Datenverarbeitungsvereinbarung

Forward Email Datenverarbeitungsvereinbarung

Wichtige Begriffe

Begriff Wert
Vereinbarung Diese DPA ergÀnzt die Nutzungsbedingungen
Genehmigte Unterauftragsverarbeiter Cloudflare (USA; DNS-, Netzwerk- und Sicherheitsanbieter), DataPacket (USA/UK; Hosting-Anbieter), Digital Ocean (USA; Hosting-Anbieter), GitHub (USA; Quellcode-Hosting, CI/CD und Projektmanagement), Vultr (USA; Hosting-Anbieter), Stripe (USA; Zahlungsabwickler), PayPal (USA; Zahlungsabwickler)
Kontakt fĂŒr Sicherheit beim Anbieter security@forwardemail.net
Sicherheitsrichtlinie Siehe unsere Sicherheitsrichtlinie auf GitHub
Geltender Staat Der Bundesstaat Delaware, Vereinigte Staaten

Änderungen der Vereinbarung

Dieses Dokument ist eine Ableitung der Common Paper DPA Standard Terms (Version 1.0) und folgende Änderungen wurden vorgenommen:

  1. Anwendbares Recht und Gerichtsstand wurde als nachfolgender Abschnitt aufgenommen, wobei der Governing State oben angegeben ist.
  2. Beziehung zum Dienstleister wurde als nachfolgender Abschnitt aufgenommen.

1. Beziehungen zwischen Auftragsverarbeiter und Unterauftragsverarbeiter

1. Anbieter als Auftragsverarbeiter

In FĂ€llen, in denen Kunde Verantwortlicher der Kundendaten ist, gilt Anbieter als Auftragsverarbeiter, der personenbezogene Daten im Auftrag des Kunden verarbeitet.

2. Anbieter als Unterauftragsverarbeiter

In FĂ€llen, in denen Kunde Auftragsverarbeiter der Kundendaten ist, gilt Anbieter als Unterauftragsverarbeiter der Kundendaten.

2. Verarbeitung

1. Verarbeitungsdetails

Anhang I(B) auf der Titelseite beschreibt den Gegenstand, die Art, den Zweck und die Dauer dieser Verarbeitung sowie die Kategorien personenbezogener Daten und die Kategorien betroffener Personen.

2. Verarbeitungsanweisungen

Kunde weist Anbieter an, Kundendaten zu verarbeiten: (a) zur Bereitstellung und Wartung des Dienstes; (b) wie möglicherweise weiter spezifiziert durch die Nutzung des Dienstes durch den Kunden; (c) wie im Vertrag dokumentiert; und (d) wie in sonstigen schriftlichen Anweisungen des Kunden zur Verarbeitung von Kundendaten unter dieser DPA dokumentiert und vom Anbieter bestĂ€tigt. Anbieter wird diese Anweisungen befolgen, es sei denn, dies ist durch geltendes Recht untersagt. Anbieter wird Kunde unverzĂŒglich informieren, wenn er die Verarbeitungsanweisungen nicht befolgen kann. Kunde hat Anweisungen gegeben und wird nur solche geben, die mit geltendem Recht ĂŒbereinstimmen.

3. Verarbeitung durch Anbieter

Anbieter wird Kundendaten nur gemĂ€ĂŸ dieser DPA verarbeiten, einschließlich der Angaben auf der Titelseite. Wenn Anbieter den Dienst aktualisiert, um bestehende oder neue Produkte, Funktionen oder FunktionalitĂ€ten einzufĂŒhren, kann Anbieter die Kategorien betroffener Personen, Kategorien personenbezogener Daten, besondere Kategorien von Daten, EinschrĂ€nkungen oder Schutzmaßnahmen fĂŒr besondere Kategorien von Daten, HĂ€ufigkeit der Übermittlung, Art und Zweck der Verarbeitung sowie Dauer der Verarbeitung nach Bedarf anpassen, um die Aktualisierungen widerzuspiegeln, indem Kunde ĂŒber die Aktualisierungen und Änderungen informiert wird.

4. Verarbeitung durch Kunde

Wenn Kunde Auftragsverarbeiter und Anbieter Unterauftragsverarbeiter ist, wird Kunde alle geltenden Gesetze einhalten, die fĂŒr die Verarbeitung von Kundendaten durch Kunde gelten. Die Vereinbarung des Kunden mit seinem Verantwortlichen wird ebenfalls verlangen, dass Kunde alle geltenden Gesetze einhĂ€lt, die fĂŒr Kunde als Auftragsverarbeiter gelten. DarĂŒber hinaus wird Kunde die Anforderungen an Unterauftragsverarbeiter in der Vereinbarung mit seinem Verantwortlichen einhalten.

Kunde hat alle geltenden Datenschutzgesetze im Zusammenhang mit der Bereitstellung von Kundendaten an Anbieter und/oder den Dienst eingehalten und wird dies weiterhin tun, einschließlich aller Offenlegungen, Einholung aller Einwilligungen, Bereitstellung angemessener Wahlmöglichkeiten und Umsetzung relevanter Schutzmaßnahmen, die nach geltendem Datenschutzrecht erforderlich sind.

6. Subprozessoren

a. Provider wird keine Kundendaten an einen Subprozessor bereitstellen, ĂŒbertragen oder ĂŒbergeben, es sei denn, Kunde hat den Subprozessor genehmigt. Die aktuelle Liste der Genehmigten Subprozessoren enthĂ€lt die IdentitĂ€ten der Subprozessoren, deren Standortland und die voraussichtlichen VerarbeitungstĂ€tigkeiten. Provider wird Kunde mindestens 10 Werktage im Voraus und schriftlich ĂŒber beabsichtigte Änderungen der Genehmigten Subprozessoren informieren, sei es durch HinzufĂŒgung oder Ersatz eines Subprozessors, sodass Kunde genĂŒgend Zeit hat, den Änderungen zu widersprechen, bevor Provider den neuen Subprozessor(en) nutzt. Provider wird Kunde die notwendigen Informationen zur VerfĂŒgung stellen, damit Kunde sein Recht ausĂŒben kann, der Änderung der Genehmigten Subprozessoren zu widersprechen. Kunde hat 30 Tage nach Mitteilung einer Änderung der Genehmigten Subprozessoren Zeit, Widerspruch einzulegen, andernfalls gilt die Änderung als akzeptiert. Wenn Kunde innerhalb von 30 Tagen nach Mitteilung Widerspruch einlegt, werden Kunde und Provider in gutem Glauben zusammenarbeiten, um den Widerspruch oder die Bedenken von Kunde zu klĂ€ren.

b. Bei der Beauftragung eines Subprozessors wird Provider eine schriftliche Vereinbarung mit dem Subprozessor abschließen, die sicherstellt, dass der Subprozessor nur auf Kundendaten zugreift und diese nur (i) im erforderlichen Umfang zur ErfĂŒllung der an ihn vergebenen Verpflichtungen nutzt und (ii) im Einklang mit den Bedingungen der Vereinbarung.

c. Wenn die DSGVO auf die Verarbeitung von Kundendaten anwendbar ist, (i) gelten die in diesem DPA beschriebenen Datenschutzpflichten (wie in Artikel 28 Absatz 3 der DSGVO genannt, falls zutreffend) auch fĂŒr den Subprozessor, und (ii) wird die Vereinbarung von Provider mit dem Subprozessor diese Pflichten einbeziehen, einschließlich Details darĂŒber, wie Provider und sein Subprozessor bei Anfragen oder Anforderungen bezĂŒglich der Verarbeitung von Kundendaten zusammenarbeiten. DarĂŒber hinaus wird Provider auf Anfrage von Kunde eine Kopie seiner Vereinbarungen (einschließlich etwaiger Änderungen) mit seinen Subprozessoren bereitstellen. Soweit erforderlich zum Schutz von GeschĂ€ftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, kann Provider den Text seiner Vereinbarung mit dem Subprozessor vor der Weitergabe schwĂ€rzen.

d. Provider bleibt voll verantwortlich fĂŒr alle an seine Subprozessoren vergebenen Verpflichtungen, einschließlich der Handlungen und Unterlassungen seiner Subprozessoren bei der Verarbeitung von Kundendaten. Provider wird Kunde ĂŒber jegliches VersĂ€umnis seiner Subprozessoren informieren, eine wesentliche Verpflichtung bezĂŒglich der Kundendaten aus der Vereinbarung zwischen Provider und dem Subprozessor zu erfĂŒllen.

3. EingeschrĂ€nkte Übermittlungen

1. Genehmigung

Kunde stimmt zu, dass Provider Kundendaten außerhalb des EWR, des Vereinigten Königreichs oder eines anderen relevanten geografischen Gebiets ĂŒbertragen darf, soweit dies zur Erbringung der Dienstleistung erforderlich ist. ÜbertrĂ€gt Provider Kundendaten in ein Gebiet, fĂŒr das die EuropĂ€ische Kommission oder eine andere zustĂ€ndige Aufsichtsbehörde keine Angemessenheitsentscheidung erlassen hat, wird Provider geeignete Schutzmaßnahmen fĂŒr die Übermittlung der Kundendaten in dieses Gebiet gemĂ€ĂŸ den geltenden Datenschutzgesetzen umsetzen.

2. Übermittlungen außerhalb des EWR

Kunde und Provider sind sich einig, dass, wenn die DSGVO die Übermittlung von Kundendaten schĂŒtzt, die Übermittlung von Kunde aus dem EWR an Provider außerhalb des EWR erfolgt und die Übermittlung nicht durch eine Angemessenheitsentscheidung der EuropĂ€ischen Kommission geregelt ist, durch den Abschluss dieses DPA Kunde und Provider als unterzeichnete die EWR-Standardvertragsklauseln (EEA SCCs) und deren AnhĂ€nge, die durch Verweis einbezogen sind. Jede solche Übermittlung erfolgt gemĂ€ĂŸ den EWR SCCs, die wie folgt ausgefĂŒllt werden: a. Modul Zwei (Verantwortlicher zum Auftragsverarbeiter) der EWR-Standardvertragsklauseln (SCCs) gilt, wenn der Kunde ein Verantwortlicher ist und der Provider personenbezogene Daten des Kunden im Auftrag des Kunden als Auftragsverarbeiter verarbeitet.

b. Modul Drei (Auftragsverarbeiter zum Unterauftragsverarbeiter) der EWR-SCCs gilt, wenn der Kunde ein Auftragsverarbeiter ist und der Provider personenbezogene Daten des Kunden im Auftrag des Kunden als Unterauftragsverarbeiter verarbeitet.

c. FĂŒr jedes Modul gilt Folgendes (sofern anwendbar):

  1. Die optionale Andockklausel in Klausel 7 findet keine Anwendung;

  2. In Klausel 9 gilt Option 2 (allgemeine schriftliche Genehmigung), und die Mindestfrist fĂŒr die vorherige Mitteilung von Änderungen bei Unterauftragsverarbeitern betrĂ€gt 10 Werktage;

  3. In Klausel 11 gilt die optionale Sprache nicht;

  4. Alle eckigen Klammern in Klausel 13 werden entfernt;

  5. In Klausel 17 (Option 1) unterliegen die EWR-SCCs dem Recht des geltenden Mitgliedstaats;

  6. In Klausel 18(b) werden Streitigkeiten vor den Gerichten des geltenden Mitgliedstaats beigelegt; und

  7. Die Titelseite dieses DPA enthÀlt die in Anhang I, Anhang II und Anhang III der EWR-SCCs erforderlichen Informationen.

3. Ex-UK-Übermittlungen

Kunde und Provider vereinbaren, dass, wenn die UK GDPR die Übermittlung personenbezogener Daten des Kunden schĂŒtzt, die Übermittlung vom Kunden innerhalb des Vereinigten Königreichs an den Provider außerhalb des Vereinigten Königreichs erfolgt und die Übermittlung nicht durch eine Angemessenheitsentscheidung des britischen StaatssekretĂ€rs geregelt wird, durch den Abschluss dieses DPA der Kunde und der Provider als unterzeichnete UK-Zusatzvereinbarung und deren AnhĂ€nge gelten, die durch Verweis einbezogen sind. Jede solche Übermittlung erfolgt gemĂ€ĂŸ der UK-Zusatzvereinbarung, die wie folgt ausgefĂŒllt wird:

a. Abschnitt 3.2 dieses DPA enthÀlt die in Tabelle 2 der UK-Zusatzvereinbarung erforderlichen Informationen.

b. Tabelle 4 der UK-Zusatzvereinbarung wird wie folgt geĂ€ndert: Keine Partei darf die UK-Zusatzvereinbarung gemĂ€ĂŸ Abschnitt 19 der UK-Zusatzvereinbarung beenden; soweit die ICO eine ĂŒberarbeitete genehmigte Zusatzvereinbarung gemĂ€ĂŸ Abschnitt ‎18 der UK-Zusatzvereinbarung herausgibt, werden die Parteien in gutem Glauben zusammenarbeiten, um dieses DPA entsprechend zu ĂŒberarbeiten.

c. Die Titelseite enthÀlt die von Anhang 1A, Anhang 1B, Anhang II und Anhang III der UK-Zusatzvereinbarung geforderten Informationen.

4. Andere internationale Übermittlungen

FĂŒr Übermittlungen personenbezogener Daten, bei denen schweizerisches Recht (und nicht das Recht eines EWR-Mitgliedstaats oder des Vereinigten Königreichs) auf die internationale Natur der Übermittlung anwendbar ist, werden Verweise auf die DSGVO in Klausel 4 der EWR-SCCs, soweit gesetzlich erforderlich, stattdessen auf das Schweizer Bundesgesetz ĂŒber den Datenschutz oder dessen Nachfolger geĂ€ndert, und das Konzept der Aufsichtsbehörde umfasst die Schweizerische Datenschutz- und Öffentlichkeitsbeauftragte.

4. Reaktion auf SicherheitsvorfÀlle

  1. Sobald Provider von einem Sicherheitsvorfall Kenntnis erlangt, wird er: (a) Kunde unverzĂŒglich benachrichtigen, wenn möglich, spĂ€testens jedoch 72 Stunden nach Kenntnisnahme des Sicherheitsvorfalls; (b) zeitnah Informationen ĂŒber den Sicherheitsvorfall bereitstellen, sobald diese bekannt werden oder von Kunde vernĂŒnftigerweise angefordert werden; und (c) unverzĂŒglich angemessene Maßnahmen ergreifen, um den Sicherheitsvorfall einzudĂ€mmen und zu untersuchen. Die Benachrichtigung oder Reaktion des Providers auf einen Sicherheitsvorfall gemĂ€ĂŸ diesem DPA wird nicht als Anerkennung einer Schuld oder Haftung des Providers fĂŒr den Sicherheitsvorfall ausgelegt.

5. PrĂŒfung & Berichte

1. PrĂŒfungsrechte

Provider wird Kunde alle vernĂŒnftigerweise erforderlichen Informationen zur VerfĂŒgung stellen, um die Einhaltung dieses DPA nachzuweisen, und Provider wird PrĂŒfungen, einschließlich Inspektionen durch Kunde, zulassen und unterstĂŒtzen, um die Einhaltung dieses DPA durch Provider zu bewerten. Provider kann jedoch den Zugang zu Daten oder Informationen einschrĂ€nken, wenn der Zugang von Kunde zu den Informationen die geistigen Eigentumsrechte, Vertraulichkeitsverpflichtungen oder andere Verpflichtungen des Providers nach geltendem Recht negativ beeintrĂ€chtigen wĂŒrde. Kunde erkennt an und stimmt zu, dass er seine PrĂŒfungsrechte gemĂ€ĂŸ diesem DPA und etwaigen durch geltende Datenschutzgesetze gewĂ€hrten PrĂŒfungsrechten nur ausĂŒbt, indem er Provider anweist, die nachstehenden Berichts- und Sorgfaltspflichten einzuhalten. Provider wird Aufzeichnungen ĂŒber die Einhaltung dieses DPA fĂŒr 3 Jahre nach Beendigung des DPA aufbewahren.

2. Sicherheitsberichte

Kunde erkennt an, dass Anbieter regelmĂ€ĂŸig von unabhĂ€ngigen Dritten anhand der in der Sicherheitsrichtlinie definierten Standards geprĂŒft wird. Auf schriftliche Anfrage wird Anbieter dem Kunden vertraulich eine Zusammenfassung seines jeweils aktuellen Berichts zur VerfĂŒgung stellen, damit der Kunde die Einhaltung der in der Sicherheitsrichtlinie definierten Standards durch den Anbieter ĂŒberprĂŒfen kann.

3. Sicherheits-Due-Diligence

ZusĂ€tzlich zum Bericht wird Anbieter auf angemessene Informationsanfragen des Kunden reagieren, um die Einhaltung dieser DPA durch den Anbieter zu bestĂ€tigen, einschließlich Antworten auf Informationssicherheits-, Due-Diligence- und Audit-Fragebögen oder durch die Bereitstellung zusĂ€tzlicher Informationen ĂŒber sein Informationssicherheitsprogramm. Alle derartigen Anfragen mĂŒssen schriftlich erfolgen und an den Provider Security Contact gerichtet sein und dĂŒrfen nur einmal jĂ€hrlich gestellt werden.

6. Koordination & Zusammenarbeit

1. Reaktion auf Anfragen

Wenn Anbieter eine Anfrage oder Aufforderung von Dritten bezĂŒglich der Verarbeitung von Kundendaten erhĂ€lt, wird Anbieter den Kunden ĂŒber die Anfrage informieren und ohne vorherige Zustimmung des Kunden nicht auf die Anfrage reagieren. Beispiele fĂŒr solche Anfragen und Aufforderungen sind gerichtliche, administrative oder behördliche Anordnungen bezĂŒglich Kundendaten, sofern die Benachrichtigung des Kunden durch geltendes Recht nicht untersagt ist, oder eine Anfrage einer betroffenen Person. Sofern gesetzlich zulĂ€ssig, wird Anbieter den angemessenen Anweisungen des Kunden zu diesen Anfragen folgen, einschließlich der Bereitstellung von Statusaktualisierungen und anderer vom Kunden vernĂŒnftigerweise angeforderter Informationen. Wenn eine betroffene Person gemĂ€ĂŸ den geltenden Datenschutzgesetzen eine gĂŒltige Anfrage zur Löschung oder zum Widerruf der Weitergabe von Kundendaten an Anbieter stellt, wird Anbieter den Kunden bei der ErfĂŒllung dieser Anfrage gemĂ€ĂŸ den geltenden Datenschutzgesetzen unterstĂŒtzen. Anbieter wird mit dem Kunden zusammenarbeiten und auf dessen Kosten angemessene UnterstĂŒtzung bei rechtlichen Reaktionen oder sonstigen Verfahrenshandlungen leisten, die der Kunde als Reaktion auf eine Drittanfrage bezĂŒglich der Verarbeitung von Kundendaten durch Anbieter im Rahmen dieser DPA unternimmt.

2. DPIAs und DTIAs

Sofern von den geltenden Datenschutzgesetzen verlangt, wird Anbieter den Kunden angemessen bei der DurchfĂŒhrung vorgeschriebener Datenschutz-FolgenabschĂ€tzungen oder DatenĂŒbertragungs-FolgenabschĂ€tzungen sowie bei Konsultationen mit den zustĂ€ndigen Datenschutzbehörden unterstĂŒtzen, wobei die Art der Verarbeitung und der Kundendaten berĂŒcksichtigt wird.

7. Löschung von Kundendaten

1. Löschung durch den Kunden

Anbieter wird dem Kunden ermöglichen, Kundendaten in einer mit der FunktionalitĂ€t der Dienste vereinbaren Weise zu löschen. Anbieter wird dieser Anweisung so bald wie vernĂŒnftigerweise möglich nachkommen, außer wenn die weitere Speicherung der Kundendaten durch geltendes Recht erforderlich ist.

2. Löschung nach Ablauf der DPA

a. Nach Ablauf der DPA wird Anbieter die Kundendaten auf Anweisung des Kunden zurĂŒckgeben oder löschen, es sei denn, die weitere Speicherung der Kundendaten ist durch geltendes Recht erforderlich oder erlaubt. Wenn die RĂŒckgabe oder Vernichtung unpraktikabel oder durch geltendes Recht verboten ist, wird Anbieter angemessene Anstrengungen unternehmen, um eine weitere Verarbeitung der Kundendaten zu verhindern und die verbleibenden Kundendaten in seinem Besitz, seiner Obhut oder Kontrolle weiterhin schĂŒtzen. Zum Beispiel können geltende Gesetze Anbieter dazu verpflichten, Kundendaten weiterhin zu hosten oder zu verarbeiten. b. Wenn Kunde und Anbieter die EWR SCCs oder das UK Addendum als Teil dieses DPA vereinbart haben, wird Anbieter Kunde die in Klausel 8.1(d) und Klausel 8.5 der EWR SCCs beschriebene Löschbescheinigung personenbezogener Daten nur dann ausstellen, wenn Kunde eine solche anfordert.

8. HaftungsbeschrÀnkung

1. Haftungsobergrenzen und Verzicht auf Schadensersatz

Soweit nach den anwendbaren Datenschutzgesetzen zulĂ€ssig, unterliegt die gesamte kumulative Haftung jeder Partei gegenĂŒber der anderen Partei, die sich aus oder im Zusammenhang mit diesem DPA ergibt, den im Vertrag festgelegten VerzichtserklĂ€rungen, AusschlĂŒssen und HaftungsbeschrĂ€nkungen.

Jegliche AnsprĂŒche gegen Anbieter oder seine verbundenen Unternehmen, die sich aus oder im Zusammenhang mit diesem DPA ergeben, dĂŒrfen nur von der Kunden-Einheit geltend gemacht werden, die Partei des Vertrags ist.

3. Ausnahmen

  1. Dieses DPA beschrĂ€nkt keine Haftung gegenĂŒber einer Person hinsichtlich der Datenschutzrechte dieser Person nach den anwendbaren Datenschutzgesetzen. DarĂŒber hinaus beschrĂ€nkt dieses DPA keine Haftung zwischen den Parteien fĂŒr VerstĂ¶ĂŸe gegen die EWR SCCs oder das UK Addendum.

9. WidersprĂŒche zwischen Dokumenten

  1. Dieses DPA ist Bestandteil des Vertrags und ergĂ€nzt diesen. Bei Unstimmigkeiten zwischen diesem DPA, dem Vertrag oder Teilen davon gilt fĂŒr diese Unstimmigkeit die zuerst genannte Regelung vorrangig gegenĂŒber der spĂ€ter genannten: (1) die EWR SCCs oder das UK Addendum, (2) dieses DPA und dann (3) der Vertrag.

10. Vertragslaufzeit

Dieses DPA beginnt, wenn Anbieter und Kunde einer Deckblattseite fĂŒr das DPA zustimmen und den Vertrag unterzeichnen oder elektronisch akzeptieren, und lĂ€uft bis zum Ablauf oder zur Beendigung des Vertrags. Anbieter und Kunde bleiben jedoch jeweils den Verpflichtungen dieses DPA und den anwendbaren Datenschutzgesetzen unterworfen, bis Kunde die Übermittlung personenbezogener Kundendaten an Anbieter einstellt und Anbieter die Verarbeitung personenbezogener Kundendaten einstellt.

11. Anwendbares Recht und Gerichtsstand

Ungeachtet der Rechtswahl- oder Ă€hnlichen Klauseln des Vertrags unterliegen alle Auslegungen und Streitigkeiten ĂŒber dieses DPA dem Recht des Governing State ohne BerĂŒcksichtigung seiner kollisionsrechtlichen Bestimmungen. ZusĂ€tzlich und ungeachtet der Gerichtsstands-, ZustĂ€ndigkeits- oder Ă€hnlichen Klauseln des Vertrags vereinbaren die Parteien, dass alle Rechtsstreitigkeiten, Klagen oder Verfahren bezĂŒglich dieses DPA vor den Gerichten des Governing State zu fĂŒhren sind, und jede Partei sich unwiderruflich der ausschließlichen ZustĂ€ndigkeit dieser Gerichte unterwirft.

12. Dienstleisterbeziehung

Soweit das California Consumer Privacy Act, Cal. Civ. Code § 1798.100 ff. ("CCPA") anwendbar ist, erkennen die Parteien an und stimmen zu, dass Anbieter ein Dienstleister ist und personenbezogene Daten von Kunde erhĂ€lt, um die Dienstleistung wie im Vertrag vereinbart zu erbringen, was einen GeschĂ€ftszweck darstellt. Anbieter wird keine personenbezogenen Daten, die von Kunde im Rahmen des Vertrags bereitgestellt wurden, verkaufen. DarĂŒber hinaus wird Anbieter keine personenbezogenen Daten, die von Kunde im Rahmen des Vertrags bereitgestellt wurden, aufbewahren, verwenden oder offenlegen, außer soweit dies zur Erbringung der Dienstleistung fĂŒr Kunde, wie im Vertrag angegeben, oder gemĂ€ĂŸ den anwendbaren Datenschutzgesetzen zulĂ€ssig ist. Anbieter bestĂ€tigt, dass er die BeschrĂ€nkungen dieses Absatzes versteht.

13. Definitionen

  1. „Anwendbare Gesetze“ bezeichnet die Gesetze, Regeln, Vorschriften, GerichtsbeschlĂŒsse und sonstigen verbindlichen Anforderungen einer zustĂ€ndigen Regierungsbehörde, die fĂŒr eine Partei gelten oder diese regeln.

  2. „Anwendbare Datenschutzgesetze“ bezeichnet die Anwendbaren Gesetze, die regeln, wie der Dienst personenbezogene Informationen, personenbezogene Daten, persönlich identifizierbare Informationen oder einen anderen Ă€hnlichen Begriff verarbeiten oder verwenden darf.

  3. „Verantwortlicher“ hat die Bedeutung(en), die ihm in den Anwendbaren Datenschutzgesetzen fĂŒr das Unternehmen zugewiesen werden, das den Zweck und das Ausmaß der Verarbeitung personenbezogener Daten bestimmt.

  4. „Deckblatt“ bezeichnet ein Dokument, das von den Parteien unterzeichnet oder elektronisch akzeptiert wird, diese DPA-Standardbedingungen einbezieht und Provider, Customer sowie den Gegenstand und die Details der Datenverarbeitung identifiziert.

  5. „Kundendaten“ bezeichnet personenbezogene Daten, die Customer im Rahmen des Dienstes an Provider hochlĂ€dt oder bereitstellt und die dieser DPA unterliegen.

  6. „DPA“ bezeichnet diese DPA-Standardbedingungen, das Deckblatt zwischen Provider und Customer sowie die in oder an das Deckblatt angehĂ€ngten oder darin referenzierten Richtlinien und Dokumente.

  7. „EWR-Standardvertragsklauseln (EEA SCCs)“ bezeichnet die der DurchfĂŒhrungsentscheidung 2021/914 der EuropĂ€ischen Kommission vom 4. Juni 2021 ĂŒber Standardvertragsklauseln fĂŒr die Übermittlung personenbezogener Daten an DrittlĂ€nder gemĂ€ĂŸ der Verordnung (EU) 2016/679 des EuropĂ€ischen Parlaments und des Rates beigefĂŒgten Standardvertragsklauseln.

  8. „EuropĂ€ischer Wirtschaftsraum“ oder „EWR“ bezeichnet die Mitgliedstaaten der EuropĂ€ischen Union, Norwegen, Island und Liechtenstein.

  9. „DSGVO“ bezeichnet die Verordnung (EU) 2016/679, wie sie durch nationales Recht im jeweiligen EWR-Mitgliedstaat umgesetzt wird.

  10. „Personenbezogene Daten“ hat die Bedeutung(en), die ihm in den Anwendbaren Datenschutzgesetzen fĂŒr personenbezogene Informationen, personenbezogene Daten oder einen anderen Ă€hnlichen Begriff zugewiesen werden.

  11. „Verarbeitung“ oder „Verarbeiten“ hat die Bedeutung(en), die ihm in den Anwendbaren Datenschutzgesetzen fĂŒr jede Nutzung von oder DurchfĂŒhrung eines Computerverfahrens mit personenbezogenen Daten, einschließlich automatischer Verfahren, zugewiesen werden.

  12. „Auftragsverarbeiter“ hat die Bedeutung(en), die ihm in den Anwendbaren Datenschutzgesetzen fĂŒr das Unternehmen zugewiesen werden, das personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

  13. „Bericht“ bezeichnet PrĂŒfberichte, die von einem anderen Unternehmen gemĂ€ĂŸ den im Sicherheitsleitfaden definierten Standards im Auftrag des Providers erstellt werden.

  14. „EingeschrĂ€nkte Übermittlung“ bezeichnet (a) im Anwendungsbereich der DSGVO eine Übermittlung personenbezogener Daten aus dem EWR in ein Land außerhalb des EWR, das nicht von der EuropĂ€ischen Kommission als angemessen eingestuft wurde; und (b) im Anwendungsbereich des UK GDPR eine Übermittlung personenbezogener Daten aus dem Vereinigten Königreich in ein anderes Land, das nicht den Angemessenheitsregelungen gemĂ€ĂŸ Abschnitt 17A des britischen Datenschutzgesetzes 2018 unterliegt.

  15. „Sicherheitsvorfall“ bezeichnet eine Verletzung des Schutzes personenbezogener Daten im Sinne von Artikel 4 der DSGVO.

  16. „Dienst“ bezeichnet das im Vertrag beschriebene Produkt und/oder die beschriebenen Dienstleistungen.

  17. „Besondere Kategorien von Daten“ hat die Bedeutung, die ihm in Artikel 9 der DSGVO zugewiesen wird.

  18. „Unterauftragsverarbeiter“ hat die Bedeutung(en), die ihm in den Anwendbaren Datenschutzgesetzen fĂŒr ein Unternehmen zugewiesen werden, das mit Zustimmung und Annahme des Verantwortlichen den Auftragsverarbeiter bei der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen unterstĂŒtzt.

  19. „UK GDPR“ bezeichnet die Verordnung (EU) 2016/679, wie sie durch Abschnitt 3 des britischen European Union (Withdrawal) Act von 2018 im Vereinigten Königreich umgesetzt wird.

  20. „UK Zusatzvereinbarung“ bezeichnet die internationale Zusatzvereinbarung zu den EWR-Standardvertragsklauseln, die vom Information Commissioner fĂŒr Parteien herausgegeben wurde, die EingeschrĂ€nkte Übermittlungen gemĂ€ĂŸ S119A(1) des britischen Datenschutzgesetzes 2018 vornehmen.

Credits

Dieses Dokument ist eine Ableitung der Common Paper DPA Standard Terms (Version 1.0) und steht unter der Lizenz CC BY 4.0.