STANDARDVERTRAGSKLAUSELN

Anhang Nr. 2 - Standardvertragsklauseln

STANDARDVERTRAGSKLAUSELN

ABSCHNITT I

Klausel 1
Zweck und Umfang

(a) Zweck dieser Standardvertragsklauseln ist es, die Einhaltung der Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) bei der Übermittlung personenbezogener Daten in ein Drittland sicherzustellen.

(b) Die Parteien:
i) die natürliche(n) oder juristische(n) Person(en), Behörde(n), Einrichtung(en) oder sonstige(n) Stelle(n) (im Folgenden "Stelle(n)"), die die personenbezogenen Daten übermitteln, wie in Anhang I.A aufgeführt (im Folgenden jeweils "Datenexporteur"), und

ii) die Einrichtung(en) in einem Drittland, die die personenbezogenen Daten vom Datenexporteur direkt oder indirekt über eine andere Einrichtung, die ebenfalls Vertragspartei dieser Klauseln ist und in Anhang I.A aufgeführt ist (im Folgenden jeweils "Datenimporteur"), erhalten, haben diesen Standardvertragsklauseln (im Folgenden "Klauseln") zugestimmt.

(c) Diese Klauseln gelten in Bezug auf die Übermittlung personenbezogener Daten, wie in Anhang I.B angegeben.

(d) Die Anlage zu diesen Klauseln mit den darin genannten Anhängen ist Bestandteil dieser Klauseln.

Klausel 2
Wirkung und Unveränderlichkeit der Klauseln

(a) Diese Klauseln enthalten geeignete Garantien, einschließlich durchsetzbarer Rechte der betroffenen Person und wirksamer Rechtsbehelfe, gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 und, in Bezug auf Datenübermittlungen von Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter, Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679, sofern sie nicht geändert werden, außer um das/die geeignete(n) Modul(e) auszuwählen oder um Informationen im Anhang hinzuzufügen oder zu aktualisieren. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfassenderen Vertrag einzubeziehen und/oder weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese nicht direkt oder indirekt im Widerspruch zu diesen Klauseln stehen oder die Grundrechte oder -freiheiten der betroffenen Personen beeinträchtigen.

(b) Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Datenexporteur aufgrund der Verordnung (EU) 2016/679 unterliegt.

Klausel 3
Drittbegünstigte

(a) Betroffene Personen können diese Klauseln als Drittbegünstigte gegenüber dem Datenexporteur und/oder Datenimporteur geltend machen und durchsetzen, mit den folgenden Ausnahmen:
(i) Klausel 1, Klausel 2, Klausel 3, Klausel 6, Klausel 7;

(ii) Klausel 8 - Modul Eins: Klausel 8.5 (e) und Klausel 8.9(b); Modul Zwei: Klausel 8.1(b), 8.9(a), (c), (d) und (e); Modul Drei: Klausel 8.1(a), (c) und (d) und Klausel 8.9(a), (c), (d), (e), (f) und (g); Modul Vier: Klausel 8.1 (b) und Klausel 8.3 (b);

(iii) Klausel 9 - Modul Zwei: Klausel 9(a), (c), (d) und (e); Modul Drei: Klausel 9(a), (c), (d) und (e);

(iv) Klausel 12 - Modul Eins: Klausel 12(a) und (d); Module Zwei und Drei: Klausel 12(a), (d) und (f);

(v) Klausel 13;

(vi) Klausel 15.1(c), (d) und (e);

(vii) Klausel 16(e);

(viii) Klausel 18 - Module Eins, Zwei und Drei: Klausel 18(a) und (b); Modul Vier: Klausel 18.

(b) Buchstabe a gilt unbeschadet der Rechte der betroffenen Personen gemäß der Verordnung (EU) 2016/679.

Klausel 4
Interpretation

(a) Wenn in diesen Klauseln Begriffe verwendet werden, die in der Verordnung (EU) 2016/679 definiert sind, haben diese Begriffe die gleiche Bedeutung wie in dieser Verordnung.

(b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 zu lesen und auszulegen.

(c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die im Widerspruch zu Rechten und Pflichten gemäß der Verordnung (EU) 2016/679 steht.

Klausel 5
Hierarchie

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen verwandter Vereinbarungen zwischen den Parteien, die zum Zeitpunkt der Vereinbarung dieser Klauseln bestehen oder danach abgeschlossen werden, sind diese Klauseln maßgebend.

Klausel 6
Beschreibung der Übertragung(en)

Die Einzelheiten der Übermittlung(en), insbesondere die Kategorien personenbezogener Daten, die übermittelt werden, und der Zweck/die Zwecke, für den/die sie übermittelt werden, sind in Anhang I.B aufgeführt.

Klausel 7
Andockklausel

(a) Ein Rechtsträger, der nicht Vertragspartei dieser Klauseln ist, kann mit Zustimmung der Parteien diesen Klauseln jederzeit beitreten, entweder als Datenexporteur oder als Datenimporteur, indem er die Anlage ausfüllt und Anhang I.A unterzeichnet.

(b) Sobald sie die Anlage ausgefüllt und Anhang I.A unterzeichnet hat, wird die beitretende Einrichtung Vertragspartei dieser Klauseln und hat die Rechte und Pflichten eines Datenexporteurs oder Datenimporteurs gemäß ihrer Bezeichnung in Anhang I.A.

(c) Der beitretende Rechtsträger hat keine Rechte und Pflichten aus diesen Klauseln aus der Zeit, bevor er Vertragspartei wurde.

ABSCHNITT II - VERPFLICHTUNGEN DER PARTEIEN

Klausel 8
Datenschutzgarantien

Der Datenexporteur garantiert, dass er angemessene Anstrengungen unternommen hat, um festzustellen, dass der Datenimporteur durch die Umsetzung angemessener technischer und organisatorischer Maßnahmen in der Lage ist, seine Verpflichtungen gemäß diesen Klauseln zu erfüllen.

8.1 Anweisungen
(a) Der Datenimporteur darf die personenbezogenen Daten nur auf dokumentierte Weisung des Datenexporteurs verarbeiten. Der Datenexporteur kann solche Anweisungen während der gesamten Laufzeit des Vertrags erteilen.

(b) Der Datenimporteur informiert den Datenexporteur unverzüglich, wenn er diese Anweisungen nicht befolgen kann.

8.2 Zweckbindung
Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den/die spezifischen Zweck(e) der Übermittlung gemäß Anhang I.B, es sei denn, es liegen weitere Anweisungen des Datenexporteurs vor.

8.3 Transparenz
Auf Anfrage stellt der Datenexporteur der betroffenen Person unentgeltlich eine Kopie dieser Klauseln einschließlich des von den Parteien ausgefüllten Anhangs zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich der in Anhang II beschriebenen Maßnahmen und personenbezogenen Daten, erforderlich ist, kann der Datenexporteur Teile des Textes der Anlage zu diesen Klauseln vor der Weitergabe einer Kopie unkenntlich machen, muss jedoch eine aussagekräftige Zusammenfassung zur Verfügung stellen, wenn die betroffene Person andernfalls nicht in der Lage wäre, den Inhalt zu verstehen oder ihre Rechte auszuüben. Auf Anfrage teilen die Parteien der betroffenen Person die Gründe für die Schwärzungen mit, soweit dies ohne Offenlegung der geschwärzten Informationen möglich ist. Diese Klausel berührt nicht die Verpflichtungen des Datenexporteurs gemäß Artikel 13 und 14 der Verordnung (EU) 2016/679.

8.4 Genauigkeit
Stellt der Datenimporteur fest, dass die von ihm erhaltenen personenbezogenen Daten unrichtig sind oder veraltet sind, informiert er den Datenexporteur unverzüglich. In diesem Fall arbeitet der Datenimporteur mit dem Datenexporteur zusammen, um die Daten zu löschen oder zu berichtigen.

8.5 Dauer der Verarbeitung und Löschung oder Rückgabe der Daten
Die Verarbeitung durch den Datenimporteur erfolgt nur für die in Anhang I.B angegebene Dauer. Nach Beendigung der Erbringung der Verarbeitungsdienste löscht der Datenimporteur nach Wahl des Datenexporteurs alle im Auftrag des Datenexporteurs verarbeiteten personenbezogenen Daten und bescheinigt dem Datenexporteur, dass er dies getan hat, oder gibt dem Datenexporteur alle in seinem Auftrag verarbeiteten personenbezogenen Daten zurück und löscht vorhandene Kopien. Bis zur Löschung oder Rückgabe der Daten hat der Datenimporteur weiterhin die Einhaltung dieser Klauseln zu gewährleisten. Für den Fall, dass auf den Datenimporteur anwendbares lokales Recht die Rückgabe oder Löschung der personenbezogenen Daten verbietet, garantiert der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln gewährleistet und die Daten nur in dem Umfang und so lange verarbeitet, wie es das lokale Recht verlangt. Dies gilt unbeschadet der Klausel 14, insbesondere der Verpflichtung des Datenimporteurs gemäß Klausel 14(e), den Datenexporteur während der gesamten Vertragslaufzeit zu benachrichtigen, wenn er Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterworfen wurde, die nicht mit den Anforderungen gemäß Klausel 14(a) übereinstimmen.

8.6 Sicherheit der Verarbeitung
(a) Der Datenimporteur und bei der Übermittlung auch der Datenexporteur treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einer Sicherheitsverletzung, die zur zufälligen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Weitergabe oder zum unbefugten Zugang zu diesen Daten führt (im Folgenden "Verletzung des Schutzes personenbezogener Daten"). Bei der Beurteilung des angemessenen Sicherheitsniveaus berücksichtigen die Vertragsparteien in angemessener Weise den Stand der Technik, die Kosten der Umsetzung, die Art, den Umfang, die Umstände und den Zweck/die Zwecke der Verarbeitung sowie die mit der Verarbeitung verbundenen Risiken für die betroffenen Personen. Die Vertragsparteien erwägen insbesondere den Rückgriff auf Verschlüsselung oder Pseudonymisierung, auch bei der Übermittlung, wenn der Zweck der Verarbeitung auf diese Weise erfüllt werden kann. Im Falle der Pseudonymisierung verbleiben die zusätzlichen Informationen zur Zuordnung der personenbezogenen Daten zu einer bestimmten betroffenen Person nach Möglichkeit unter der ausschließlichen Kontrolle des Datenexporteurs. Bei der Erfüllung seiner Verpflichtungen nach diesem Absatz setzt der Datenimporteur mindestens die in Anhang II genannten technischen und organisatorischen Maßnahmen um. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Maß an Sicherheit bieten.

(b) Der Datenimporteur gewährt Mitgliedern seines Personals nur insoweit Zugang zu den personenbezogenen Daten, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Er stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen.

(c) Im Falle einer Verletzung des Schutzes personenbezogener Daten in Bezug auf personenbezogene Daten, die vom Datenimporteur im Rahmen dieser Klauseln verarbeitet werden, ergreift der Datenimporteur geeignete Maßnahmen, um die Verletzung zu beheben, einschließlich Maßnahmen zur Milderung ihrer nachteiligen Auswirkungen. Der Datenimporteur benachrichtigt auch den Datenexporteur unverzüglich, nachdem er von der Verletzung Kenntnis erlangt hat. Diese Benachrichtigung enthält die Angaben zu einer Kontaktstelle, bei der weitere Informationen eingeholt werden können, eine Beschreibung der Art der Verletzung (möglichst einschließlich der Kategorien und der ungefähren Zahl der betroffenen Personen und der betroffenen personenbezogenen Datensätze), ihrer wahrscheinlichen Folgen und der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung, gegebenenfalls einschließlich Maßnahmen zur Abschwächung ihrer möglichen nachteiligen Folgen. Wenn und soweit es nicht möglich ist, alle Informationen gleichzeitig bereitzustellen, enthält die erste Benachrichtigung die zu diesem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, ohne unangemessene Verzögerung nachgereicht.

(d) Der Datenimporteur arbeitet mit dem Datenexporteur zusammen und unterstützt ihn, damit der Datenexporteur seinen Verpflichtungen aus der Verordnung (EU) 2016/679 nachkommen kann, insbesondere bei der Benachrichtigung der zuständigen Aufsichtsbehörde und der betroffenen Personen, wobei die Art der Verarbeitung und die dem Datenimporteur zur Verfügung stehenden Informationen berücksichtigt werden.

8.7 Sensible Daten
Betrifft die Übermittlung personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetische Daten oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Daten über Gesundheit oder das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten (im Folgenden "sensible Daten"), so wendet der Datenimporteur die in Anhang I.B beschriebenen besonderen Beschränkungen und/oder zusätzlichen Garantien an.

8.8 Weitergehende Übertragungen
Der Datenimporteur darf die personenbezogenen Daten nur auf dokumentierte Anweisung des Datenexporteurs an einen Dritten weitergeben. Darüber hinaus dürfen die Daten nur dann an einen außerhalb der Europäischen Union (4) ansässigen Dritten (im selben Land wie der Datenimporteur oder in einem anderen Drittland, im Folgenden "Weitergabe") weitergegeben werden, wenn der Dritte im Rahmen des entsprechenden Moduls an diese Klauseln gebunden ist oder sich damit einverstanden erklärt, oder wenn:
(i) die Weiterübermittlung erfolgt in ein Land, das von einem Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 profitiert, der die Weiterübermittlung abdeckt;

(ii) der Dritte anderweitig angemessene Garantien gemäß Artikel 46 oder 47 der Verordnung (EU) 2016/679 in Bezug auf die betreffende Verarbeitung gewährleistet;

(iii) die Weitergabe ist für die Begründung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen eines bestimmten Verwaltungs-, Aufsichts- oder Gerichtsverfahrens erforderlich; oder

(iv) die Weitergabe ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.

Jede Weitergabe unterliegt der Einhaltung aller anderen Garantien gemäß diesen Klauseln durch den Datenimporteur, insbesondere der Zweckbindung.

8.9 Dokumentation und Einhaltung
(a) Der Datenimporteur hat Anfragen des Datenexporteurs, die sich auf die Verarbeitung nach diesen Klauseln beziehen, unverzüglich und angemessen zu bearbeiten.

(b) Die Parteien müssen in der Lage sein, die Einhaltung dieser Klauseln nachzuweisen. Insbesondere hat der Datenimporteur eine angemessene Dokumentation über die im Auftrag des Datenexporteurs durchgeführten Verarbeitungstätigkeiten zu führen.

(c) Der Datenimporteur stellt dem Datenexporteur alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten Verpflichtungen erforderlich sind, und ermöglicht auf Verlangen des Datenexporteurs in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung Audits der unter diese Klauseln fallenden Verarbeitungstätigkeiten und trägt zu diesen bei. Bei der Entscheidung über eine Überprüfung oder ein Audit kann der Datenexporteur einschlägige Zertifizierungen berücksichtigen, die der Datenimporteur besitzt.

(d) Der Datenexporteur kann wählen, ob er das Audit selbst durchführt oder einen unabhängigen Prüfer beauftragt. Die Audits können Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Datenimporteurs umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.

(e) Die Vertragsparteien stellen der zuständigen Aufsichtsbehörde die in den Buchstaben b) und c) genannten Informationen, einschließlich der Ergebnisse etwaiger Prüfungen, auf Anfrage zur Verfügung.

Klausel 9
Einsatz von Unterauftragsverarbeitern

(a) Der Datenimporteur hat die allgemeine Genehmigung des Datenexporteurs für die Beauftragung von Unterauftragsverarbeitern aus einer vereinbarten Liste. Der Datenimporteur informiert den Datenexporteur schriftlich über alle beabsichtigten Änderungen dieser Liste durch Hinzufügung oder Ersetzung von Unterauftragsverarbeitern mindestens [Zeitraum angeben] im Voraus, so dass der Datenexporteur genügend Zeit hat, vor der Beauftragung des/der Unterauftragsverarbeiter(s) Einspruch gegen diese Änderungen zu erheben. Der Datenimporteur stellt dem Datenexporteur die erforderlichen Informationen zur Verfügung, damit der Datenexporteur sein Widerspruchsrecht ausüben kann.

(b) Beauftragt der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Datenexporteurs), so erfolgt dies im Wege eines schriftlichen Vertrags, der im Wesentlichen dieselben Datenschutzverpflichtungen vorsieht, an die der Datenimporteur gemäß diesen Klauseln gebunden ist, auch in Bezug auf die Rechte der betroffenen Personen als Drittbegünstigte. (8) Die Parteien sind sich einig, dass der Datenimporteur mit der Einhaltung dieser Klausel seine Verpflichtungen aus Klausel 8.8 erfüllt. Der Datenimporteur stellt sicher, dass der Unterauftragsverarbeiter die Verpflichtungen einhält, denen der Datenimporteur gemäß diesen Klauseln unterliegt.

(c) Der Datenimporteur stellt dem Datenexporteur auf Anfrage eine Kopie einer solchen Unterauftragsverarbeitungsvereinbarung und aller nachfolgenden Änderungen zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Datenimporteur den Text der Vereinbarung vor der Weitergabe einer Kopie schwärzen.

(d) Der Datenimporteur bleibt gegenüber dem Datenexporteur in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters aus seinem Vertrag mit dem Datenimporteur verantwortlich. Der Datenimporteur unterrichtet den Datenexporteur, wenn der Unterauftragsverarbeiter seinen Verpflichtungen aus diesem Vertrag nicht nachkommt.

(e) Der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigungsklausel, wonach der Datenexporteur für den Fall, dass der Datenimporteur faktisch verschwunden ist, rechtlich nicht mehr existiert oder insolvent geworden ist, das Recht hat, den Unterauftragsverarbeitungsvertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

Klausel 10
Rechte des Datensubjekts

(a) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich über jede Anfrage, die er von einer betroffenen Person erhalten hat. Er darf diese Anfrage nicht selbst beantworten, es sei denn, er wurde vom Datenexporteur dazu ermächtigt.

(b) Der Datenimporteur unterstützt den Datenexporteur bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen betroffener Personen auf Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679. Zu diesem Zweck legen die Vertragsparteien in Anhang II unter Berücksichtigung der Art der Verarbeitung die geeigneten technischen und organisatorischen Maßnahmen fest, mit denen die Unterstützung geleistet werden soll, sowie den Umfang und das Ausmaß der erforderlichen Unterstützung.

(c) Bei der Erfüllung seiner Verpflichtungen gemäß den Buchstaben a) und b) hat der Datenimporteur die Anweisungen des Datenexporteurs zu befolgen.

Klausel 11
Abhilfe

(a) Der Datenimporteur informiert die betroffenen Personen in einem transparenten und leicht zugänglichen Format durch individuelle Mitteilung oder auf seiner Website über eine Kontaktstelle, die zur Bearbeitung von Beschwerden befugt ist. Er bearbeitet alle Beschwerden, die er von einer betroffenen Person erhält, unverzüglich. Der Datenimporteur erklärt sich damit einverstanden, dass betroffene Personen auch eine Beschwerde bei einer unabhängigen Streitbeilegungsstelle einreichen können, ohne dass der betroffenen Person Kosten entstehen. Er unterrichtet die betroffenen Personen in der unter Buchstabe a beschriebenen Weise über diesen Rechtsbehelfsmechanismus und darüber, dass sie nicht verpflichtet sind, ihn zu nutzen oder eine bestimmte Reihenfolge bei der Suche nach Rechtsbehelfen einzuhalten.

(b) Bei Streitigkeiten zwischen einer betroffenen Person und einer der Parteien über die Einhaltung dieser Klauseln bemüht sich die betreffende Partei nach besten Kräften, die Angelegenheit zeitnah gütlich zu regeln. Die Parteien halten sich gegenseitig über solche Streitigkeiten auf dem Laufenden und arbeiten gegebenenfalls bei deren Beilegung zusammen.

(c) Beruft sich die betroffene Person auf ein Drittbegünstigungsrecht nach Ziffer 3, so akzeptiert der Datenimporteur die Entscheidung der betroffenen Person:
(i) eine Beschwerde bei der Aufsichtsbehörde des Mitgliedstaats seines gewöhnlichen Aufenthalts oder seines Arbeitsplatzes oder bei der zuständigen Aufsichtsbehörde gemäß Ziffer 13 einzureichen;

(ii) die Streitigkeit an die zuständigen Gerichte im Sinne von Ziffer 18 verweisen.

(d) Die Vertragsparteien akzeptieren, dass die betroffene Person unter den in Artikel 80 Absatz 1 der Verordnung (EU) 2016/679 genannten Bedingungen durch eine gemeinnützige Einrichtung, Organisation oder Vereinigung vertreten werden kann.

(e) Der Datenimporteur muss sich an eine Entscheidung halten, die nach dem geltenden Recht der EU oder eines Mitgliedstaats verbindlich ist.

(f) Der Datenimporteur erklärt sich damit einverstanden, dass die von der betroffenen Person getroffene Wahl ihre materiellen und prozessualen Rechte auf Einlegung von Rechtsmitteln gemäß den geltenden Gesetzen nicht beeinträchtigt.

Klausel 12
Haftung

(a) Jede Partei haftet gegenüber der/den anderen Partei(en) für alle Schäden, die sie der/den anderen Partei(en) durch einen Verstoß gegen diese Klauseln zufügt.

(b) Der Datenimporteur haftet gegenüber der betroffenen Person und die betroffene Person hat Anspruch auf Schadenersatz für alle materiellen oder immateriellen Schäden, die der Datenimporteur oder sein Unterauftragsverarbeiter der betroffenen Person durch die Verletzung der Rechte des Drittbegünstigten gemäß diesen Klauseln zufügt.

(c) Ungeachtet des Absatzes b haftet der Datenexporteur gegenüber der betroffenen Person für alle materiellen oder immateriellen Schäden, die der Datenexporteur oder der Datenimporteur (oder sein Unterauftragsverarbeiter) der betroffenen Person durch die Verletzung der Rechte des Drittbegünstigten gemäß diesen Klauseln zufügt, und die betroffene Person hat Anspruch auf Schadenersatz. Dies gilt unbeschadet der Haftung des Datenexporteurs und, wenn der Datenexporteur ein Auftragsverarbeiter ist, der im Auftrag eines für die Verarbeitung Verantwortlichen handelt, der Haftung des für die Verarbeitung Verantwortlichen gemäß der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725.

(d) Die Vertragsparteien sind sich darüber einig, dass der Datenexporteur, wenn er gemäß Absatz c) für einen vom Datenimporteur (oder dessen Unterauftragsverarbeiter) verursachten Schaden haftbar gemacht wird, berechtigt ist, vom Datenimporteur den Teil des Schadensersatzes zurückzufordern, der der Verantwortung des Datenimporteurs für den Schaden entspricht.

(e) Ist mehr als eine Partei für einen Schaden verantwortlich, der der betroffenen Person infolge eines Verstoßes gegen diese Klauseln entstanden ist, haften alle verantwortlichen Parteien gesamtschuldnerisch, und die betroffene Person ist berechtigt, gegen jede dieser Parteien gerichtlich vorzugehen.

(f) Die Parteien vereinbaren, dass eine Partei, die gemäß Absatz (e) haftbar gemacht wird, berechtigt ist, von der/den anderen Partei(en) den Teil der Entschädigung zurückzufordern, der ihrer Verantwortung für den Schaden entspricht.

(g) Der Datenimporteur kann sich nicht auf das Verhalten eines Unterauftragsverarbeiters berufen, um seine eigene Haftung zu umgehen.

Klausel 13
Beaufsichtigung

(a) [Wenn der Datenexporteur in einem EU-Mitgliedstaat ansässig ist:] Die Aufsichtsbehörde, die dafür zuständig ist, die Einhaltung der Verordnung (EU) 2016/679 durch den Datenexporteur in Bezug auf die Datenübermittlung zu gewährleisten, wie in Anhang I.C angegeben, handelt als zuständige Aufsichtsbehörde.
[Ist der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen, fällt aber in den territorialen Anwendungsbereich der Verordnung (EU) 2016/679 gemäß deren Artikel 3 Absatz 2 und hat einen Vertreter gemäß Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 bestellt:] Die Aufsichtsbehörde des Mitgliedstaats, in dem der Vertreter im Sinne von Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 niedergelassen ist, wie in Anhang I.C angegeben, handelt als zuständige Aufsichtsbehörde.
[Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen ist, aber in den territorialen Anwendungsbereich der Verordnung (EU) 2016/679 gemäß deren Artikel 3 Absatz 2 fällt, ohne jedoch einen Vertreter gemäß Artikel 27 Absatz 2 der Verordnung (EU) 2016/679 benennen zu müssen:] Die Aufsichtsbehörde eines der Mitgliedstaaten, in dem sich die betroffenen Personen befinden, deren personenbezogene Daten gemäß diesen Klauseln im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an sie übermittelt werden oder deren Verhalten überwacht wird, wie in Anhang I.C angegeben, fungiert als zuständige Aufsichtsbehörde.

(b) Der Datenimporteur erklärt sich bereit, sich der Rechtsprechung der zuständigen Aufsichtsbehörde zu unterwerfen und mit dieser in allen Verfahren zusammenzuarbeiten, die die Einhaltung dieser Klauseln sicherstellen sollen. Insbesondere erklärt sich der Datenimporteur bereit, auf Anfragen zu antworten, sich Prüfungen zu unterziehen und die von der Aufsichtsbehörde erlassenen Maßnahmen, einschließlich Abhilfe- und Ausgleichsmaßnahmen, zu befolgen. Er bestätigt der Aufsichtsbehörde schriftlich, dass die erforderlichen Maßnahmen ergriffen worden sind.

ABSCHNITT III - LOKALE GESETZE UND VERPFLICHTUNGEN BEI BEHÖRDLICHEM ZUGRIFF

Klausel 14
Lokale Gesetze und Praktiken, die die Einhaltung der Klauseln beeinflussen

(a) Die Parteien garantieren, dass sie keinen Grund zu der Annahme haben, dass die Gesetze und Praktiken im Bestimmungsdrittland, die für die Verarbeitung der personenbezogenen Daten durch den Datenimporteur gelten, einschließlich etwaiger Anforderungen an die Offenlegung personenbezogener Daten oder Maßnahmen, die den Zugang von Behörden ermöglichen, den Datenimporteur daran hindern, seine Verpflichtungen gemäß diesen Klauseln zu erfüllen. Dies beruht auf dem Verständnis, dass Gesetze und Praktiken, die den Kern der Grundrechte und -freiheiten respektieren und nicht über das hinausgehen, was in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele zu schützen, nicht im Widerspruch zu diesen Klauseln stehen.

(b) Die Vertragsparteien erklären, dass sie bei der Abgabe der Garantie in Absatz (a) insbesondere die folgenden Elemente gebührend berücksichtigt haben:
(i) die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übermittlungskanäle; beabsichtigte Weiterübermittlungen; die Art des Empfängers; der Zweck der Verarbeitung; die Kategorien und das Format der übermittelten personenbezogenen Daten; der Wirtschaftssektor, in dem die Übermittlung erfolgt; der Speicherort der übermittelten Daten;

(ii) die Gesetze und Gepflogenheiten des Bestimmungsdrittlandes - einschließlich derjenigen, die die Weitergabe von Daten an Behörden vorschreiben oder den Zugang solcher Behörden gestatten -, die angesichts der besonderen Umstände der Übermittlung relevant sind, sowie die geltenden Beschränkungen und Garantien (12);

(iii) alle einschlägigen vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß diesen Klauseln eingeführt wurden, einschließlich der Maßnahmen, die während der Übermittlung und bei der Verarbeitung der personenbezogenen Daten im Bestimmungsland angewandt werden.

(c) Der Datenimporteur sichert zu, dass er sich bei der Durchführung der Bewertung gemäß Absatz b) nach besten Kräften bemüht hat, dem Datenexporteur relevante Informationen zur Verfügung zu stellen, und erklärt sich bereit, weiterhin mit dem Datenexporteur zusammenzuarbeiten, um die Einhaltung dieser Klauseln sicherzustellen.

(d) Die Vertragsparteien vereinbaren, die Beurteilung nach Buchstabe b) zu dokumentieren und der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

(e) Der Datenimporteur verpflichtet sich, den Datenexporteur unverzüglich zu benachrichtigen, wenn er nach Zustimmung zu diesen Klauseln und während der Laufzeit des Vertrages Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterworfen wurde, die nicht mit den Anforderungen gemäß Absatz (a) übereinstimmen, einschließlich nach einer Änderung der Gesetze des Drittlandes oder einer Maßnahme (wie z. B. einer Offenlegungsaufforderung), die auf eine Anwendung solcher Gesetze in der Praxis hinweist, die nicht mit den Anforderungen in Absatz (a) übereinstimmt. [Für Modul 3: Der Datenexporteur leitet die Meldung an den für die Verarbeitung Verantwortlichen weiter].

(f) Nach einer Meldung gemäß Buchstabe e oder wenn der Datenexporteur anderweitig Grund zu der Annahme hat, dass der Datenimporteur seinen Verpflichtungen gemäß diesen Klauseln nicht mehr nachkommen kann, ermittelt der Datenexporteur unverzüglich geeignete Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit), die vom Datenexporteur und/oder Datenimporteur zu ergreifen sind, um der Situation [für Modul 3: gegebenenfalls in Absprache mit dem für die Verarbeitung Verantwortlichen] zu begegnen. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Ansicht ist, dass keine angemessenen Garantien für eine solche Übermittlung gewährleistet werden können, oder wenn er von [für Modul 3: dem für die Verarbeitung Verantwortlichen oder] der zuständigen Aufsichtsbehörde dazu angewiesen wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft. Sind an dem Vertrag mehr als zwei Parteien beteiligt, kann der Datenexporteur dieses Kündigungsrecht nur in Bezug auf die betreffende Partei ausüben, sofern die Parteien nichts anderes vereinbart haben. Wird der Vertrag gemäß dieser Klausel gekündigt, gilt Klausel 16(d) und (e).

Klausel 15
Pflichten des Datenimporteurs bei Zugriff durch öffentliche Stellen

15.1 Benachrichtigung
(a) Der Datenimporteur verpflichtet sich, den Datenexporteur und, soweit möglich, die betroffene Person unverzüglich (ggf. mit Hilfe des Datenexporteurs) zu benachrichtigen, wenn er:
(i) ein rechtsverbindliches Ersuchen einer Behörde, einschließlich Justizbehörden, nach den Gesetzen des Bestimmungslandes um Offenlegung der gemäß diesen Klauseln übermittelten personenbezogenen Daten erhält; eine solche Mitteilung muss Informationen über die angeforderten personenbezogenen Daten, die ersuchende Behörde, die Rechtsgrundlage für das Ersuchen und die erteilte Antwort enthalten; oder

(ii) von einem direkten Zugriff öffentlicher Stellen auf personenbezogene Daten, die gemäß diesen Klauseln in Übereinstimmung mit den Gesetzen des Bestimmungslandes übermittelt wurden, Kenntnis erlangt; diese Mitteilung muss alle dem Importeur zur Verfügung stehenden Informationen enthalten.

[Für Modul 3: Der Datenexporteur leitet die Meldung an den für die Verarbeitung Verantwortlichen weiter].

(b) Ist es dem Datenimporteur nach dem Recht des Bestimmungslandes untersagt, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, erklärt sich der Datenimporteur bereit, sich nach besten Kräften zu bemühen, eine Aufhebung des Verbots zu erwirken, um so schnell wie möglich so viele Informationen wie möglich zu übermitteln. Der Datenimporteur erklärt sich bereit, seine besten Bemühungen zu dokumentieren, um sie auf Anfrage des Datenexporteurs nachweisen zu können.

c) Soweit nach den Gesetzen des Bestimmungslandes zulässig, erklärt sich der Datenimporteur bereit, dem Datenexporteur während der Vertragslaufzeit in regelmäßigen Abständen so viele relevante Informationen wie möglich über die eingegangenen Anfragen zu übermitteln (insbesondere Anzahl der Anfragen, Art der angeforderten Daten, anfragende Behörde(n), ob Anfragen angefochten wurden und das Ergebnis solcher Anfechtungen usw.). [Für Modul 3: Der Datenexporteur leitet die Informationen an den für die Verarbeitung Verantwortlichen weiter].

(d) Der Datenimporteur verpflichtet sich, die Informationen gemäß den Absätzen a) bis c) für die Dauer des Vertrages aufzubewahren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

(e) Die Absätze a) bis c) berühren nicht die Verpflichtung des Datenimporteurs gemäß Klausel 14 Buchstabe e) und Klausel 16, den Datenexporteur unverzüglich zu informieren, wenn er nicht in der Lage ist, diese Klauseln einzuhalten.

15.2 Überprüfung der Rechtmäßigkeit und Datenminimierung
(a) Der Datenimporteur erklärt sich bereit, die Rechtmäßigkeit des Offenlegungsersuchens zu überprüfen, insbesondere, ob es im Rahmen der der ersuchenden Behörde eingeräumten Befugnisse bleibt, und das Ersuchen anzufechten, wenn er nach sorgfältiger Prüfung zu dem Schluss kommt, dass es vernünftige Gründe für die Annahme gibt, dass das Ersuchen nach dem Recht des Bestimmungslandes, den geltenden völkerrechtlichen Verpflichtungen und den Grundsätzen des internationalen Komitologieprinzips rechtswidrig ist. Der Datenimporteur muss unter den gleichen Bedingungen die Möglichkeiten eines Rechtsbehelfs nutzen. Bei Anfechtung eines Ersuchens beantragt der Datenimporteur einstweilige Maßnahmen mit dem Ziel, die Wirkungen des Ersuchens auszusetzen, bis die zuständige Justizbehörde über die Begründetheit des Ersuchens entschieden hat. Er gibt die angeforderten personenbezogenen Daten erst dann weiter, wenn er nach den geltenden Verfahrensvorschriften dazu verpflichtet ist. Diese Anforderungen gelten unbeschadet der Verpflichtungen des Datenimporteurs nach Klausel 14 Buchstabe e.

(b) Der Datenimporteur erklärt sich bereit, seine rechtliche Bewertung und etwaige Anfechtung des Auskunftsersuchens zu dokumentieren und die Dokumentation, soweit nach dem Recht des Bestimmungslandes zulässig, dem Datenexporteur zur Verfügung zu stellen. Er stellt sie auch der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung. [Für Modul 3: Der Datenexporteur stellt die Beurteilung dem für die Verarbeitung Verantwortlichen zur Verfügung].

(c) Der Datenimporteur erklärt sich bereit, bei der Beantwortung eines Auskunftsersuchens das zulässige Mindestmaß an Informationen auf der Grundlage einer angemessenen Auslegung des Ersuchens zur Verfügung zu stellen.

ABSCHNITT IV - SCHLUSSBESTIMMUNGEN

Klausel 16
Nichteinhaltung der Klauseln und Kündigung

(a) Der Datenimporteur informiert den Datenexporteur unverzüglich, wenn er diese Klauseln, aus welchen Gründen auch immer, nicht einhalten kann.

(b) Verstößt der Datenimporteur gegen diese Klauseln oder ist er nicht in der Lage, diese Klauseln einzuhalten, setzt der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aus, bis die Einhaltung wieder gewährleistet ist oder der Vertrag beendet wird. Dies gilt unbeschadet der Klausel 14(f).

(c) Der Datenexporteur ist berechtigt, den Vertrag, soweit er die Verarbeitung personenbezogener Daten nach diesen Klauseln betrifft, zu kündigen, wenn:
(i) der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Buchstabe b ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wird;

(ii) der Datenimporteur in erheblichem Maße oder anhaltend gegen diese Klauseln verstößt; oder

(iii) der Datenimporteur einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer Aufsichtsbehörde in Bezug auf seine Verpflichtungen gemäß diesen Klauseln nicht nachkommt.

In diesen Fällen unterrichtet er die zuständige Aufsichtsbehörde [für Modul Drei: und den für die Verarbeitung Verantwortlichen] über diese Nichteinhaltung. Sind an dem Vertrag mehr als zwei Parteien beteiligt, kann der Datenexporteur dieses Kündigungsrecht nur in Bezug auf die betreffende Partei ausüben, sofern die Parteien nichts anderes vereinbart haben.

(d) [Für die Module Eins, Zwei und Drei: Personenbezogene Daten, die vor der Beendigung des Vertrages gemäß Absatz (c) übermittelt wurden, sind nach Wahl des Datenexporteurs unverzüglich an diesen zurückzugeben oder vollständig zu löschen. Gleiches gilt für etwaige Kopien der Daten]. [Zu Modul 4: Vom Datenexporteur in der EU erhobene personenbezogene Daten, die vor der Beendigung des Vertragsverhältnisses gemäß Buchstabe c übermittelt wurden, sind unverzüglich in ihrer Gesamtheit, einschließlich etwaiger Kopien, zu löschen]. Der Datenimporteur hat dem Datenexporteur die Löschung der Daten zu bescheinigen. Bis zur Löschung oder Rückgabe der Daten hat der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicherzustellen. Für den Fall, dass auf den Datenimporteur anwendbare lokale Gesetze die Rückgabe oder Löschung der übermittelten personenbezogenen Daten verbieten, sichert der Datenimporteur zu, dass er die Einhaltung dieser Klauseln weiterhin gewährleistet und die Daten nur in dem Umfang und so lange verarbeitet, wie dies nach dem jeweiligen lokalen Gesetz erforderlich ist.

(e) Jede Partei kann ihr Einverständnis, an diese Klauseln gebunden zu sein, widerrufen, wenn (i) die Europäische Kommission einen Beschluss gemäß Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 erlässt, der die Übermittlung personenbezogener Daten abdeckt, für die diese Klauseln gelten, oder (ii) die Verordnung (EU) 2016/679 Teil des Rechtsrahmens des Landes wird, in das die personenbezogenen Daten übermittelt werden. Dies gilt unbeschadet anderer Verpflichtungen, die für die betreffende Verarbeitung gemäß der Verordnung (EU) 2016/679 gelten.

Klausel 17
Geltendes Recht

Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedsstaaten, sofern dieses Recht Rechte von Drittbegünstigten zulässt. Die Parteien vereinbaren, dass dies das Recht Polens sein soll.

Klausel 18
Gerichtsstand und Wahl des Gerichtsstands

(a) Alle Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten eines EU-Mitgliedstaates entschieden.

(b) Die Parteien vereinbaren, dass dies die Gerichte Polens sein sollen.

(c) Eine betroffene Person kann den Datenexporteur und/oder Datenimporteur auch vor den Gerichten des Mitgliedstaats verklagen, in dem sie ihren gewöhnlichen Aufenthalt hat.

(d) Die Parteien vereinbaren, sich der Gerichtsbarkeit dieser Gerichte zu unterwerfen.

APPENDIX
ERLÄUTERUNG:

Es muss möglich sein, die für jede Übermittlung oder Kategorie von Übermittlungen geltenden Informationen klar zu unterscheiden und in diesem Zusammenhang die jeweilige(n) Rolle(n) der Parteien als Datenexporteur(en) und/oder Datenimporteur(en) zu bestimmen. Dies erfordert nicht notwendigerweise das Ausfüllen und Unterzeichnen separater Anhänge für jede Übermittlung/Kategorie von Übermittlungen und/oder jede vertragliche Beziehung, wenn diese Transparenz durch einen einzigen Anhang erreicht werden kann. Wo dies jedoch zur Gewährleistung ausreichender Klarheit erforderlich ist, sollten separate Anhänge verwendet werden.

ANHANG I

A. LISTE DER PARTEIEN

  1. Datenexporteur(e):

Name: ...
Adresse: ...
Name, Position und Kontaktdaten des Ansprechpartners: ...
Aktivitäten, die für die gemäß diesen Klauseln übertragenen Daten relevant sind: Datenverarbeitung für die Erfüllung des Rahmenvertrags
Unterschrift und Datum: ...
Rolle: Controller

  1. Datenimporteur(e):

Name: Devskiller sp. z o.o.
Adresse: Al. Lindleya 16, 02-013 Warschau
Name, Position und Kontaktdaten des Ansprechpartners: ...
Aktivitäten, die für die gemäß diesen Klauseln übertragenen Daten relevant sind: Datenverarbeitung für die Erfüllung des Rahmenvertrags
Unterschrift und Datum: ...
Rolle: Prozessor

B. BESCHREIBUNG DER ÜBERTRAGUNG
Kategorien von betroffenen Personen, deren personenbezogene Daten übertragen werden: Personen, die berechtigt sind, den für die Verarbeitung Verantwortlichen zu vertreten, Testteilnehmer
Kategorien der übermittelten personenbezogenen Daten: Vorname, Nachname, Steueridentifikationsnummer, E-Mail, Adresse, Telefonnummer, Firmenname, Position in der Firma, IP-Nummer, Bild.
Übermittlung sensibler Daten (falls zutreffend) und angewandte Beschränkungen oder Schutzmaßnahmen, die der Art der Daten und den damit verbundenen Risiken in vollem Umfang Rechnung tragen, wie z. B. strikte Zweckbindung, Zugangsbeschränkungen (einschließlich Zugang nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnung des Zugangs zu den Daten, Beschränkungen für die Weitergabe oder zusätzliche Sicherheitsmaßnahmen: nicht zutreffend
Die Häufigkeit der Übertragung (z. B. ob die Daten einmalig oder kontinuierlich übertragen werden): kontinuierlich

Art der Verarbeitung:
Zweck(e) der Datenübermittlung und -weiterverarbeitung: Erfüllung des Hauptvertrags
Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, nach denen dieser Zeitraum bestimmt wird: Dauer des Hauptvertrags, Verjährungsfrist von Ansprüchen
Bei Übermittlungen an (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben: Dauer des Hauptvertrags, Verjährungsfrist der Ansprüche.

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE
Benennen Sie die zuständige(n) Aufsichtsbehörde(n) gemäß Klausel 13:
Der polnische Beauftragte für den Schutz personenbezogener Daten.

ANHANG II
TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MASSNAHMEN ZUR GEWÄHRLEISTUNG DER SICHERHEIT DER DATEN

Maßnahmen zur Pseudonymisierung und Verschlüsselung von personenbezogenen Daten.
Maßnahmen zur Sicherstellung der laufenden Vertraulichkeit, Integrität, Verfügbarkeit und Ausfallsicherheit von Verarbeitungssystemen und -diensten.
Maßnahmen zur Sicherstellung der Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Vorfalls zeitnah wiederherzustellen.
Verfahren zur regelmäßigen Prüfung, Beurteilung und Bewertung der Wirksamkeit der technischen und organisatorischen Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten.
Maßnahmen zur Benutzeridentifikation und -autorisierung.
Maßnahmen zum Schutz der Daten bei der Übertragung.
Maßnahmen zum Schutz der Daten während der Speicherung.
Maßnahmen zur Gewährleistung der physischen Sicherheit von Standorten, an denen personenbezogene Daten verarbeitet werden.
Maßnahmen zur Sicherstellung der Ereignisprotokollierung.
Maßnahmen zur Sicherstellung der Systemkonfiguration, einschließlich der Standardkonfiguration.
Maßnahmen zur internen IT- und IT-Sicherheits-Governance und -Management.
Maßnahmen zur Zertifizierung/Absicherung von Prozessen und Produkten.
Maßnahmen zur Sicherstellung der Datensparsamkeit.
Maßnahmen zur Sicherung der Datenqualität.
Maßnahmen zur Sicherstellung einer begrenzten Datenspeicherung.
Maßnahmen zur Sicherstellung der Rechenschaftspflicht.
Maßnahmen zur Ermöglichung der Datenportabilität und Sicherstellung der Löschung.

ANHANG III
LISTE DER UNTERPROZESSOREN

Gemäß dem Anhang Nr. 1 zum DPA.

Sicherheitszertifizierungen & Konformität. Wir sorgen dafür, dass Ihre Daten sicher und geschützt sind.

DevSkiller-Logo TalentBoost-Logo TalentScore Logo