ADDENDUM DATENVERARBEITUNG

BITTE BEACHTEN SIE: DIES IST EINE KOPIE DER VEREINBARUNG MIT DEM VERARBEITER.

Dieser Zusatz zur Datenverarbeitung, einschließlich Anhang 1, (im Folgenden: "Verarbeitungsvertrag") ist ein Zusatz und bildet einen Teil der Allgemeinen Geschäftsbedingungen von AdPage.io oder einer anderen schriftlichen oder elektronischen Vereinbarung zwischen AdPage. io und dem Kunden für den Erwerb von Server Side Tracking-Diensten von AdPage.io (in der jeweiligen Vereinbarung als "Dienste" oder anderweitig bezeichnet und im Folgenden als "Dienste" definiert) (im Folgenden: "Vertrag"), um die Vereinbarung zwischen den Parteien in Bezug auf die Verarbeitung personenbezogener Daten zu gestalten. Der Kunde schließt diese Auftragsverarbeitungsvereinbarung in seinem eigenen Namen und in dem nach den geltenden Datenschutzgesetzen und -vorschriften erforderlichen Umfang ab. Im Zuge der Erbringung der Dienstleistungen für den Kunden im Rahmen der Vereinbarung kann AdPage.io personenbezogene Daten im Namen des Kunden verarbeiten, und die Parteien verpflichten sich, die folgenden Bestimmungen in Bezug auf personenbezogene Daten einzuhalten, wobei jede Partei angemessen und in gutem Glauben handelt.

‍

WIE DIESE VERARBEITUNGSVEREINBARUNG UMGESETZT WERDEN SOLL:

1. Diese Verarbeitungsvereinbarung besteht aus zwei Teilen: dem Haupttext der Verarbeitungsvereinbarung, Anhang 1 und den dazugehörigen Anhängen.
2. Diese Verarbeitungsvereinbarung ist im Namen von AdPage.io als Verarbeiter vorunterzeichnet. Anhang I wurde von AdPage.io als Datenimporteur vorunterzeichnet.
3. Um diese Verarbeitungsvereinbarung abzuschließen, muss der Kunde:die Informationen im Unterschriftsfeld auf den Seiten 5 und 19 ausfüllen und unterschreiben.das Dokument im AdPage Tagging-Portal unterschreiben.

WIE DIESE VEREINBARUNG ZWISCHEN VERARBEITERN GILT

Sofern in der Vereinbarung nicht ausdrücklich etwas anderes vorgesehen ist, wird diese Verarbeitungsvereinbarung rechtsverbindlich, sobald AdPage.io die gültig ausgefüllte Verarbeitungsvereinbarung unter support@adpage.io erhalten hat .

Um Zweifel auszuschließen, gilt die Unterzeichnung des Auftragsverarbeitervertrags auf Seite 5 als Unterzeichnung und Annahme der Standardvertragsklauseln, einschließlich Anhang II und Anhang III. Wenn der Kunde, der diese Auftragsverarbeitungsvereinbarung unterschreibt, eine Vertragspartei ist, dann ist diese Auftragsverarbeitungsvereinbarung ein Zusatz zu dem Vertrag und bildet einen Teil desselben. In diesem Fall ist AdPage.io eine Partei dieser Auftragsverarbeitungsvereinbarung.

WIRD WIE FOLGT VEREINBART

1. Definitionen und Auslegung

1.1 In dieser Auftragsverarbeiter-Vereinbarung haben die folgenden Begriffe die nachstehend angegebene Bedeutung:
‍

AdPage.io: ist ein Handelsname von AdPage BV (KVK: 75440482), dessen eingetragene Adresse lautet: Velmolenweg 54 A 5404 LD, Uden Niederlande. Auch als "Processor" bezeichnet.

Vertrag: bezeichnet eine schriftliche oder elektronische Vereinbarung zwischen AdPage.io und dem Kunden über den Kauf von Server Side Tracking-Dienstleistungen von AdPage.io.

Bestimmungen: Modul zwei (Übermittlungen zwischen für die Verarbeitung Verantwortlichen und Auftragsverarbeitern) der Musterklauseln zum Durchführungsbeschluss (EU) 2021/914 der Kommission, wie in Anhang 1 dieser Auftragsverarbeitungsvereinbarung dargelegt.

Kunde: bezeichnet die juristische Person oder den Verbraucher, mit dem AdPage.io einen rechtsverbindlichen Vertrag geschlossen hat. Wird auch als "Controller" bezeichnet.

Für die Verarbeitung Verantwortlicher: die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Kundendaten: umfassen alle Daten und Informationen, die AdPage.io vom oder für den Kunden zur Verfügung gestellt werden, um Dienstleistungen zu erbringen.

Vereinbarung mit dem Auftragsverarbeiter: diese Ergänzung zur Datenverarbeitung, einschließlich ihrer Anhänge, in der jeweils geltenden Fassung.

Datenschutzgesetze sind alle geltenden Gesetze zum Schutz personenbezogener Daten oder der Privatsphäre, die von Zeit zu Zeit im Europäischen Wirtschaftsraum und im Vereinigten Königreich in Kraft sind, einschließlich (aber nicht beschränkt auf) die EU-DSGVO, die britische GDPR und das britische Datenschutzgesetz 2018 sowie alle anderen geltenden Gesetze zum Datenschutz oder zum Schutz der Privatsphäre von Personen.

EU GDPR oder "AVG" bedeutet EU General Data Protection Regulation 2016/679.Parteien: sowohl AdPage.io als auch der Kunde.

Personenbezogene Daten sind alle Informationen, die sich auf eine bestimmte oder bestimmbare lebende Person beziehen und vom Auftragsverarbeiter im Auftrag des für die Verarbeitung Verantwortlichen infolge oder in Verbindung mit der Erbringung der Dienstleistungen im Rahmen der Vereinbarung verarbeitet werden; Einzelheiten dazu sind in Teil B von Anhang I zu Anhang 1 dieser Auftragsverarbeitervereinbarung aufgeführt, die von Zeit zu Zeit im gegenseitigen Einvernehmen zwischen den Parteien geändert werden kann.

Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.

Dienstleistung(en): Alle Dienste, die dem Kunden über die Online-Plattform von AdPage.io, Plugins, Websites Dritter oder andere von AdPage.io angebotene Dienste zur Verfügung gestellt werden.

1.2 Die Begriffe "Drittland", "Mitgliedstaat", "betroffene Person", "Verletzung des Schutzes personenbezogener Daten", "Verarbeitung" und "Aufsichtsbehörde" haben die gleiche Bedeutung wie in der EU-DSGVO, und die entsprechenden Begriffe sind entsprechend auszulegen.

1.3 Im Falle von Konflikten oder Unklarheiten zwischen:

1.3.1 eine Bestimmung im Hauptteil dieser Verarbeitungsvereinbarung und eine Bestimmung in Anhang 1, so hat die Bestimmung in Anhang 1 Vorrang; und

1.3.2 eine der Bestimmungen dieses Auftragsverarbeitervertrags und die Bestimmungen des Vertrags selbst, so haben die Bestimmungen dieses Auftragsverarbeitervertrags in Bezug auf den Gegenstand dieses Auftragsverarbeitervertrags Vorrang.

‍

HINTERGRUND

(A) Der Kunde hat eine Website oder einen Webshop und möchte mehr Leads und Verkäufe erzielen.

(B) AdPage.io ist ein Anbieter von spezialisierten analytischen Server-Side-Tracking-Diensten, und der Kunde möchte die Dienste von AdPage.io in Bezug auf die korrekte Messung der Ergebnisse von Anzeigen durch die Verwendung von Proxy-Servern erwerben.

(C) Die Parteien haben einen Vertrag geschlossen, der den rechtlichen Rahmen festlegt, unter dem AdPage.io den Kunden unterstützt und unter dem AdPage.io zugestimmt hat, die Dienstleistungen für den Kunden zu erbringen.

(D) Die von AdPage.io im Rahmen der Vereinbarung erbrachten Dienstleistungen ermöglichen AdPage.io den Zugriff auf und die Verarbeitung von personenbezogenen Daten (wie oben definiert) als Auftragsverarbeiter im Auftrag des Kunden (der als Verantwortlicher handelt).

(E) Um die sichere, korrekte und rechtmäßige Verarbeitung personenbezogener Daten durch AdPage.io im Auftrag des Kunden zu gewährleisten, haben die Parteien die in diesem Zusatz zur Datenverarbeitung festgelegten Bedingungen vereinbart.

‍

2. Rolle und Pflichten der Parteien

2.1 Der Kunde und AdPage.io vereinbaren und erkennen an, dass:

2.1.1. Im Sinne der Datenschutzgesetze handelt AdPage.io als Auftragsverarbeiter im Auftrag des Kunden (als Auftragsverarbeiter);

2.1.2 die Verarbeitung personenbezogener Daten durch AdPage.io unterliegt den Mustervertragsklauseln (wie in Anhang 1 dieser Auftragsverarbeitervereinbarung dargelegt); und

2.1.3 Für die Zwecke der Mustervertragsklauseln ist der Kunde der Datenexporteur und AdPage.io der Datenimporteur;

2.1.4 es liegt in der Verantwortung des Kunden , die Pseudonymisierung personenbezogener Daten zu ermöglichen. Wenn die Pseudonymisierung deaktiviert ist, kann Adpage nicht garantieren, dass angemessene zusätzliche Maßnahmen ergriffen wurden, um die wesentliche Gleichwertigkeit mit dem EU-Schutzniveau zu gewährleisten.

3. Löschung oder Rückgabe personenbezogener Daten durch den für die Verarbeitung Verantwortlichen

3.1 Vorbehaltlich der Klausel 5.3 (Dauer und Beendigung) sind die in Klausel 8.5 der Allgemeinen Geschäftsbedingungen genannten Verpflichtungen von AdPage.io innerhalb von 30 Tagen nach Beendigung der Erbringung der vertragsgemäßen Dienstleistungen zu erfüllen.

3.2 AdPage.io darf personenbezogene Daten nur in dem Umfang und für die Dauer aufbewahren, wie es das Recht der EU, des Vereinigten Königreichs oder der Mitgliedstaaten vorschreibt, und immer unter der Bedingung, dass AdPage.io die Vertraulichkeit all dieser personenbezogenen Daten wahrt und sicherstellt, dass diese personenbezogenen Daten nur in dem Maße verarbeitet werden, wie es für den Zweck bzw. die Zwecke erforderlich ist, die in den einschlägigen Rechtsvorschriften der EU, des Vereinigten Königreichs oder der Mitgliedstaaten, die ihre Speicherung vorschreiben, festgelegt sind, und für keinen anderen Zweck.

4. Hilfeleistung gemäß ANHANG 1

4.1. AdPage.io bietet die in den Artikeln 8.3, 8.6 und 10 der Mustervertragsbedingungen beschriebene Unterstützung ohne zusätzliche Kosten für den Kunden.

Laufzeit und Beendigung

5.1 Diese Auftragsverarbeiter-Vereinbarung tritt mit dem Eingang der gültig ausgefüllten Auftragsverarbeiter-Vereinbarung an die E-Mail-Adresse bei AdPage.io in Kraft und endet zum späteren der folgenden Zeitpunkte:

(i) das Datum, an dem der Vertrag endet; oder
(ii) das Datum, an dem AdPage.io die Verarbeitung personenbezogener Daten einstellt.

5.2 Alle Bestimmungen dieser Auftragsverarbeitungsvereinbarung, die ausdrücklich oder stillschweigend dazu bestimmt sind, bei oder nach Beendigung dieser Auftragsverarbeitungsvereinbarung wirksam zu werden oder in Kraft zu bleiben, bleiben in vollem Umfang in Kraft und wirksam.

5.3 Die Kündigung oder das Erlöschen dieses Auftragsverarbeitungsvertrags berührt nicht die Rechte, Rechtsbehelfe, Verpflichtungen oder Verbindlichkeiten der Parteien, die bis zum Zeitpunkt der Kündigung oder des Erlöschens entstanden sind, einschließlich des Rechts, Schadensersatz im Zusammenhang mit einer Verletzung dieses Auftragsverarbeitungsvertrags zu verlangen, die am oder vor dem Zeitpunkt der Kündigung oder des Erlöschens bestand.

6. haftung

6.1 Vorbehaltlich der Klausel 6.2 unterliegt die Haftung jeder Partei in Bezug auf Ansprüche, Verluste, Verfahren, Klagen oder rechtliche Sanktionen, die sich aus oder in Verbindung mit dieser Auftragsverarbeitungsvereinbarung ergeben, den Bestimmungen der Vereinbarung und wird durch diese Auftragsverarbeitungsvereinbarung nicht geändert.

6.2 Ungeachtet des Vorstehenden schränkt nichts in dieser Verarbeitungsvereinbarung oder in der Vereinbarung die Haftung einer Partei in Bezug auf ihre Verpflichtungen aus den Mustervertragsklauseln ein.

7. Verschiedenes

7.1 Alle Mitteilungen an eine Vertragspartei im Rahmen dieser Auftragsverarbeitungsvereinbarung bedürfen der Schriftform und sind an die am Anfang dieser Auftragsverarbeitungsvereinbarung angegebene Adresse oder an eine andere von einer Vertragspartei schriftlich mitgeteilte Adresse zu richten.

7.2 Das Versäumnis einer Partei, ihre Rechte aus oder im Zusammenhang mit dieser Auftragsverarbeitervereinbarung auszuüben, stellt keinen Verzicht auf diese Rechte dar und beeinträchtigt diese Rechte auch nicht in anderer Weise.

7.3 Diese Verarbeitungsvereinbarung kann nur durch eine schriftliche Vereinbarung zwischen den Vertragsparteien geändert werden.

7.4 Wird eine Bestimmung dieser Auftragsverarbeitungsvereinbarung von einem zuständigen Gericht für nichtig oder nicht durchsetzbar erklärt, so bleiben die übrigen Bestimmungen dieser Auftragsverarbeitungsvereinbarung in Kraft, es sei denn, die letztgenannten Bestimmungen sind als untrennbar mit der nichtigen oder nicht durchsetzbaren Bestimmung verbunden anzusehen. Bleiben die übrigen Bestimmungen gültig, so bemühen sich beide Parteien, die nichtige oder nicht durchsetzbare Bestimmung durch eine gültige Bestimmung zu ersetzen, die der ursprünglichen Absicht der Parteien so weit wie möglich entspricht.

8. Anwendbares Recht

Diese Auftragsverarbeitungsvereinbarung und alle Streitigkeiten oder Ansprüche, die sich aus oder im Zusammenhang mit dieser Auftragsverarbeitungsvereinbarung ergeben (einschließlich außervertraglicher Streitigkeiten oder Ansprüche), unterliegen dem niederländischen Recht und werden nach diesem ausgelegt. Jede Partei erklärt sich unwiderruflich damit einverstanden, dass das Gericht von Den Bosch in den Niederlanden die ausschließliche Zuständigkeit für die Beilegung von Streitigkeiten oder Ansprüchen aus oder im Zusammenhang mit dieser Auftragsverarbeitungsvereinbarung (einschließlich außervertraglicher Streitigkeiten oder Ansprüche) hat.

‍

Ausgefertigt in zwei (2) Originalen, wobei jede Partei den Erhalt eines (1) Originals bestätigt.

BITTE BEACHTEN SIE: DIES IST EINE KOPIE DER VEREINBARUNG MIT DEM VERARBEITER.

‍

ANHANG 1 - STANDARDVERTRAGSKLAUSELN

ABSCHNITT I
Bestimmung 1
Zweck und Anwendungsbereich

(a) Zweck dieser Standardvertragsklauseln ist es, die Einhaltung der Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung, AVG) (1) für die Übermittlung personenbezogener Daten in ein Drittland zu gewährleisten.

(b) Die Parteien:

(i) die natürlichen oder juristischen Personen und öffentlichen Einrichtungen, Ämter und Agenturen (nachstehend "Stellen" genannt), die die in Anhang I.A genannten personenbezogenen Daten übermitteln ("Datenexporteur"), und

(ii) die Einrichtungen in einem Drittland, die die personenbezogenen Daten vom Datenexporteur direkt oder indirekt über eine andere Einrichtung, die ebenfalls Vertragspartei dieser Klauseln ist, gemäß der Liste in Anhang I.A erhalten (nachstehend als "Datenimporteur" bezeichnet)

haben diese Standardvertragsklauseln (nachstehend "Klauseln" genannt) vereinbart.

(c) Diese Bestimmungen gelten für die Übermittlung personenbezogener Daten gemäß Anhang I.B.

(d) Die Anlage zu diesen Bestimmungen, die die darin genannten Anhänge enthält, ist Bestandteil dieser Bestimmungen.

‍

Bestimmung 2

Wirkung und Unveränderlichkeit von Rückstellungen

(a) In diesen Bestimmungen werden geeignete Garantien, einschließlich durchsetzbarer Rechte der betroffenen Personen und wirksamer Rechtsbehelfe, gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 sowie, in Bezug auf Datenübermittlungen von für die Verarbeitung Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter, Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679 festgelegt, sofern sie nicht geändert werden, es sei denn, um das/die geeignete(n) Modul(e) auszuwählen oder um Informationen im Anhang hinzuzufügen oder zu ändern. Dies bedeutet nicht, dass die Parteien die in diesen Bestimmungen festgelegten Standardvertragsklauseln nicht in eine umfassendere Vereinbarung einbeziehen und/oder andere Klauseln oder zusätzliche Garantien hinzufügen können, sofern diese nicht direkt oder indirekt im Widerspruch zu diesen Bestimmungen stehen und nicht gegen die Grundrechte oder -freiheiten der betroffenen Personen verstoßen.

(b) Diese Bestimmungen berühren nicht die Verpflichtungen des Datenexporteurs gemäß der Verordnung (EU) 2016/679.

‍

Bestimmung 3
Drittbegünstigte

Betroffene Personen können diese Bestimmungen als Drittbegünstigte gegenüber dem Datenexporteur und/oder dem Datenimporteur geltend machen, wobei folgende Ausnahmen gelten

(i) Bestimmung 1, Bestimmung 2, Bestimmung 3, Bestimmung 6, Bestimmung 7;

(ii) Bestimmung 8 - Modul eins: Bestimmung 8.5(e) und Bestimmung 8.9(b); Modul zwei: Bestimmung 8.1(b), Bestimmung 8.9(a), (c), (d) und (e); Modul drei: Bestimmung 8.1 a), c) und d) und Bestimmung 8.9 a), c), d), e), f) und g); Modul vier: Bestimmung 8.1 b) und Bestimmung 8.3 b);

(iii) Bestimmung 9 - Modul zwei: Bestimmung 9, Buchstaben a, c, d und e; Modul drei: Bestimmung 9, Punkte (a), (c), (d) und (e);

(iv) Bestimmung 12 - Modul eins: Bestimmung 12, Punkte (a) und (d); Module zwei und drei: Bestimmung 12, Punkte (a), (d) und (f);

(v) Bestimmung 13;

(vi) Bestimmung 15.1 Buchstaben c, d und e;

(vii) Bestimmung 16(e);

(viii) Bestimmung 18 - Module eins, zwei und drei: Bestimmung 18 Buchstaben a und b; Modul vier: Bestimmung 18.Punkt a berührt nicht die Rechte der betroffenen Personen gemäß der Verordnung (EU) 2016/679.

‍

Bestimmung 4
Interpretation

(a) Werden in diesen Bestimmungen Begriffe verwendet, die in der Verordnung (EU) 2016/679 definiert sind, so haben diese Begriffe die gleiche Bedeutung wie in der genannten Verordnung.

(b) Diese Bestimmungen sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 zu lesen und auszulegen.

(c) Diese Bestimmungen dürfen nicht in einer Weise ausgelegt werden, die mit den Rechten und Pflichten gemäß der Verordnung (EU) 2016/679 unvereinbar ist.

‍

Bestimmung 5
Hierarchie

Im Falle eines Widerspruchs zwischen diesen Bestimmungen und den Bestimmungen der damit zusammenhängenden Vereinbarungen zwischen den Parteien, die zum Zeitpunkt der Vereinbarung dieser Bestimmungen bestanden oder danach abgeschlossen wurden, sind diese Bestimmungen maßgebend.

‍

Bestimmung 6
Beschreibung der Übertragung(en)

Die Einzelheiten der Übermittlung(en), insbesondere die Kategorien der übermittelten personenbezogenen Daten und der Zweck, zu dem sie übermittelt werden, sind in Anhang I.B aufgeführt.

Bestimmung 7 - Optionale
Andockvorrichtung
(entfällt)

‍

ABSCHNITT II - VERPFLICHTUNGEN DER PARTEIEN

Bestimmung 8
Datenschutzgarantien

Der Datenexporteur garantiert, dass er angemessene Anstrengungen unternommen hat, um festzustellen, ob der Datenimporteur durch die Anwendung geeigneter technischer und organisatorischer Maßnahmen in der Lage ist, seine Verpflichtungen aus diesen Klauseln zu erfüllen.

8.1. Weisungen
(a) Der Datenimporteur darf die personenbezogenen Daten nur auf der Grundlage schriftlicher Weisungen des Datenexporteurs verarbeiten. Der Datenexporteur kann solche Weisungen während der Laufzeit des Vertrages erteilen.
b) Der Datenimporteur benachrichtigt den Datenexporteur unverzüglich, wenn er nicht in der Lage ist, solche Weisungen zu befolgen.

8.2. Zweckbindung
Der Datenimporteur darf die personenbezogenen Daten nur für den in Anhang I.B aufgeführten spezifischen Zweck der Übermittlung verarbeiten, es sei denn, er stützt sich auf weitere Anweisungen des Datenexporteurs.

8.3. Transparenz
Der Datenexporteur stellt der betroffenen Person auf Anfrage unentgeltlich eine Kopie dieser Klauseln einschließlich des von den Parteien ausgefüllten Anhangs zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich der in Anhang II beschriebenen Maßnahmen und personenbezogenen Daten, erforderlich ist, kann der Datenexporteur Teile des Textes der Anlage zu diesen Klauseln vor der Weitergabe einer Kopie unkenntlich machen, muss dabei jedoch eine entsprechende Zusammenfassung beifügen, wenn die betroffene Person andernfalls nicht in der Lage wäre, deren Inhalt zu verstehen oder ihre Rechte auszuüben. Auf Anfrage teilen die Parteien der betroffenen Person die Gründe für die Schwärzung mit, soweit dies ohne Offenlegung der geschwärzten Informationen möglich ist. Diese Bestimmung berührt nicht die Verpflichtungen des Datenexporteurs gemäß Artikel 13 und 14 der Verordnung (EU) 2016/679.

8.4. Richtigkeit
Stellt der Datenimporteur fest, dass die von ihm erhaltenen personenbezogenen Daten unrichtig oder veraltet sind, so teilt er dies dem Datenexporteur unverzüglich mit. In diesem Fall arbeitet der Datenimporteur mit dem Datenexporteur bei der Löschung oder Berichtigung der Daten zusammen.

8.5. Dauer der Verarbeitung und Löschung oder Rückgabe der Daten
Die Verarbeitung durch den Datenimporteur erfolgt nur für die in Anhang I.B angegebene Dauer. Nach Beendigung der Erbringung von Verarbeitungsdienstleistungen löscht der Datenimporteur auf Ersuchen des Datenexporteurs entweder alle im Auftrag des Datenexporteurs verarbeiteten personenbezogenen Daten und versichert dem Datenexporteur, dass er dies getan hat, oder er gibt dem Datenexporteur alle in seinem Auftrag verarbeiteten personenbezogenen Daten zurück und löscht vorhandene Kopien. Bis zur Löschung oder Rückgabe der Daten hat der Datenimporteur weiterhin die Einhaltung dieser Bestimmungen zu gewährleisten. Für den Fall, dass das für den Datenimporteur geltende örtliche Recht die Rückgabe oder Löschung der übermittelten personenbezogenen Daten verbietet, gewährleistet der Datenimporteur, dass er diese Bestimmungen weiterhin einhält und die personenbezogenen Daten nur in dem Umfang und so lange verarbeitet, wie es das örtliche Recht verlangt. Dies gilt unbeschadet von Klausel 14, insbesondere der Verpflichtung des Datenimporteurs nach Klausel 14 Buchstabe e, den Datenexporteur während der gesamten Laufzeit des Abkommens zu benachrichtigen, wenn er Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterlegen ist, die mit den Anforderungen nach Klausel 14 Buchstabe a unvereinbar sind.

8.6. Sicherheit der Verarbeitung
(a) Der Datenimporteur und bei der Übermittlung auch der Datenexporteur treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einer Sicherheitsverletzung, die zur zufälligen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Weitergabe oder zum unbefugten Zugang zu diesen Daten führt (nachstehend "Verletzung des Schutzes personenbezogener Daten"). Bei der Bewertung des angemessenen Sicherheitsniveaus berücksichtigen die Vertragsparteien den Stand der Technik, die Kosten der Umsetzung, die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung sowie die von der Verarbeitung ausgehenden Risiken für die betroffenen Personen gebührend. Insbesondere erwägen die Parteien die Verwendung von Verschlüsselung oder Pseudonymisierung, auch bei der Übermittlung, wenn der Zweck der Verarbeitung auf diese Weise erreicht werden kann. Bei der Pseudonymisierung bleiben die zusätzlichen Daten zur Verknüpfung der personenbezogenen Daten mit einer bestimmten betroffenen Person nach Möglichkeit unter der ausschließlichen Kontrolle des Datenexporteurs. Der Datenimporteur kommt seiner Verpflichtung nach diesem Absatz nach, indem er zumindest die in Anhang II aufgeführten technischen und organisatorischen Maßnahmen trifft. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Sicherheitsniveau bieten.

(b) Der Datenimporteur gewährt seinen Mitarbeitern nur insoweit Zugang zu den personenbezogenen Daten, als dies für die Durchführung, Verwaltung und Weiterverfolgung des Abkommens unbedingt erforderlich ist. Er stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Geheimhaltungspflicht unterliegen.

(c) Im Falle einer Verletzung des Schutzes personenbezogener Daten, die personenbezogene Daten betrifft, die vom Datenimporteur im Rahmen dieser Klauseln verarbeitet werden, ergreift der Datenimporteur geeignete Maßnahmen, um die Verletzung zu beheben, einschließlich Maßnahmen zur Milderung ihrer nachteiligen Auswirkungen. Nachdem der Datenimporteur von der Verletzung Kenntnis erlangt hat, benachrichtigt er auch unverzüglich den Datenexporteur. Diese Benachrichtigung umfasst die Angabe einer Kontaktstelle, bei der weitere Informationen eingeholt werden können, eine Beschreibung der Art der Verletzung (möglichst unter Angabe der Kategorien betroffener Personen und personenbezogener Datensätze und ungefähr der Anzahl betroffener Personen und personenbezogener Datensätze), ihrer wahrscheinlichen Folgen und der zur Behebung der Verletzung vorgeschlagenen oder ergriffenen Maßnahmen, gegebenenfalls einschließlich Maßnahmen zur Abmilderung etwaiger nachteiliger Folgen. Wenn und soweit es nicht möglich ist, alle Informationen gleichzeitig zu übermitteln, enthält die erste Meldung die zu diesem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, unverzüglich nachgereicht.

(d) Unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen arbeitet der Datenimporteur mit dem Datenexporteur zusammen und unterstützt ihn, damit dieser seinen Verpflichtungen gemäß der Verordnung (EU) 2016/679 nachkommen kann, insbesondere bei der Meldung an die zuständige Kontrollstelle und die betroffenen Personen.

8.7. Sensible Daten
Betrifft die Übermittlung personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetische Daten oder biometrische Daten zur eindeutigen Identifizierung einer Person, Daten über Gesundheit oder Daten über das Sexualverhalten oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten (nachstehend "sensible Daten" genannt), so wendet der Datenimporteur die in Anhang I.B aufgeführten besonderen Beschränkungen und/oder zusätzlichen Garantien an.

8.8. Weiterübermittlung
Der Datenimporteur übermittelt die personenbezogenen Daten nur auf schriftliche Anweisung des Datenexporteurs an einen Dritten. Darüber hinaus werden die Daten nur dann an einen außerhalb der Europäischen Union (4) ansässigen Dritten (im selben Land wie der Datenimporteur oder in einem anderen Drittland; im Folgenden "Weiterübermittlung") übermittelt, wenn der Dritte gemäß dem entsprechenden Modul an diese Bestimmungen gebunden ist oder sich damit einverstanden erklärt, oder wenn:

(i) die Weiterübermittlung in ein Land erfolgt, für das ein Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 gilt, dem die Weiterübermittlung unterliegt;

(ii) der Dritte anderweitig angemessene Garantien gemäß Artikel 46 oder 47 der Verordnung (EU) 2016/679 in Bezug auf die betreffende Verarbeitung gewährleistet;

iii) die Weiterübermittlung für die Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen bestimmter Verwaltungs-, Aufsichts- oder Gerichtsverfahren erforderlich ist; oder

(iv) die Weiterübermittlung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen; die Weiterübermittlung darf nur erfolgen, wenn der Datenimporteur alle anderen Garantien gemäß diesen Bestimmungen, insbesondere die Zweckbindung, einhält.

8.9. Dokumentation und Einhaltung der Vorschriften

(a) Der Datenimporteur hat Anfragen des Datenexporteurs im Zusammenhang mit der Verarbeitung nach diesen Bestimmungen unverzüglich und angemessen zu beantworten.

(b) Die Parteien müssen in der Lage sein, die Einhaltung dieser Bestimmungen nachzuweisen. Insbesondere muss der Datenimporteur eine angemessene Dokumentation über die unter seiner Verantwortung im Auftrag des Datenexporteurs durchgeführten Verarbeitungstätigkeiten führen.

(c) Auf Ersuchen des Datenexporteurs stellt der Datenimporteur dem Datenexporteur alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in diesen Klauseln festgelegten Verpflichtungen nachzuweisen, um Überprüfungen der unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung zu ermöglichen und dazu beizutragen. Bei der Entscheidung über eine Überprüfung oder ein Audit kann der Datenexporteur die einschlägigen Zertifizierungen des Datenimporteurs berücksichtigen.

(d) Der Datenexporteur hat die Wahl, das Audit selbst durchzuführen oder einen unabhängigen Prüfer damit zu beauftragen. Die Audits können Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Datenimporteurs umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.

(e) Die Vertragsparteien stellen die in den Buchstaben b) und c) genannten Informationen, einschließlich der Ergebnisse etwaiger Prüfungen, der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung.

Bestimmung 9
Einsatz von Unterauftragsverarbeitern
(a) Der Datenimporteur hat die allgemeine Zustimmung des Datenexporteurs, Unterauftragsverarbeiter aus einer vereinbarten Liste einzusetzen. Der Datenimporteur benachrichtigt den Datenexporteur schriftlich mindestens [Frist angeben] im Voraus über beabsichtigte Änderungen dieser Liste durch Hinzufügung oder Ersetzung von Unterauftragsverarbeitern, so dass der Datenexporteur ausreichend Zeit hat, gegen diese Änderungen Einspruch zu erheben, bevor der/die Unterauftragsverarbeiter eingesetzt werden. Der Datenimporteur stellt dem Datenexporteur die Informationen zur Verfügung, die er benötigt, um sein Widerspruchsrecht auszuüben.

(b) Beauftragt der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Namen des Datenexporteurs), so erfolgt dies im Wege einer schriftlichen Vereinbarung, die im Wesentlichen dieselben Datenschutzverpflichtungen vorsieht, an die der Datenimporteur nach diesen Klauseln gebunden ist, auch in Bezug auf die Rechte Dritter für die betroffenen Personen (8). Die Parteien kommen überein, dass der Datenimporteur seine Verpflichtungen gemäß Abschnitt 8.8 durch Einhaltung dieses Abschnitts erfüllt. Der Datenimporteur stellt sicher, dass der Unterauftragsverarbeiter die Verpflichtungen einhält, an die der Datenimporteur nach diesen Bestimmungen gebunden ist.

(c) Der Datenimporteur übermittelt dem Datenexporteur auf dessen Anfrage eine Kopie dieser Vereinbarung mit dem Unterauftragsverarbeiter sowie alle späteren Änderungen. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Datenimporteur den Text der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.

(d) Der Datenimporteur bleibt gegenüber dem Datenexporteur in vollem Umfang dafür verantwortlich, dass der Unterauftragsverarbeiter seinen Verpflichtungen aus seinem Vertrag mit dem Datenimporteur nachkommt. Der Datenimporteur unterrichtet den Datenexporteur über jeden Verstoß des Unterauftragsverarbeiters gegen seine Verpflichtungen aus dieser Vereinbarung.

(e) Der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine Drittwiderspruchsklausel, wonach der Datenexporteur für den Fall, dass der Datenimporteur tatsächlich verschwunden ist, rechtlich nicht mehr existiert oder in Konkurs gegangen ist, das Recht hat, den Vertrag mit dem Unterauftragsverarbeiter zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

Bestimmung 10
Rechte der betroffenen Personen

(a) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich über alle von einer betroffenen Person gestellten Anträge. Er antwortet nicht selbst auf dieses Ersuchen, es sei denn, er wurde vom Datenexporteur dazu ermächtigt.

(b) Der Datenimporteur unterstützt den Datenexporteur bei der Erfüllung seiner Pflichten zur Beantwortung der Anträge betroffener Personen auf Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679. Zu diesem Zweck legen die Parteien in Anhang II die geeigneten technischen und organisatorischen Maßnahmen fest, wobei die Art der Verarbeitung, auf deren Grundlage die Unterstützung geleistet wird, sowie der Umfang und das Ausmaß der erforderlichen Unterstützung berücksichtigt werden.

(c) Bei der Erfüllung seiner Verpflichtungen nach den Buchstaben a) und b) hat der Datenimporteur die Anweisungen des Datenexporteurs zu befolgen.

Provision 11
Geschichte

(a) Der Datenimporteur unterrichtet die betroffenen Personen durch einen individuellen Hinweis oder auf seiner Website in einem transparenten und leicht zugänglichen Format über eine für die Bearbeitung von Beschwerden zuständige Kontaktstelle. Er bearbeitet die von einer betroffenen Person eingegangenen Beschwerden unverzüglich.

(b) Kommt es zwischen einer betroffenen Partei und einer der Parteien zu Streitigkeiten über die Einhaltung dieser Bestimmungen, so bemüht sich diese Partei nach Kräften, die Angelegenheit rechtzeitig gütlich beizulegen. Die Parteien halten sich gegenseitig über solche Streitigkeiten auf dem Laufenden und arbeiten gegebenenfalls zusammen, um sie beizulegen.

(c) Beruft sich die betroffene Person auf ein Recht zugunsten Dritter gemäß Abschnitt 3, so akzeptiert der Datenimporteur die Entscheidung der betroffenen Person:

(i) eine Beschwerde bei der Aufsichtsbehörde des Mitgliedstaats, in dem er/sie seinen/ihren gewöhnlichen Aufenthalt hat oder arbeitet, oder bei der zuständigen Aufsichtsbehörde gemäß Klausel 13 einreichen;

(ii) den Streitfall den zuständigen Gerichten im Sinne von Klausel 18 vorlegen.

(d) Die Parteien akzeptieren, dass die betroffene Person unter den in Artikel 80 Absatz 1 der Verordnung (EU) 2016/679 genannten Bedingungen durch eine gemeinnützige Einrichtung, Organisation oder Vereinigung vertreten werden kann.

(Der Datenimporteur erklärt sich damit einverstanden, dass die Entscheidung der betroffenen Person ihre materiellen und formellen Rechte auf Rechtsbehelfe nach geltendem Recht nicht beeinträchtigt.

Rückstellung 12
Haftung

(a) Jede Partei haftet gegenüber der/den anderen Partei(en) für Schäden, die sie der/den anderen Partei(en) durch Verstöße gegen die vorliegenden Bestimmungen zufügt.

(b) Der Datenimporteur haftet gegenüber der betroffenen Person und die betroffene Person hat Anspruch auf Ersatz des materiellen oder immateriellen Schadens, den der Datenimporteur oder sein Unterauftragsverarbeiter der betroffenen Person durch die Verletzung der Rechte Dritter nach diesen Bestimmungen zufügt.

(c) Ungeachtet des Buchstabens b haftet der Datenexporteur gegenüber der betroffenen Person, und die betroffene Person hat Anspruch auf Schadenersatz für jeden materiellen oder immateriellen Schaden, den der Datenexporteur oder der Datenimporteur (oder sein Unterauftragsverarbeiter) der betroffenen Person durch die Verletzung der Rechte zugunsten Dritter gemäß diesen Klauseln zufügt. Dies berührt nicht die Haftung des Datenexporteurs und, wenn der Datenexporteur ein Auftragsverarbeiter ist, der im Auftrag eines für die Verarbeitung Verantwortlichen handelt, die Haftung des für die Verarbeitung Verantwortlichen gemäß der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725, sofern anwendbar.

(d) Die Parteien vereinbaren, dass der Datenexporteur, wenn er gemäß Buchstabe c) für einen vom Datenimporteur (oder seinem Unterauftragsverarbeiter) verursachten Schaden haftbar gemacht wird, berechtigt ist, vom Datenimporteur den Teil des Schadensersatzes zu verlangen, der der Haftung des Datenimporteurs für den Schaden entspricht.

(e) Ist mehr als eine Partei für einen Schaden verantwortlich, der der betroffenen Person durch Verstöße gegen diese Bestimmungen entstanden ist, so haften alle verantwortlichen Parteien gesamtschuldnerisch, und die betroffene Person hat das Recht, gegen diese Parteien gerichtlich vorzugehen.

(f) Die Parteien vereinbaren, dass, wenn eine der Parteien gemäß Buchstabe e) haftbar gemacht wird, diese Partei berechtigt ist, von der oder den anderen Parteien den Teil des Schadenersatzes zu verlangen, der ihrem Anteil an der Haftung für den Schaden entspricht.

(g) Der Datenimporteur darf sich nicht auf das Verhalten eines Unterauftragsverarbeiters berufen, um sich seiner eigenen Haftung zu entziehen.

Bestimmung 13
Aufsicht

(a) Die Aufsichtsbehörde, die überwacht, ob der Datenexporteur die Verordnung (EU) 2016/679 in Bezug auf die Datenübermittlung einhält, wie in Anhang I.C angegeben, fungiert als zuständige Aufsichtsbehörde.

(b) Der Datenimporteur erklärt sich bereit, sich der Rechtsprechung der zuständigen Kontrollstelle zu unterwerfen und mit ihr bei Verfahren zusammenzuarbeiten, die die Einhaltung dieser Bestimmungen gewährleisten sollen. Insbesondere erklärt sich der Datenimporteur bereit, Fragen zu beantworten, sich Prüfungen zu unterziehen und die von der Kontrollstelle erlassenen Maßnahmen, einschließlich Abhilfe- und Ausgleichsmaßnahmen, zu befolgen. Er bestätigt der Aufsichtsbehörde schriftlich, dass die erforderlichen Maßnahmen ergriffen worden sind.

‍

ABSCHNITT III - LOKALE GESETZE UND VERPFLICHTUNGEN IM FALLE DES ZUGRIFFS DURCH BEHÖRDEN

Bestimmung 14
Örtliche Gesetze und Gepflogenheiten, die sich auf die Einhaltung der Bestimmungenauswirken
(a) Die Parteien garantieren, dass sie keinen Grund zu der Annahme haben, dass die Gesetze und Gepflogenheiten im Bestimmungsdrittland, die für die Verarbeitung personenbezogener Daten durch den Datenimporteur gelten, einschließlich der Anforderungen an die Bereitstellung personenbezogener Daten oder Maßnahmen, die den Zugang von Behörden ermöglichen, den Datenimporteur daran hindern werden, seinen Verpflichtungen aus diesen Klauseln nachzukommen. Dabei wird davon ausgegangen, dass Gesetze und Praktiken, die den Kern der Grundrechte und -freiheiten achten und nicht über das hinausgehen, was in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 genannten Ziele zu gewährleisten, nicht im Widerspruch zu diesen Bestimmungen stehen.

(b) Die Vertragsparteien erklären, dass sie bei der Gewährung der unter Buchstabe a) genannten Garantie insbesondere die folgenden Punkte gebührend berücksichtigt haben:

(i) die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der für die Übermittlung genutzten Kanäle; geplante Weiterübermittlungen; die Art des Empfängers; der Zweck der Verarbeitung; die Kategorien und das Format der übermittelten personenbezogenen Daten; der Wirtschaftssektor, in dem die Übermittlung stattfindet; der Speicherort der übermittelten Daten;

(ii) die Rechtsvorschriften und Praktiken des Bestimmungsdrittlandes - einschließlich derjenigen, die die Übermittlung von Daten an Behörden vorschreiben oder den Zugang solcher Behörden ermöglichen -, die angesichts der besonderen Umstände der Übermittlung relevant sind, sowie die geltenden Beschränkungen und Garantien (12);

(iii) alle einschlägigen vertraglichen, technischen oder organisatorischen Garantien, die zusätzlich zu den Garantien nach diesen Bestimmungen festgelegt wurden, einschließlich der Maßnahmen, die bei der Übermittlung und Verarbeitung der personenbezogenen Daten im Bestimmungsland angewendet werden.

‍

(c) Der Datenimporteur sichert zu, dass er sich nach Kräften bemüht hat, dem Datenexporteur bei der Durchführung der Bewertung nach Buchstabe b) sachdienliche Informationen zur Verfügung zu stellen, und erklärt sich bereit, weiterhin mit dem Datenexporteur zusammenzuarbeiten, um die Einhaltung dieser Bestimmungen sicherzustellen.

(d) Die Vertragsparteien kommen überein, die Bewertung nach Buchstabe b) zu dokumentieren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

(e) Der Datenimporteur erklärt sich bereit, den Datenexporteur unverzüglich zu benachrichtigen, wenn er nach Zustimmung zu diesen Bestimmungen und während der Laufzeit des Abkommens Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterlegen ist, die nicht den Anforderungen nach Buchstabe a entsprechen, auch infolge einer Änderung der Gesetze in dem Drittland oder einer Maßnahme (z. B. eines Auskunftsersuchens), die auf eine Anwendung dieser Gesetze in der Praxis hinweist, die nicht den Anforderungen nach Buchstabe a entspricht. [Für Modul drei: Der Datenexporteur leitet die Meldung an den für die Verarbeitung Verantwortlichen weiter].

(f) Nach einer Meldung gemäß Buchstabe e oder wenn der Datenexporteur anderweitig Grund zu der Annahme hat, dass der Datenimporteur nicht mehr in der Lage ist, seinen Verpflichtungen gemäß diesen Klauseln nachzukommen, legt der Datenexporteur unverzüglich geeignete Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung der Zuverlässigkeit und Vertraulichkeit) fest, die vom Datenexporteur und/oder vom Datenimporteur durchzuführen sind, um der Situation zu begegnen, [für Modul drei: gegebenenfalls in Absprache mit dem für die Verarbeitung Verantwortlichen]. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Auffassung ist, dass angemessene Garantien für diese Übermittlung nicht gewährleistet werden können, oder auf der Grundlage von Anweisungen [für Modul drei: des für die Verarbeitung Verantwortlichen oder] der zuständigen Kontrollstelle in diesem Sinne. In diesem Fall hat der Datenexporteur das Recht, den Vertrag zu kündigen, soweit er sich auf die Verarbeitung personenbezogener Daten nach diesen Klauseln bezieht. Sind mehr als zwei Parteien an dem Vertrag beteiligt, so kann der Datenexporteur sein Recht auf Beendigung des Vertrags nur in Bezug auf die betreffende Partei ausüben, es sei denn, die Parteien haben etwas anderes vereinbart. Wird der Vertrag gemäß dieser Bestimmung gekündigt, so gilt Klausel 16 Buchstaben d) und e).

‍

Bestimmung 15
Pflichten des Datenimporteurs im Falle des Zugriffs durch öffentliche Stellen

15.1. Benachrichtigung
(a) Der Datenimporteur verpflichtet sich, den Datenexporteur und, soweit möglich, die betroffene Person (erforderlichenfalls mit Unterstützung des Datenexporteurs) unverzüglich zu benachrichtigen, wenn er:

(i) von einer Behörde, einschließlich Justizbehörden, ein rechtsverbindliches Ersuchen um Offenlegung personenbezogener Daten erhält, die nach dem Recht des Bestimmungslandes in Übereinstimmung mit diesen Bestimmungen übermittelt wurden; diese Mitteilung muss Informationen über die angeforderten personenbezogenen Daten, die ersuchende Behörde, die Rechtsgrundlage für das Ersuchen und die erteilte Antwort enthalten; oder

(ii) Kenntnis vom unmittelbaren Zugriff öffentlicher Stellen auf die nach diesen Bestimmungen übermittelten personenbezogenen Daten nach Maßgabe der Rechtsvorschriften des Bestimmungslandes erlangt hat; diese Mitteilung muss alle dem Datenimporteur vorliegenden Informationen enthalten.

(b) Ist es dem Datenimporteur nach dem Recht des Bestimmungslandes untersagt, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, erklärt sich der Datenimporteur bereit, sich nach besten Kräften zu bemühen, das Verbot aufzuheben, um so schnell wie möglich so viele Informationen wie möglich zu übermitteln. Der Datenimporteur erklärt sich bereit, diese Bemühungen zu dokumentieren, um sie auf Verlangen des Datenexporteurs nachzuweisen.

c) Sofern dies nach dem Recht des Bestimmungslandes zulässig ist, erklärt sich der Datenimporteur bereit, dem Datenexporteur während der Laufzeit des Abkommens in regelmäßigen Abständen so viele sachdienliche Informationen wie möglich über die eingegangenen Ersuchen zu übermitteln (insbesondere die Anzahl der Ersuchen, die Art der angeforderten Daten, die ersuchende(n) Behörde(n), ob Ersuchen angefochten wurden und wie das Ergebnis lautete usw.). [Für Modul drei: Der Datenexporteur leitet die Informationen an den für die Verarbeitung Verantwortlichen weiter].

(d) Der Datenimporteur erklärt sich bereit, die Informationen gemäß den Buchstaben a bis c für die Dauer der Vereinbarung aufzubewahren und sie der zuständigen Kontrollstelle auf Anfrage zur Verfügung zu stellen.

(e) Die Buchstaben a) bis c) berühren nicht die Verpflichtung des Datenimporteurs nach Klausel 14 Buchstabe e) und Klausel 16, den Datenexporteur unverzüglich zu benachrichtigen, wenn er nicht in der Lage ist, diese Klauseln einzuhalten.

15.2. Überprüfung der Rechtmäßigkeit und Datenminimierung

a) Der Datenimporteur erklärt sich bereit, die Rechtmäßigkeit des Offenlegungsersuchens zu prüfen, insbesondere ob es im Rahmen der der ersuchenden Behörde übertragenen Befugnisse liegt, und das Ersuchen anzufechten, wenn er nach sorgfältiger Prüfung zu dem Schluss kommt, dass es berechtigte Gründe für die Annahme gibt, dass das Ersuchen nach dem Recht des Bestimmungslandes, den geltenden völkerrechtlichen Verpflichtungen und den Grundsätzen des internationalen Verständnisses (comity) rechtswidrig ist. Unter diesen Umständen muss der Datenimporteur Rechtsbehelfe einlegen. Wird ein Ersuchen angefochten, so trifft der Datenimporteur vorläufige Maßnahmen, um die Wirkungen des Ersuchens auszusetzen, bis das zuständige Gericht in der Sache entschieden hat. Er stellt die angeforderten personenbezogenen Daten nur zur Verfügung, wenn er nach den geltenden Verfahrensvorschriften dazu verpflichtet ist. Diese Anforderungen berühren nicht die Verpflichtungen des Datenimporteurs nach Klausel 14 Buchstabe e.

(b) Der Datenimporteur erklärt sich bereit, seine rechtliche Beurteilung und etwaige Einwände gegen das Auskunftsersuchen zu dokumentieren und, soweit dies nach dem Recht des Bestimmungslandes zulässig ist, dem Datenexporteur die Unterlagen zur Verfügung zu stellen. Er stellt diese Unterlagen auch der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung. [Für Modul drei: Der Datenexporteur stellt dem für die Verarbeitung Verantwortlichen die Beurteilung zur Verfügung].

(c) Der Datenimporteur erklärt sich bereit, bei der Beantwortung eines Auskunftsersuchens auf der Grundlage einer angemessenen Auslegung des Ersuchens das zulässige Mindestmaß an Informationen bereitzustellen.

‍

ABSCHNITT IV - SCHLUSSBESTIMMUNGEN

Bestimmung 16
Nichteinhaltung und Beendigung
(a) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er aus irgendeinem Grund nicht in der Lage ist, diese Bestimmungen einzuhalten.

(b) Verstößt der Datenimporteur gegen diese Klauseln oder hält er sie nicht ein, so setzt der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aus, bis die Einhaltung der Klauseln wiederhergestellt ist oder die Vereinbarung beendet wird. Dies gilt unbeschadet der Klausel 14 Buchstabe f.

(c) Der Datenexporteur ist berechtigt, den Vertrag, soweit er sich auf die Verarbeitung personenbezogener Daten nach diesen Klauseln bezieht, zu kündigen, wenn:

(i) der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Buchstabe b ausgesetzt hat und die Bestimmungen nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wieder in Kraft gesetzt werden;

(ii) der Datenimporteur in erheblichem Maße und anhaltend gegen diese Bestimmungen verstößt; oder

(iii) der Datenimporteur einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer zuständigen Behörde in Bezug auf seine Verpflichtungen nach diesen Bestimmungen nicht nachkommt.

In solchen Fällen unterrichtet er die zuständige Aufsichtsbehörde [für Modul drei: und den für die Verarbeitung Verantwortlichen] über diese Nichteinhaltung. Sind an der Vereinbarung mehr als zwei Parteien beteiligt, kann der Datenexporteur sein Recht zur Kündigung der Vereinbarung nur gegenüber der betreffenden Partei ausüben, sofern die Parteien nichts anderes vereinbaren.

(d) Personenbezogene Daten, die gemäß Buchstabe c) vor Beendigung des Abkommens übermittelt wurden, sind dem Datenexporteur unverzüglich und vollständig zurückzugeben oder zu löschen, je nachdem, was der Datenexporteur wünscht. Das Gleiche gilt für etwaige Kopien der Daten. Der Datenimporteur versichert dem Datenexporteur, dass die Daten gelöscht worden sind. Bis zur Löschung oder Rückgabe der Daten sorgt der Datenimporteur weiterhin für die Einhaltung der vorliegenden Bestimmungen. Für den Fall, dass auf den Datenimporteur ein lokales Gesetz anwendbar ist, das die Rückgabe oder Löschung der übermittelten personenbezogenen Daten untersagt, garantiert der Datenimporteur, dass er diese Bestimmungen weiterhin einhalten und die Daten nur in dem Umfang und so lange verarbeiten wird, wie es das lokale Gesetz verlangt.

(e) Jede Partei kann ihre Zustimmung, an diese Bestimmungen gebunden zu sein, zurückziehen, wenn (i) die Europäische Kommission einen Beschluss gemäß Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 erlässt, der sich auf die Übermittlung personenbezogener Daten bezieht, für die diese Bestimmungen gelten, oder (ii) die Verordnung (EU) 2016/679 Teil des Rechtsrahmens des Landes wird, in das die personenbezogenen Daten übermittelt werden. Dies gilt unbeschadet anderer Verpflichtungen, die für die betreffende Verarbeitung gemäß der Verordnung (EU) 2016/679 gelten.

Bestimmung 17
Anwendbares Recht
‍DieseBestimmungen unterliegen dem Recht eines der EU-Mitgliedstaaten, sofern dieses Recht Rechte zugunsten Dritter vorsieht. Die Parteien vereinbaren, dass dies das Recht der Niederlande ist.

Bestimmung 18
Forum und Gerichtsstand
(a) Für Streitigkeiten, die sich aus diesen Bestimmungen ergeben, sind die Gerichte eines EU-Mitgliedstaats zuständig.

(b) Die Parteien vereinbaren, dass dies die Gerichte der Niederlande sind.

(c) Eine betroffene Person kann auch vor den Gerichten des Mitgliedstaats, in dem sie ihren gewöhnlichen Aufenthalt hat, Klage gegen den Datenexporteur und/oder den Datenimporteur erheben.

(d) Die Parteien erklären sich damit einverstanden, sich der Zuständigkeit dieser Gerichte zu unterwerfen.

ANHANG IA.
VERZEICHNIS DER PARTEIEN
Datenexporteur(e):
Name: [Name]

Anschrift: Name, Position und Kontaktdaten der Kontaktperson: Tätigkeiten, die für die gemäß diesen Bestimmungen übermittelten Daten relevant sind: Die Entgegennahme spezieller analytischer Server-Side-Tracking-Dienste vom Importeur durch den Exporteur im Zusammenhang mit der ordnungsgemäßen Messung von Werbeergebnissen unter Verwendung von Proxy-Servern, wie in der Vereinbarung zwischen dem Exporteur und dem Importeur näher ausgeführt.

BITTE BEACHTEN SIE: DIES IST EINE KOPIE DER VEREINBARUNG MIT DEM VERARBEITER.

Datenimporteur(e):
Name: AdPage BV
Adresse: Velmolenweg 54 A 5404 LD, Uden, Niederlande

Name, Position und Kontaktdaten der Kontaktperson:

Tätigkeiten, die für die gemäß diesen Bestimmungen übermittelten Daten relevant sind: Die Erbringung von spezialisierten analytischen Server-Side-Tracking-Diensten durch den Importeur für den Exporteur im Zusammenhang mit der ordnungsgemäßen Messung von Werbeergebnissen unter Verwendung von Proxy-Servern, wie in der Vereinbarung zwischen dem Exporteur und dem Importeur näher ausgeführt.

‍

B. BESCHREIBUNG DER ÜBERTRAGUNG
Kategorien von betroffenen Personen, deren personenbezogene Daten übertragen werden
Kunden, Interessenten und Besucher der Website des Kunden.

Kategorien der übermittelten personenbezogenen Daten

Zu den Daten, die zur Analyse und Messung von Werbeergebnissen übermittelt werden, gehören:
- Website;
- Link-Tracking in URLs;
- Benutzer-ID;
- IP-Adresse;
- andere Identifikatoren (CRM, eindeutige Kennung usw.);
- andere identifizierende Daten wie E-Mail-Adresse, Vorname, Nachname, Telefonnummer; und
- pseudonymisierte Daten.

Übermittelte sensible Daten und geltende Beschränkungen oder Sicherheitsvorkehrungen

Die übermittelten personenbezogenen Daten betreffen die folgenden besonderen Datenkategorien: [
◻ personenbezogene Daten, aus denen die rassische oder ethnische Herkunft hervorgeht;
◻ politische Meinungen;
◻ religiöse oder philosophische Überzeugungen;
◻ Gewerkschaftszugehörigkeit;
◻ genetische Daten;
◻ biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person;
◻ Gesundheitsdaten;
◻ Daten über das Sexualverhalten oder die sexuelle Ausrichtung einer natürlichen Person.

Die Häufigkeit der Doogifte

Die Datenübertragung erfolgt kontinuierlich je nach Nutzung der Dienste.

Art der Verarbeitung

Die übermittelten personenbezogenen Daten unterliegen folgenden Verarbeitungsprozessen:
- Die Daten werden pseudonymisiert und an den Google Tag Manager Server Side übermittelt;
- Die gefilterten Daten werden zur Messung der Werbeergebnisse verwendet.

Zweck der Datenübermittlung und Weiterverarbeitung

Der Zweck der Übermittlung und Verarbeitung ist notwendig, um die Dienstleistungen der Analyse und Messung der Werbeergebnisse gemäß den Anweisungen des Auftragsverarbeiters durchzuführen.

Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieses Zeitraums

Sofern der Datenexporteur den Datenimporteur nicht anweist, die Daten früher zurückzugeben oder zu löschen, werden alle personenbezogenen Identifikatoren für maximal 6 (sechs) Monate aufbewahrt. Nach Ablauf dieser Frist werden alle personenbezogenen Daten unwiderruflich gelöscht.

Übermittlung an (Unter-)Verarbeiter
Personenbezogene Daten können an Unterverarbeiter übermittelt werden. Anhang III enthält eine vollständige Liste der zugelassenen Unterverarbeiter.

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE
Gemäß Klausel 13 ist die zuständige Aufsichtsbehörde die niederländische Behörde für personenbezogene Daten, 2509 AJ Den Haag, Niederlande.

ANHANG II
TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MASSNAHMEN ZUR GEWÄHRLEISTUNG DER DATENSICHERHEIT

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie des unterschiedlich wahrscheinlichen und schwerwiegenden Risikos für die Rechte und Freiheiten natürlicher Personen wird Adpage geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, einschließlich:

- Maßnahmen zur Pseudonymisierung und Verschlüsselung personenbezogener Daten;
- Maßnahmen zur Gewährleistung der fortlaufenden Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten;
- Maßnahmen, die sicherstellen, dass die Verfügbarkeit von und der Zugriff auf personenbezogene Daten im Falle eines physischen oder technischen Zwischenfalls zeitnah wiederhergestellt werden kann;
- Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Wenn der Verbraucher diese Option aktiviert hat, stellt Adpage sicher, dass die Daten pseudonymisiert werden, bevor sie an Google Tag Manager Sever Side weitergegeben werden.
UnterBerücksichtigung der Empfehlungen 01/2020 des Europäischen Datenschutzausschusses (EDPB) über ergänzende Maßnahmen zu Instrumenten der Weitergabe, um die Einhaltung des Schutzniveaus für personenbezogene Daten in der Union zu gewährleisten, Version 2.0, angenommen am 18. Juni 2021, wird die Pseudonymisierung als ausreichende und wirksame ergänzende Maßnahme zur Gewährleistung der Datensicherheit angesehen, wenn die Übermittlung in ein Drittland erfolgt; wenn der Auftragsverarbeiter die in seinem Besitz befindlichen Daten zunächst pseudonymisiert und sie dann zur Analyse, z. B. zum Zweck des Ad-Tracking, an ein Drittland übermittelt.

Dies ist unter vier Bedingungen gerechtfertigt:

1. Der Datenexporteur übermittelt die verarbeiteten personenbezogenen Daten in einer Weise, dass die personenbezogenen Daten nicht mehr mit einer bestimmten betroffenen Person in Verbindung gebracht werden können und auch nicht mehr dazu verwendet werden können, die betroffene Person in einer größeren Gruppe zu identifizieren, ohne dass zusätzliche Daten verwendet werden

2. Diese zusätzlichen Daten befinden sich ausschließlich im Besitz des Datenexporteurs und werden getrennt in einem Mitgliedstaat oder in einem Drittland, einem geografischen Gebiet oder einem oder mehreren bestimmten Sektoren innerhalb eines Drittlandes oder bei einer internationalen Organisation aufbewahrt, für die die Kommission gemäß Artikel 45 AVG festgestellt hat, dass ein angemessenes Schutzniveau gewährleistet ist,

3. Jede Weitergabe oder unbefugte Nutzung dieser zusätzlichen Daten wird durch geeignete technische und organisatorische Sicherheitsvorkehrungen verhindert, und es ist sichergestellt, dass der Datenexporteur die alleinige Kontrolle über den Algorithmus oder das Register hat, der/das eine Re-Identifizierung der Daten anhand der zusätzlichen Daten ermöglicht, und

4. Der für die Verarbeitung Verantwortliche hat durch eine gründliche Analyse der betreffenden Daten und unter Berücksichtigung möglicher Informationen der Behörden des Empfängerlandes festgestellt, dass die pseudonymisierten personenbezogenen Daten nicht mit einer bestimmten oder bestimmbaren natürlichen Person in Verbindung gebracht werden können, selbst wenn solche Informationen mit den personenbezogenen Daten zusammengeführt und verglichen werden,

‍

Es liegt in der Verantwortung des für die Verarbeitung Verantwortlichen, geeignete Maßnahmen zu ergreifen, um eine Datenaggregation zu verhindern, z. B. durch die Verwendung anderer Cookies oder Tracker von Dritten.

Die Sicherheitsmaßnahmen für Unterauftragsverarbeiter sind in Anhang III beschrieben.

ANHANG III
VERZEICHNISDER UNTERVERARBEITER
Der Ausführer hat die Inanspruchnahme folgender Unterverarbeiter genehmigt:

1) Scaleway
Firmensitz: 8 rue de la Ville l'Evêque, 75008 Paris, Frankreich
Umsatzsteuernummer: FR 35 433115904
Veröffentlichung des Direktors: Arnaud Brindejonc de Bermingham
Gehostet von: SCALEWAY SAS BP 438 75366 PARIS CEDEX 08 FRANKREICH

Scaleway bietet Wahlmöglichkeiten in der Welt des Cloud Computing, indem es den Kunden die Möglichkeit gibt, zu wählen, wo die Daten ihrer Kunden gespeichert werden, welche Architektur für ihr Unternehmen am besten geeignet ist, und eine verantwortungsvollere Art der Skalierung zu wählen.

Scaleway verarbeitet personenbezogene Daten zur Erbringung der von der AdPage angeforderten oder genehmigten Dienstleistungen als integraler Bestandteil des zwischen der AdPage und Scaleway abgeschlossenen Vertrags über die Erbringung der Dienstleistungen von Scaleway und regelt die Fälle, in denen Scaleway personenbezogene Daten im Auftrag der AdPage als Datenverarbeiter im Sinne des AVG verarbeitet.

Scaleway Data Processing Addendum finden Sie hier. (Letzter Zugriff am 10. Januar 2023)

Die allgemeinen Geschäftsbedingungen von Scaleway finden Sie hier. (zuletzt aktualisiert am 10. Januar 2023)

Scaleway ergreift alle notwendigen Maßnahmen, um die verarbeiteten personenbezogenen Daten zu schützen, und wählt alle Partner und Dienstleister, die Zugang zu den Kundendaten benötigen, sorgfältig aus. Die Daten werden elektronisch und/oder manuell verarbeitet, und in beiden Fällen gewährleistet Scaleway ein angemessenes Sicherheits-, Schutz- und Vertraulichkeitsniveau, das sich nach der Sensibilität der Daten richtet, und ergreift administrative, technische und physische Maßnahmen, um den Verlust oder Diebstahl oder die unbefugte Nutzung, Offenlegung oder Änderung von Kundendaten zu verhindern.

‍

Die Sicherheitsrichtlinien für Informationssysteme von Scaleway finden Sie hier. (letzter Zugriff am 10. Januar 2023)

Personenbezogene Daten werden von Scaleway, seinen Unterauftragnehmern und Partnern verarbeitet, um den Vertrag zu verwalten und die Dienstleistungen zu erbringen, die die Kunden angefordert oder denen sie zugestimmt haben.

Kundendaten können auch an Dritte übertragen werden, die Scaleway Dienstleistungen oder Unterstützung und Beratung anbieten.

Auf Anfrage können sie auch an die Personen und Behörden weitergegeben werden, die nach den geltenden Gesetzen, Verordnungen oder von rechtlich zuständigen Behörden erlassenen Bestimmungen Zugang zu personenbezogenen Daten haben.

AdPage wird alle neuen Unterauftragsverarbeiter oder Änderungen an der Liste der Unterauftragsverarbeiter in Anhang III dieser Auftragsverarbeitervereinbarung mitteilen und Ihnen die Möglichkeit geben, gegen solche Änderungen Einspruch zu erheben.

‍