 1 der Richtlinie 95/46/EG aufgeführten Interessen erforderlich ist, d. h. wenn sie eine notwendige Maßnahme zum Schutz der nationalen Sicherheit, der Verteidigung, der öffentlichen Sicherheit darstellen, die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder von Verstößen gegen die Standesregeln der reglementierten Berufe, ein wichtiges wirtschaftliches oder finanzielles Interesse des Staates oder den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen darstellen, nicht im Widerspruch zu den Standardvertragsklauseln stehen. Einige Beispiele für solche zwingenden Anforderungen, die nicht über das hinausgehen, was in einer demokratischen Gesellschaft notwendig ist, sind u. a. international anerkannte Sanktionen, steuerliche Meldepflichten oder Meldepflichten zur Bekämpfung von Geldwäsche.

Klausel 6
Haftung

Die Parteien sind sich darüber einig, dass jede betroffene Person, die infolge einer Verletzung der in Klausel 3 oder in Klausel 11 genannten Pflichten durch eine Partei oder einen Unterauftragsverarbeiter einen Schaden erlitten hat, Anspruch auf Ersatz des erlittenen Schadens durch den Datenexporteur hat.

Ist eine betroffene Person nicht in der Lage, einen Schadensersatzanspruch gemäß Absatz 1 gegen den Datenexporteur geltend zu machen, der sich aus einem Verstoß des Datenimporteurs oder seines Unterauftragsverarbeiters gegen eine der in Klausel 3 oder in Klausel 11 genannten Verpflichtungen ergibt, weil der Datenexporteur faktisch oder rechtlich nicht mehr existiert oder zahlungsunfähig geworden ist, Der Datenimporteur erklärt sich damit einverstanden, dass die betroffene Person den Datenimporteur so in Anspruch nehmen kann, als wäre er der Datenexporteur, es sei denn, ein Nachfolgeunternehmen hat die gesamten rechtlichen Verpflichtungen des Datenexporteurs vertraglich oder von Rechts wegen übernommen; in diesem Fall kann die betroffene Person ihre Rechte gegenüber diesem Unternehmen geltend machen. Der Datenimporteur kann sich nicht darauf berufen, dass ein Unterauftragsverarbeiter gegen seine Verpflichtungen verstoßen hat, um sich seiner eigenen Haftung zu entziehen.

Ist eine betroffene Person nicht in der Lage, den Datenexporteur oder den Datenimporteur gemäß den Absätzen 1 und 2 wegen eines Verstoßes des Unterauftragsverarbeiters gegen eine ihrer Verpflichtungen gemäß Klausel 3 oder Klausel 11 in Anspruch zu nehmen, weil sowohl der Datenexporteur als auch der Datenimporteur faktisch oder rechtlich nicht mehr existieren oder insolvent sind, so erklärt sich der Unterauftragsverarbeiter damit einverstanden, dass die betroffene Person den Unterauftragsverarbeiter in Bezug auf ihre eigenen Verarbeitungen gemäß den Klauseln so in Anspruch nehmen kann, als wäre er der Datenexporteur oder der Datenimporteur, der Unterauftragsverarbeiter erklärt sich damit einverstanden, dass die betroffene Person den Unterauftragsverarbeiter in Bezug auf seine eigenen Verarbeitungen gemäß den Klauseln so in Anspruch nehmen kann, als wäre er der Datenexporteur oder der Datenimporteur, es sei denn, ein Nachfolgeunternehmen hat die gesamten rechtlichen Verpflichtungen des Datenexporteurs oder des Datenimporteurs vertraglich oder von Rechts wegen übernommen; in diesem Fall kann die betroffene Person ihre Rechte gegenüber diesem Unternehmen geltend machen. Die Haftung des Unterauftragsverarbeiters ist auf seine eigenen Verarbeitungsvorgänge gemäß den Klauseln beschränkt.

Klausel 7
Mediation und Gerichtsbarkeit

Der Datenimporteur erklärt sich damit einverstanden, dass der Datenimporteur die Entscheidung der betroffenen Person akzeptiert, wenn die betroffene Person ihm gegenüber dem Recht eines Drittbegünstigten geltend macht und/oder Schadensersatz gemäß den Klauseln fordert:

  • den Streitfall der Schlichtung durch eine unabhängige Person oder gegebenenfalls durch die Aufsichtsbehörde zu unterziehen;
  • den Streitfall an die Gerichte des Mitgliedstaats zu verweisen, in dem der Datenexporteur niedergelassen ist.

Die Parteien kommen überein, dass die von der betroffenen Person getroffene Wahl ihre materiell- und verfahrensrechtlichen Rechte, Rechtsbehelfe nach anderen Bestimmungen des nationalen oder internationalen Rechts einzulegen, nicht beeinträchtigt.

Klausel 8
Zusammenarbeit mit den Aufsichtsbehörden

Der Datenexporteur erklärt sich bereit, eine Kopie dieses Vertrags bei der Aufsichtsbehörde zu hinterlegen, wenn diese darum ersucht oder wenn eine solche Hinterlegung nach dem geltenden Datenschutzrecht erforderlich ist.

Die Parteien kommen überein, dass die Kontrollstelle das Recht hat, den Datenimporteur und jeden Unterauftragsverarbeiter einer Prüfung zu unterziehen, die denselben Umfang hat und denselben Bedingungen unterliegt wie eine Prüfung des Datenexporteurs nach dem geltenden Datenschutzrecht.

Der Datenimporteur unterrichtet den Datenexporteur unverzüglich über das Bestehen von Rechtsvorschriften, die auf ihn oder einen Unterauftragsverarbeiter anwendbar sind und die Durchführung eines Audits beim Datenimporteur oder einem Unterauftragsverarbeiter gemäß Absatz 2 verhindern. In einem solchen Fall ist der Datenexporteur berechtigt, die in Ziffer 5 Buchstabe b) vorgesehenen Maßnahmen zu ergreifen.

Klausel 9
Geltendes Recht

Die Klauseln unterliegen dem Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.

Klausel 10
Änderung des Vertrages

Die Parteien verpflichten sich, die Klauseln nicht zu ändern oder zu modifizieren. Dies schließt nicht aus, dass die Parteien bei Bedarf Klauseln zu geschäftsbezogenen Fragen hinzufügen, solange sie nicht im Widerspruch zu den Klauseln stehen.

Klausel 11
Weiterverarbeitung

Der Datenimporteur darf ohne vorherige schriftliche Zustimmung des Datenexporteurs keine seiner im Namen des Datenexporteurs gemäß den Klauseln durchgeführten Verarbeitungen an Unterauftragnehmer vergeben. Vergibt der Datenimporteur mit Zustimmung des Datenexporteurs Unteraufträge im Rahmen der Klauseln, so darf er dies nur auf der Grundlage einer schriftlichen Vereinbarung mit dem Unterauftragsverarbeiter tun, die dem Unterauftragsverarbeiter dieselben Verpflichtungen auferlegt, die dem Datenimporteur gemäß den Klauseln auferlegt werden3. Kommt der Unterauftragsverarbeiter seinen datenschutzrechtlichen Verpflichtungen aus einer solchen schriftlichen Vereinbarung nicht nach, so bleibt der Datenimporteur gegenüber dem Datenexporteur in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters aus dieser Vereinbarung haftbar.

Der vorherige schriftliche Vertrag zwischen dem Datenimporteur und dem Unterauftragsverarbeiter sieht auch eine Drittbegünstigungsklausel gemäß Klausel 3 für den Fall vor, dass die betroffene Person nicht in der Lage ist, den in Klausel 6 Absatz 1 genannten Schadensersatzanspruch gegen den Datenexporteur oder den Datenimporteur geltend zu machen, weil diese faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig geworden sind und kein Nachfolgeunternehmen die gesamten rechtlichen Verpflichtungen des Datenexporteurs oder des Datenimporteurs vertraglich oder kraft Gesetzes übernommen hat. Die Drittschuldnerhaftung des Unterauftragsverarbeiters ist auf seine eigenen Verarbeitungen gemäß den Klauseln beschränkt.

Die Bestimmungen über die Datenschutzaspekte bei der Unterverarbeitung des in Absatz 1 genannten Vertrags unterliegen dem Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.

Der Datenexporteur führt ein Verzeichnis der gemäß den Klauseln geschlossenen und vom Datenimporteur gemäß Klausel 5 Buchstabe j) gemeldeten Unterverarbeitungsverträge, das mindestens einmal jährlich zu aktualisieren ist. Das Verzeichnis ist der Datenschutzaufsichtsbehörde des Datenexporteurs zur Verfügung zu stellen.

3Diesem Erfordernis kann dadurch entsprochen werden, dass der Unterauftragsverarbeiter den zwischen dem Datenexporteur und dem Datenimporteur im Rahmen dieses Beschlusses geschlossenen Vertrag mitunterzeichnet.

Klausel 12
Verpflichtungen nach Beendigung der Verarbeitung personenbezogener Daten

Die Parteien vereinbaren, dass der Datenimporteur und der Unterauftragsverarbeiter bei Beendigung der Erbringung von Datenverarbeitungsdiensten nach Wahl des Datenexporteurs alle übermittelten personenbezogenen Daten und die Kopien davon an den Datenexporteur zurückgeben oder alle personenbezogenen Daten vernichten und dies dem Datenexporteur gegenüber bescheinigen, es sei denn, der Datenimporteur ist aufgrund von Rechtsvorschriften daran gehindert, alle oder einen Teil der übermittelten personenbezogenen Daten zurückzugeben oder zu vernichten. In diesem Fall garantiert der Datenimporteur, dass er die Vertraulichkeit der übermittelten personenbezogenen Daten gewährleisten und die übermittelten personenbezogenen Daten nicht mehr aktiv verarbeiten wird.

Der Datenimporteur und der Unterauftragsverarbeiter gewährleisten, dass sie auf Ersuchen des Datenexporteurs und/oder der Kontrollstelle ihre Datenverarbeitungsanlagen einer Prüfung der in Absatz 1 genannten Maßnahmen unterziehen.

Im Namen des Datenexporteurs:

Name (vollständig ausgeschrieben):

Position des Kunden:

Adresse:

Sonstige Angaben, die für die Verbindlichkeit des Vertrags erforderlich sind (falls zutreffend):

Unterschrift ……………………………………….
(Stempel der Organisation)



Im Namen des Datenimporteurs:

Name (vollständig ausgeschrieben): Andrii Ryzhokhin

Position: Direktor

Anschrift:16192 COASTAL HIGHWAY, LEWES, DE 19958, COUNTY OF SUSSEX, USA

Sonstige Angaben, die für die Verbindlichkeit des Vertrags erforderlich sind (falls zutreffend):

Unterschrift ……………………………………….
(Stempel der Organisation)

ANHANG 1 ZU DEN Mustervertragsklauseln

Dieser Anhang ist Bestandteil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden.

Die Mitgliedstaaten können nach ihren innerstaatlichen Verfahren zusätzliche Informationen, die in dieser Anlage enthalten sein müssen, ergänzen oder angeben.

Datenexporteur

Der Datenexporteur ist (bitte geben Sie kurz Ihre für die Übermittlung relevanten Tätigkeiten an):

Kunde

Datenimporteur

Der Datenimporteur ist (bitte geben Sie kurz die für die Übertragung relevanten Tätigkeiten an):

ein Online-Dienst zur Erstellung und Versendung von Marketing- und Transaktionsnachrichten an Dritte

Betroffene Personen

Die übermittelten personenbezogenen Daten betreffen die folgenden Kategorien von betroffenen Personen (bitte angeben):

Siehe Artikel 3.2 der Vereinbarung über die Datenverarbeitung.

Kategorien von Daten

Die übermittelten personenbezogenen Daten betreffen die folgenden Datenkategorien (bitte angeben):

Siehe Artikel 3.1 der Vereinbarung über die Datenverarbeitung.

Besondere Kategorien von Daten (falls zutreffend)

Die übermittelten personenbezogenen Daten betreffen die folgenden besonderen Datenkategorien (bitte angeben): N/A

Verarbeitung der Vorgänge

Die übermittelten personenbezogenen Daten werden den folgenden grundlegenden Verarbeitungstätigkeiten unterzogen (bitte angeben):

Siehe die Angaben in der Dienstleistungsvereinbarung.

DATENEXPORTEUR

Name: Kunde

Autorisierte Unterschrift

DATENIMPORTEUR

Name: ARDAS INTERNATIONAL INC.

Autorisierte Unterschrift

ANHANG 2 ZU DEN Mustervertragsklauseln

Dieser Anhang ist Bestandteil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden.

Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, die der Datenimporteur gemäß Klausel 4 Buchstabe d) und 5 Buchstabe c) umgesetzt hat (oder beigefügtes Dokument/Vorschrift):

Siehe Anhang 2 der Vereinbarung über die Datenverarbeitung.