Messify.io – Vereinbarung zur Datenverarbeitung
Aktualisiert: November 16, 2022
PARTEIEN UND HINTERGRUND
(A) Der Kunde (“Kunde”) hat mit Messify – SAHU MEDIA UG & Co. KG (“Messify”) (jeweils eine “Partei” und gemeinsam die “Parteien”) einen Vertrag geschlossen, in dem sich Messify bereit erklärt hat, die Dienste in Übereinstimmung mit diesem Vertrag (der “Vertrag”) zu erbringen. Diese Datenverarbeitungsvereinbarung (die “DPA”) ist Bestandteil der Vereinbarung und tritt mit dem Datum des Inkrafttretens der Vereinbarung (“Datum des Inkrafttretens”) in Kraft und ersetzt alle zuvor geltenden Datenverarbeitungs- und Sicherheitsbedingungen.
(B) In dem Umfang, in dem Messify persönliche Daten des Kunden (wie unten definiert) im Namen des Kunden (oder, falls zutreffend, des verbundenen Unternehmens des Kunden) in Verbindung mit der Erbringung der Services verarbeitet, haben die Parteien vereinbart, dass dies zu den Bedingungen dieser DPA geschieht.
1.1 Begriffe in Großbuchstaben, die in dieser DPA verwendet, aber nicht definiert werden, haben die in der Vereinbarung festgelegte Bedeutung. Die folgenden, in dieser DPA verwendeten Begriffe werden wie folgt definiert:
“Verbundenes Unternehmen” bezeichnet ein Unternehmen, das direkt oder indirekt im Eigentum oder unter der Kontrolle einer Partei steht, sich im Eigentum oder unter der Kontrolle einer Partei befindet oder mit einer Partei in gemeinsamem Eigentum oder unter gemeinsamer Kontrolle steht und ein Begünstigter des Abkommens ist;
“Genehmigter Nachtrag” bezeichnet die Vorlage des Nachtrags, Version B.1.0, die vom UK Information Commissioner gemäß S119A(1) Data Protection Act 2018 herausgegeben und dem britischen Parlament am 2. Februar 2022 vorgelegt wurde, in der Fassung, die gemäß Abschnitt 18 der verbindlichen Klauseln überarbeitet werden kann;
“CCPA” ist der California Consumer Privacy Act, Cal. Civ. Code §§ 1798.100 et seq. einschließlich aller Änderungen und Durchführungsbestimmungen dazu, die am oder nach dem Datum des Inkrafttretens dieser DPA in Kraft treten;
“Persönliche Daten des Kunden” bedeutet die persönlichen Daten, die von Messify im Namen des Kunden oder eines verbundenen Unternehmens des Kunden in Verbindung mit der Bereitstellung der Dienste verarbeitet werden;
“EWR” bezeichnet den Europäischen Wirtschaftsraum;
“GDPR” bezeichnet die Verordnung (EU) 2016/679 (die “EU-DSGVO”) oder, wo anwendbar, die “UK GDPR”, wie sie gemäß Abschnitt 3 des UK European Union (Withdrawal) Act 2018 Teil des Rechts von England und Wales, Schottland und Nordirland ist, oder, wo anwendbar, die entsprechende Bestimmung des Schweizer Datenschutzrechts;
“Obligatorische Klauseln” bedeutet “Teil 2: Obligatorische Klauseln” des Genehmigten Nachtrags;
“Mitgliedstaat” bezeichnet einen Mitgliedstaat des EWR, also einen Mitgliedstaat der Europäischen Union, Island, Norwegen oder Liechtenstein;
“Personenbezogene Daten” sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person oder Vorrichtung beziehen, oder sind anderweitig “personenbezogene Daten”, “persönliche Informationen”, “persönlich identifizierbare Informationen” und ähnliche Begriffe, und diese Begriffe haben die gleiche Bedeutung wie in den geltenden Datenschutzgesetzen definiert;
“Sicherheitsvorfall” bezeichnet eine Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung von oder zum unbefugten Zugriff auf die personenbezogenen Daten des Kunden (einschließlich des unbefugten internen Zugriffs) führt;
“Standardvertragsklauseln” oder “SCCs” bedeutet Modul Zwei (Verantwortlicher zu Auftragsverarbeiter) und/oder Modul Drei (Auftragsverarbeiter zu Auftragsverarbeiter) der Standardvertragsklauseln im Anhang zum Durchführungsbeschluss (EU) 2021/914 der Kommission;
“Unterauftragsverarbeiter” bedeutet Messify Tochtergesellschaften und Drittverarbeiter, die von Messify mit der Verarbeitung von persönlichen Kundendaten beauftragt werden; und
“UK” bedeutet das Vereinigte Königreich von Großbritannien und Nordirland.
1.2 Die Begriffe “für die Verarbeitung Verantwortlicher”, “Auftragsverarbeiter”, “betroffene Person”, “Verarbeitung” und “Aufsichtsbehörde” haben die gleiche Bedeutung wie in der DSGVO.
1.3 Die Begriffe “verkaufen” und “Diensteanbieter” haben die gleiche Bedeutung wie im CCPA festgelegt.
2.1 Diese DPA ergänzt und ersetzt (im Falle von Widersprüchen) die Vereinbarung in Bezug auf die Verarbeitung personenbezogener Kundendaten.
2.2 In Bezug auf die mit dem Kunden verbundenen Unternehmen gewährleistet der Kunde durch den Abschluss der Vereinbarung, dass er ordnungsgemäß bevollmächtigt ist, die DPA für und im Namen dieser mit dem Kunden verbundenen Unternehmen abzuschließen, und vorbehaltlich der Klausel 2.3 ist jedes mit dem Kunden verbundene Unternehmen an die Bedingungen dieser DPA gebunden, als wäre es der Kunde.
2.3 Der Kunde sichert zu, dass er von allen verbundenen Kunden, in deren Namen Messify personenbezogene Daten des Kunden in Übereinstimmung mit dieser DPA verarbeitet, ordnungsgemäß beauftragt ist, (a) die Bedingungen dieser DPA im Namen der verbundenen Kunden durchzusetzen und im Namen der verbundenen Kunden bei der Verwaltung und Durchführung von Ansprüchen, die im Zusammenhang mit dieser DPA entstehen, zu handeln; und (b) alle Mitteilungen oder Nachrichten im Rahmen dieser DPA im Namen der verbundenen Kunden entgegenzunehmen und zu beantworten.
2.4 Die Parteien vereinbaren, dass jede Benachrichtigung oder Mitteilung, die von Messify an den Kunden gesendet wird, jede Verpflichtung erfüllt, eine solche Benachrichtigung oder Mitteilung an ein Kundenmitglied zu senden.
3.1 Die Parteien erkennen an und stimmen zu, dass:
(a) Messify im Sinne der DSGVO als “Auftragsverarbeiter” oder “Unterauftragsverarbeiter” handelt. Die Funktion von Messify als Auftragsverarbeiter oder Unterauftragsverarbeiter wird durch die Funktion des Kunden bestimmt:
(I) Im Allgemeinen fungiert der Kunde als Verantwortlicher, während Messify als Auftragsverarbeiter fungiert.
(II) In bestimmten Fällen fungiert der Kunde als Auftragsverarbeiter im Namen der Kunden des Kunden, wenn der Kunde und der Kunde des Kunden einen Datenverarbeitungsvertrag in Bezug auf die Verarbeitung der persönlichen Daten der Kunden des Kunden abgeschlossen haben; und
(b) Für die Zwecke des CCPA wird Messify bei der Erfüllung seiner Verpflichtungen aus dem Vertrag als “Dienstleister” handeln.
4.1 Die Einzelheiten der Datenverarbeitung (wie Gegenstand, Art und Zweck der Verarbeitung, Kategorien personenbezogener Daten und betroffene Personen) sind in der Vereinbarung und in Anhang 1 beschrieben.
4.2 Die personenbezogenen Daten des Kunden werden nur im Namen und auf Anweisung des Kunden und in Übereinstimmung mit dem geltenden Recht verarbeitet. Der Vertrag und diese DPA sind die Anweisungen des Kunden für die Verarbeitung der personenbezogenen Daten des Kunden.
4.3 Sollten die Anweisungen des Kunden dazu führen, dass Messify personenbezogene Daten des Kunden unter Verletzung geltenden Rechts oder außerhalb des Geltungsbereichs des Vertrags oder der DPA verarbeitet, wird Messify den Kunden unverzüglich darüber informieren, es sei denn, dies ist nach geltendem Recht verboten (unbeschadet der SCCs).
4.4 Messify ist berechtigt, personenbezogene Daten des Kunden durch ein zuverlässiges, dem Stand der Technik entsprechendes Anonymisierungsverfahren zu anonymisieren und solche anonymisierten Daten für eigene Geschäftszwecke zu verwenden, einschließlich für Forschung, Entwicklung neuer Produkte und Dienstleistungen und Sicherheitszwecke.
4.5 Messify darf personenbezogene Daten des Kunden überall dort speichern und verarbeiten, wo Messify oder seine Unterauftragsverarbeiter Einrichtungen unterhalten, vorbehaltlich Ziffer 5 dieser DPA.
5.1 Der Kunde erteilt Messify die allgemeine Erlaubnis, Unterauftragsverarbeiter zu beauftragen, vorbehaltlich Ziffer 5.2, aus einer vereinbarten Liste, sowie Messifys aktuelle Unterauftragsverarbeiter, die zum Datum des Inkrafttretens unter https://messify.io/unterauftragsverarbeiter aufgeführt sind.
5.2 Messify wird (i) mit jedem Unterauftragsverarbeiter einen schriftlichen Vertrag abschließen, der Datenschutzverpflichtungen auferlegt, die die persönlichen Daten des Kunden nicht weniger schützen als die Verpflichtungen von Messify unter dieser DPA, soweit sie auf die Art der von diesem Unterauftragsverarbeiter erbrachten Dienstleistungen anwendbar sind; und (ii) für die Einhaltung der Verpflichtungen unter dieser DPA durch jeden Unterauftragsverarbeiter verantwortlich bleiben.
5.3 Messify wird den Kunden mit einer Frist von mindestens fünfzehn (15) Tagen über alle vorgeschlagenen Änderungen der Unterauftragsverarbeiter, die Messify zur Verarbeitung der personenbezogenen Daten des Kunden einsetzt, informieren (einschließlich der Hinzufügung oder des Ersatzes von Unterauftragsverarbeitern). Der Kunde kann der Nutzung eines neuen Unterauftragsverarbeiters durch Messify widersprechen (auch wenn er sein Widerspruchsrecht gemäß Klausel 9(a) der SCCs ausübt), indem er Messify innerhalb von zehn (10) Tagen, nachdem Messify den Kunden über die vorgeschlagene Änderung informiert hat, eine schriftliche Mitteilung über den Widerspruch zukommen lässt (ein “Widerspruch”). Für den Fall, dass der Kunde Einwände gegen die Nutzung eines neuen Unterauftragsverarbeiters durch Messify erhebt, werden der Kunde und Messify in gutem Glauben zusammenarbeiten, um eine für beide Seiten akzeptable Lösung zu finden, um solche Einwände anzugehen. Sollten die Parteien nicht in der Lage sein, innerhalb eines angemessenen Zeitrahmens eine für beide Seiten akzeptable Lösung zu finden, kann jede Partei als einziges und ausschließliches Rechtsmittel den Vertrag durch schriftliche Mitteilung an die andere Partei kündigen. Während einer solchen Einspruchsfrist kann Messify den betroffenen Teil der Dienste aussetzen.
6.1 Zwischen den Parteien liegt es im alleinigen Ermessen und in der alleinigen Verantwortung des Kunden, auf die von einer Person geltend gemachten Rechte in Bezug auf die persönlichen Daten des Kunden zu reagieren (“Antrag des Betroffenen”).
6.2 Messify wird jede Anfrage eines Betroffenen, die Messify oder ein Unterauftragsverarbeiter von einer Person in Bezug auf die persönlichen Daten des Kunden erhält, unverzüglich an den Kunden weiterleiten und kann der Person raten, ihre Anfrage direkt an den Kunden zu richten.
6.3 Messify wird (unter Berücksichtigung der Art der Verarbeitung der persönlichen Daten des Kunden) dem Kunden eine Selbstbedienungsfunktionalität durch die Dienste oder andere angemessene Unterstützung zur Verfügung stellen, die für den Kunden notwendig ist, um seine Verpflichtung nach geltendem Recht zu erfüllen, auf Anfragen von Betroffenen zu antworten, einschließlich, falls zutreffend, der Verpflichtung des Kunden, auf Anfragen zur Ausübung der Rechte zu antworten, die in der GDPR oder CCPA festgelegt sind. Messify kann dem Kunden eine Gebühr in Rechnung stellen, und der Kunde wird Messify für jede derartige Unterstützung, die über die Bereitstellung von Selbstbedienungsfunktionen, die Teil der Services sind, hinausgeht, entschädigen.
7.1 Messify wird angemessene technische und organisatorische Datenschutz- und Sicherheitsmaßnahmen implementieren und aufrechterhalten, um die Sicherheit der persönlichen Daten des Kunden zu gewährleisten, einschließlich, aber nicht beschränkt auf den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung (einschließlich, aber nicht beschränkt auf die unbefugte oder unrechtmäßige Offenlegung von, den Zugang zu und/oder die Veränderung von persönlichen Daten des Kunden) und vor versehentlichem Verlust, Zerstörung oder Beschädigung der Daten.
7.2 Messify wird als Mindeststandard die Maßnahmen, die in Anhang 2 aufgeführt sind, implementieren und aufrechterhalten. Messify ist berechtigt, die in Anlage 2 aufgeführten Sicherheitsmaßnahmen von Zeit zu Zeit zu aktualisieren oder zu modifizieren, einschließlich (falls zutreffend) nach einer Überprüfung dieser Maßnahmen durch Messify in Übereinstimmung mit Klausel 8.6 der SCCs, vorausgesetzt, dass solche Aktualisierungen und/oder Modifikationen das Gesamtniveau des Schutzes, den Messify den persönlichen Daten des Kunden unter dieser DPA gewährt, nicht verringern.
7.3 Der Kunde oder ein von ihm beauftragter unabhängiger Prüfer, der für Messify akzeptabel ist (dies schließt keine Prüfer ein, die nicht entsprechend qualifiziert oder unabhängig sind oder die ein Konkurrent von Messify sind), kann die Einhaltung der Verpflichtungen von Messify unter dieser DPA
bis zu einmal pro Jahr prüfen, oder häufiger, wenn ein Sicherheitsvorfall aufgetreten ist oder in dem Umfang, der durch anwendbare Datenschutzgesetze vorgeschrieben ist, einschließlich der Fälle, in denen dies von der Aufsichtsbehörde des Kunden oder einer Regierungsbehörde vorgeschrieben ist.
7.4 Um ein Audit zu beantragen, muss der Kunde Messify einen detaillierten Audit-Plan mindestens zwei Wochen vor dem vorgeschlagenen Audit-Datum vorlegen. Messify wird den vorgeschlagenen Audit-Plan überprüfen und mit dem Kunden zusammenarbeiten, um sich auf einen endgültigen Audit-Plan zu einigen. Alle diese Audits müssen während der regulären Geschäftszeiten durchgeführt werden, vorbehaltlich des vereinbarten endgültigen Auditplans und der Gesundheits- und Sicherheitsrichtlinien von Messify oder anderer relevanter Richtlinien, und dürfen die Geschäftsaktivitäten von Messify nicht unangemessen beeinträchtigen. Nichts in dieser Klausel 7.4 verpflichtet Messify zur Verletzung von Vertraulichkeitspflichten.
7.5 Wenn der angeforderte Prüfungsumfang in einem ISO 27001-Zertifikat, einem SOC 2 Typ 2-Bericht oder einem ähnlichen Prüfungsbericht behandelt wird, der von einem qualifizierten externen Prüfer innerhalb von zwölf (12) Monaten nach der Prüfungsanforderung des Kunden durchgeführt wurde, und Messify bestätigt, dass es keine bekannten wesentlichen Änderungen bei den geprüften Kontrollen gibt, erklärt sich der Kunde damit einverstanden, diese Ergebnisse zu akzeptieren, anstatt eine Prüfung der in dem Bericht behandelten Kontrollen anzufordern.
7.6 Der Kunde wird Messify unverzüglich über alle Verstöße informieren, die während eines Audits aufgedeckt werden, und Messify alle Audit-Berichte zur Verfügung stellen, die in Verbindung mit einem Audit erstellt wurden, es sei denn, dies ist durch geltendes Recht verboten oder wird anderweitig von einer Regulierungs- oder Regierungsbehörde angeordnet. Der Kunde darf die Audit-Berichte nur für die Zwecke der Erfüllung der regulatorischen Audit-Anforderungen des Kunden und/oder zur Bestätigung der Einhaltung der Anforderungen dieser DPA verwenden.
7.7 Alle Audits gehen zu Lasten des Kunden. Der Kunde ist verpflichtet, Messify die Zeit zu erstatten, die Messify oder seine Unterauftragsverarbeiter im Zusammenhang mit solchen Audits aufwenden.
7.8 Messify wird seine Unterauftragsverarbeiter regelmäßig überprüfen und auf Anfrage des Kunden bestätigen, dass diese die Datenschutzgesetze und die Verpflichtungen, die den Unterauftragsverarbeitern gemäß dem mit ihnen geschlossenen Datenverarbeitungsvertrag auferlegt wurden, einhalten. Der Kunde kann von Messify nur in begründeten Fällen die Durchführung weiterer Audits verlangen, und in solchen Fällen wird Messify weitere Audits durchführen, soweit dies zulässig ist.
Messify wird den Kunden unverzüglich schriftlich benachrichtigen, wenn ein Verstoß gegen diese DPA, gegen geltendes Recht oder gegen eine Anweisung des Kunden im Zusammenhang mit der Verarbeitung personenbezogener Daten des Kunden unter dieser DPA vorliegt. Ohne die Allgemeingültigkeit des Vorstehenden einzuschränken, wird Messify den Kunden unverzüglich schriftlich benachrichtigen, nachdem sie von einem Sicherheitsvorfall Kenntnis erlangt hat, und in angemessener Weise bei der Untersuchung eines solchen Sicherheitsvorfalls und jeglicher Verpflichtung des Kunden nach geltendem Recht, Benachrichtigungen an Einzelpersonen, Aufsichtsbehörden, staatliche oder andere Regulierungsbehörden oder die Öffentlichkeit in Bezug auf einen solchen Sicherheitsvorfall zu machen, kooperieren. Messify wird angemessene Schritte unternehmen, um jeden Sicherheitsvorfall einzudämmen, zu untersuchen und abzuschwächen, und wird dem Kunden ohne unangemessene Verzögerung Informationen über den Sicherheitsvorfall zukommen lassen, einschließlich, aber nicht beschränkt auf die Art des Sicherheitsvorfalls, die Maßnahmen, die ergriffen wurden, um den Sicherheitsvorfall abzuschwächen oder einzudämmen, und den Status der Untersuchung. Die Benachrichtigung von Messify über einen Sicherheitsvorfall oder die Reaktion auf einen Sicherheitsvorfall gemäß dieser Klausel 8 ist nicht als Anerkenntnis eines Fehlers oder einer Haftung von Messify in Bezug auf den Sicherheitsvorfall auszulegen.
Messify wird innerhalb von 90 Tagen nach Beendigung oder Ablauf der Vereinbarung (a) auf Verlangen des Kunden innerhalb dieses Zeitraums eine Kopie aller persönlichen Daten des Kunden zurückgeben oder eine Selbstbedienungsfunktion bereitstellen, die es dem Kunden ermöglicht, dasselbe zu tun; und (b) alle anderen Kopien der persönlichen Daten des Kunden, die von Messify oder einem Unterauftragsverarbeiter verarbeitet wurden, löschen und alle angemessenen Anstrengungen unternehmen, um die Löschung zu veranlassen.
Diese DPA tritt am Tag des Inkrafttretens in Kraft und bleibt, ungeachtet der Beendigung der Vereinbarung, in Kraft, bis Messify alle persönlichen Daten des Kunden, wie in dieser DPA beschrieben, löscht und automatisch erlischt.
Die Parteien vereinbaren, dass die Bedingungen der Standardvertragsklauseln Modul Zwei (Verantwortlicher an Auftragsverarbeiter) und Modul Drei (Auftragsverarbeiter an Auftragsverarbeiter), wie sie in Anhang 3 dieser DSGVO näher beschrieben sind, hiermit durch Verweis aufgenommen werden und als von den Parteien ausgeführt gelten und für alle Übermittlungen personenbezogener Kundendaten, die in den Anwendungsbereich der DSGVO fallen, vom Kunden (als Datenexporteur) an Messify (als Datenimporteur) gelten.
Messify wird den Kunden in angemessener Weise dabei unterstützen, die Anforderungen an die Übermittlung personenbezogener Daten in Drittländer in Bezug auf betroffene Personen im EWR, in der Schweiz und in Großbritannien zu erfüllen. Auf Anfrage des Kunden wird Messify dem Kunden Informationen zur Verfügung stellen, die für den Kunden angemessen notwendig sind, um eine Transfer-Folgenabschätzung (“TIA”) durchzuführen. Messify verpflichtet sich weiterhin, die in Anhang 4 dieser DPA vereinbarten und dargelegten zusätzlichen Maßnahmen zu ergreifen, um dem Kunden die Einhaltung der Anforderungen zu ermöglichen, die an die Übermittlung von personenbezogenen Daten in Drittländer gestellt werden. Messify kann dem Kunden jegliche Unterstützung durch Messify in Bezug auf TIAs, Datenschutz-Folgenabschätzungen oder Konsultationen mit einer Aufsichtsbehörde des Kunden in Rechnung stellen, und der Kunde wird Messify die Kosten dafür erstatten.
Soweit die Verarbeitung personenbezogener Kundendaten den Datenschutzgesetzen des Vereinigten Königreichs oder der Schweiz unterliegt, gilt der in Anhang 5 aufgeführte britische Zusatz und/oder Schweizer Zusatz (je nach Anwendbarkeit).
14.1 Wenn der Kunde oder mit ihm verbundene Unternehmen Messify persönliche Kundendaten zur Verfügung stellen, die “persönliche Informationen” im Sinne des CCPA sind, wird Messify
(a) in Bezug auf diese persönlichen Daten als Dienstleister handeln;
(b) diese persönlichen Daten ausschließlich zum Zweck der Erbringung der Dienstleistungen oder wie anderweitig unter dem CCPA erlaubt, aufbewahren, nutzen und weitergeben;
(c) die persönlichen Daten des Kunden nicht an andere Unternehmen oder Dritte verkaufen. Ungeachtet des Vorstehenden ist die Weitergabe an Dritte im Zusammenhang mit einer Fusion, einer Übernahme, einem Konkurs oder einer anderen Transaktion in Übereinstimmung mit den Bedingungen der Vereinbarung zulässig; und
(d) dem Kunden angemessene Unterstützung bei der Beantwortung von Anfragen von Verbrauchern gemäß dem CCPA in Bezug auf ihre persönlichen Daten und in Übereinstimmung mit Klausel 6 dieser DPA zu gewähren.
14.2 Messify bestätigt, dass es die vorstehenden Verpflichtungen verstanden hat und diese für die Dauer des Vertrages und solange Messify persönliche Daten des Kunden verarbeitet, einhalten wird.
ABLAUF 1
DETAILS DER VERARBEITUNG
Der Kunde und/oder die mit dem Kunden verbundenen Unternehmen, die in den Ländern des Europäischen Wirtschaftsraums, des Vereinigten Königreichs und/oder der Schweiz tätig sind, und/oder – soweit von den Parteien vereinbart – der Kunde und/oder die mit dem Kunden verbundenen Unternehmen in jedem anderen Land, soweit die DSGVO oder das entsprechende Schweizer Recht Anwendung findet.
Die Position und die Kontaktdaten der Kontaktperson des Kunden und der mit dem Kunden verbundenen Unternehmen sowie (falls ernannt) die Kontaktdaten des Datenschutzbeauftragten und (falls zutreffend) des Vertreters werden Messify vor der Verarbeitung personenbezogener Daten per E-Mail an service@messify.io oder über ein verfügbares Formular, das von Messify im Konto des Kunden in den Services bereitgestellt wird, mitgeteilt.
Die Aktivitäten, die für den Datentransfer unter diesen Klauseln relevant sind, werden durch den Vertrag und den Datenexporteur definiert, der über den Umfang der Verarbeitung von personenbezogenen Daten in Verbindung mit den Services entscheidet, die in diesem Anhang 1 und im Vertrag näher beschrieben sind.
SAHU MEDIA UG & Co. KG Langenbochumer Str. 201, 45701 Herten DE,
Die Kontaktperson des Datenimporteurs kann unter service@messify.io kontaktiert werden.
Die Tätigkeiten des Datenimporteurs, die für die Datenübermittlung gemäß diesen Klauseln relevant sind, sind folgende: Der Datenimporteur verarbeitet personenbezogene Daten, die vom Datenexporteur im Namen des Datenexporteurs im Zusammenhang mit der Erbringung der Dienste für den Datenexporteur bereitgestellt werden, wie in Klausel 7 und 8 dieses Anhangs 1 und im Vertrag näher ausgeführt.
Die Kategorien der betroffenen Personen, deren personenbezogene Daten übermittelt werden: Mitarbeiter des Kunden und der mit dem Kunden verbundenen Unternehmen sowie die Kunden des Kunden und deren Mitarbeiter sowie die einzelnen Empfänger von Marketingmitteilungen und andere Personen, die Ziel anderer Marketingaktivitäten des Kunden und/oder der mit dem Kunden verbundenen Unternehmen oder deren Kunden sind.
Die übertragenen Kategorien von personenbezogenen Daten sind: Bestimmt durch die Konfiguration der Services durch den Kunden und können Name, Telefonnummer, E-Mail-Adresse, Adressdaten, IP-Adresse, Gerätekennungen, Nutzungsdaten (wie z.B. Interaktionen eines Nutzers mit dem Online-System, der Website oder E-Mail von Messify, verwendeter Browser, verwendetes Betriebssystem, Referrer URL) umfassen.
Darüber hinaus können der Kunde und die mit ihm verbundenen Unternehmen im Zusammenhang mit der vertragsgemäßen Nutzung der Services weitere personenbezogene Daten der betroffenen Personen wie oben beschrieben (insbesondere in unstrukturierter Form) erfassen.
Die übertragenen personenbezogenen Daten umfassen die folgenden besonderen Datenkategorien: N/A – Messify’s Nutzungsbedingungen verbietet es dem Kunden, die Dienste zu nutzen, um besondere Datenkategorien zu erfragen, anzuzeigen, zu speichern, zu verarbeiten, zu senden oder zu übertragen.
Die angewandten Beschränkungen oder Schutzmaßnahmen, die die Art der Daten und die damit verbundenen Risiken vollständig berücksichtigen, wie z.B. strikte Zweckbindung, Zugangsbeschränkungen (einschließlich des Zugangs nur für Mitarbeiter, die eine spezielle Ausbildung absolviert haben), Aufzeichnung des Zugangs zu den Daten, Beschränkungen für die Weitergabe oder zusätzliche Sicherheitsmaßnahmen sind: N/A
Die Häufigkeit der Übertragung ist: Die Übertragung wird kontinuierlich durchgeführt und richtet sich nach der Konfiguration der Dienste durch den Kunden.
Gegenstand der Verarbeitung ist: die Bereitstellung einer Datenanalyse- und Marketingautomatisierungsplattform für den Kunden.
Der Zweck/die Zwecke der Datenübermittlung und -weiterverarbeitung ist/sind: die Erbringung der Dienstleistungen für den Kunden gemäß dem Vertrag, damit der Kunde Kundendaten analysieren, seine Kundenbeziehungen verbessern und Marketing- und andere Mitteilungen an seine Kunden senden kann.
Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, nach denen dieser Zeitraum bestimmt wird: Die Dauer ist in Klausel 10 des Datenschutzgesetzes definiert.
Bei Übermittlungen an Unterauftragsverarbeiter sind Gegenstand, Art und Dauer der Verarbeitung anzugeben: wie in Abschnitt 5.1 der DSGVO festgelegt. Die Unterauftragsverarbeiter können während der Laufzeit dieser DPA oder bis zur Beendigung des Dienstleistungsvertrags mit dem jeweiligen Unterauftragsverarbeiter oder bis zum Ausschluss des Zugriffs durch den Unterauftragsverarbeiter gemäß einer Vereinbarung zwischen Messify und dem Kunden Zugang zu den personenbezogenen Daten haben.
Angabe der zuständigen Aufsichtsbehörde(n) gemäß Klausel 13 der SCCs
Wenn der Datenexporteur in einem EU-Mitgliedstaat niedergelassen ist: Die Aufsichtsbehörde des Landes, in dem der Datenexporteur niedergelassen ist, ist die zuständige Behörde.
Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen ist, aber gemäß Artikel 3 Absatz 2 der Datenschutz-Grundverordnung in deren territorialen Anwendungsbereich fällt und einen Vertreter gemäß Artikel 27 Absatz 1 der Datenschutz-Grundverordnung bestellt hat: Die zuständige Aufsichtsbehörde ist diejenige des Mitgliedstaats, in dem der Vertreter niedergelassen ist.
Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen ist, aber in den territorialen Anwendungsbereich der DSGVO gemäß Artikel 3 Absatz 2 fällt, ohne jedoch einen Vertreter gemäß Artikel 27 Absatz 2 der DSGVO benennen zu müssen: Die zuständige Aufsichtsbehörde ist die Aufsichtsbehörde in Deutschland, die BFDI (https://www.bfdi.bund.de/).
ABLAUF 2
TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN
Messify hat die folgenden technischen und organisatorischen Maßnahmen (einschließlich aller relevanten Zertifizierungen) implementiert, um ein angemessenes Sicherheitsniveau zu gewährleisten, das die Art, den Umfang, den Kontext und den Zweck der Verarbeitung sowie die Risiken für die Rechte und Freiheiten natürlicher Personen berücksichtigt:
1) Organisatorisches Management und engagierte Mitarbeiter, die für die Entwicklung, Implementierung und Wartung des Informationssicherheitsprogramms von Messify verantwortlich sind.
2) Audit- und Risikobewertungsverfahren zur regelmäßigen Überprüfung und Bewertung der Risiken für die Organisation von Messify, zur Überwachung und Aufrechterhaltung der Einhaltung der Richtlinien und Verfahren von Messify und zur Berichterstattung über den Zustand der Informationssicherheit und der Einhaltung der Richtlinien an das interne Senior Management.
3) Verwendung von handelsüblichen und branchenüblichen Verschlüsselungstechnologien für persönliche Kundendaten, die:
a) von Messify über öffentliche Netzwerke (d.h. das Internet) oder drahtlos übertragen werden; oder
b) im Ruhezustand oder auf tragbaren oder austauschbaren Medien (z.B. Laptops, CD/DVD, USB-Laufwerke, Backup-Bänder) gespeichert sind.
4) Datensicherheitskontrollen, die mindestens, aber nicht ausschließlich, die logische Trennung von Daten, logische Zugangskontrollen zur Verwaltung des elektronischen Zugangs zu Daten und Systemfunktionen auf der Grundlage von Autoritätsebenen und Arbeitsfunktionen umfassen (z. B. Gewährung des Zugangs auf der Grundlage des Wissensbedarfs und der geringsten Privilegien, Verwendung eindeutiger IDs und Passwörter für alle Benutzer, regelmäßige Überprüfung und unverzügliche Aufhebung/Änderung des Zugangs bei Beendigung des Beschäftigungsverhältnisses oder bei Änderungen der Arbeitsfunktionen).
5) Passwortkontrollen zur Verwaltung und Kontrolle der Passwortstärke, des Ablaufs und der Nutzung, einschließlich des Verbots der gemeinsamen Nutzung von Passwörtern und der Anforderung, dass Messifys Passwörter, die seinen Mitarbeitern zugewiesen werden, (i) mindestens acht (8) Zeichen lang sein müssen, (ii) nicht in lesbarem Format auf den Computersystemen von Messify gespeichert werden dürfen, (iii) eine definierte Komplexität haben müssen, (iv) einen Schwellenwert für die Historie haben müssen, um die Wiederverwendung kürzlich genutzter Passwörter zu verhindern, und (v) neu vergebene Passwörter nach der ersten Nutzung geändert werden müssen.
6) Systemaudit oder Ereignisprotokollierung und damit verbundene Überwachungsverfahren zur proaktiven Aufzeichnung des Benutzerzugriffs und der Systemaktivität zur routinemäßigen Überprüfung.
7) Physische und umgebungsbedingte Sicherheit des Rechenzentrums, der Serverräume und anderer Bereiche, die personenbezogene Daten enthalten, um: (i) Schutz der Informationswerte vor unbefugtem physischen Zugriff, (ii) Verwaltung, Überwachung und Protokollierung der Bewegungen von Personen in und aus den Einrichtungen von Messify und (iii) Schutz vor Umweltgefahren wie Hitze, Feuer und Wasserschäden.
8) Betriebsverfahren und -kontrollen, um die Konfiguration, Überwachung und Wartung von Technologie- und Informationssystemen gemäß den vorgeschriebenen internen und angenommenen Industriestandards zu gewährleisten, einschließlich der sicheren Entsorgung von Systemen und Datenträgern, um alle darin enthaltenen Informationen oder Daten vor der endgültigen Entsorgung oder Freigabe aus dem Besitz von Messify als unentzifferbar oder unwiederbringlich zu machen.
9) Verfahren zur Änderungsverwaltung und Nachverfolgungsmechanismen, um alle Änderungen an Messifys Technologie und Informationswerten zu testen, zu genehmigen und zu überwachen.
10) Verfahren zur Verwaltung von Vorfällen/Problemen, die es Messify ermöglichen, Ereignisse im Zusammenhang mit Messifys Technologie- und Informationsbeständen zu untersuchen, darauf zu reagieren, sie abzumildern und zu melden.
11) Netzwerksicherheitskontrollen, die den Einsatz von Firewall-Systemen, Intrusion-Detection-Systemen und anderen Verfahren zur Korrelation von Datenverkehr und Ereignissen vorsehen, um Systeme vor Eindringlingen zu schützen und den Umfang eines erfolgreichen Angriffs zu begrenzen.
12) Schwachstellenbewertung, Patch-Management und Technologien zum Schutz vor Bedrohungen sowie planmäßige Überwachungsverfahren, die darauf ausgelegt sind, erkannte Sicherheitsbedrohungen, Viren und anderen bösartigen Code zu erkennen, zu bewerten, zu entschärfen und davor zu schützen.
13) Verfahren zur Aufrechterhaltung des Geschäftsbetriebs und zur Wiederherstellung im Katastrophenfall zur Aufrechterhaltung des Dienstes und/oder zur Wiederherstellung in vorhersehbaren Notfallsituationen oder Katastrophen.
ABLAUF 3
STANDARDVERTRAGSKLAUSELN
Für die Zwecke der Standardvertragsklauseln:
1) Modul 2 gilt für die Verarbeitung gemäß Klausel 3.1(a)(i) der DSGVO und Modul 3 gilt für die Verarbeitung gemäß Klausel 3.1(a)(ii) der DSGVO.
2) Klausel 7 der Standardvertragsklauseln (Andockklausel) ist nicht anwendbar.
3) Klausel 9(a) Option 2 (Allgemeine schriftliche Genehmigung) wird gewählt, und die festzulegende Frist ist in Klausel 5.3 der DSGVO festgelegt.
4) Die Option in Klausel 11(a) der Standardvertragsklauseln (Unabhängige Streitbeilegungsstelle) ist nicht anwendbar.
5) In Bezug auf Klausel 17 der Standardvertragsklauseln (Anwendbares Recht) vereinbaren die Parteien, dass die erste Option Anwendung finden soll. Die Parteien vereinbaren, dass das anwendbare Recht das Recht der Republik Irland sein soll.
6) In Klausel 18 der Standardvertragsklauseln (Wahl des Gerichtsstands und der Gerichtsbarkeit) unterwerfen sich die Parteien der Gerichtsbarkeit der Gerichte der Republik Irland.
7) Für die Zwecke von Anhang I der Standardvertragsklauseln enthält Anlage 1 die Angaben zu den Parteien, der Beschreibung der Übermittlung und der zuständigen Aufsichtsbehörde.
8) Für die Zwecke des Anhangs II der Standardvertragsklauseln enthält Anlage 2 die technischen und organisatorischen Maßnahmen.
9) Die Vorgaben für Anhang III der Standardvertragsklauseln ergeben sich aus Ziffer 5.1 der DSGVO. Der Name, die Position und die Kontaktdaten der Kontaktperson des Unterauftragsverarbeiters werden von Messify auf Anfrage mitgeteilt.
ABLAUF 4
ZUSÄTZLICHE ERGÄNZENDE MASSNAHMEN
Messify verpflichtet sich außerdem, zusätzliche Maßnahmen auf der Grundlage der von den EU-Aufsichtsbehörden zur Verfügung gestellten Leitlinien zu ergreifen, um den Schutz der personenbezogenen Daten des Kunden in Bezug auf die Verarbeitung in einem Drittland zu verbessern, wie in diesem Anhang 4 beschrieben.
1.1 Die Übermittlung der personenbezogenen Daten (zwischen den Parteien und durch Messify zwischen den Rechenzentren sowie zu einem Unterauftragsverarbeiter und zurück) erfolgt unter Verwendung einer starken Verschlüsselung.
1.2 Die personenbezogenen Daten werden von Messify unter Verwendung einer starken Verschlüsselung gespeichert.
2.1 Interne Richtlinien für die Steuerung von Übermittlungen, insbesondere mit Unternehmensgruppen
(a) Verabschiedung angemessener interner Richtlinien mit klarer Zuweisung von Zuständigkeiten für Datenübermittlungen, Berichtswegen und Standardarbeitsverfahren für Fälle von formellen oder informellen Anfragen von Behörden nach Zugang zu den Daten.
(b) Entwicklung spezifischer Schulungsverfahren für das Personal, das für die Bearbeitung von Anträgen auf Zugang zu personenbezogenen Daten von Behörden zuständig ist; diese Verfahren sollten regelmäßig aktualisiert werden, um neuen Entwicklungen in der Gesetzgebung und Rechtsprechung in dem Drittland und im EWR Rechnung zu tragen.
2.2 Maßnahmen zur Transparenz und Rechenschaftspflicht
Regelmäßige Veröffentlichung von Transparenzberichten oder Zusammenfassungen über behördliche Ersuchen um Zugang zu Daten und die Art der Beantwortung, soweit die Veröffentlichung nach lokalem Recht zulässig ist.
2.3 Organisatorische Methoden und Maßnahmen zur Datenminimierung
Entwicklung und Umsetzung bewährter Praktiken durch beide Vertragsparteien, um ihre jeweiligen Datenschutzbeauftragten, sofern vorhanden, sowie ihre Rechts- und Innenrevisionsdienste in Angelegenheiten im Zusammenhang mit der internationalen Übermittlung personenbezogener Daten angemessen und rechtzeitig einzubeziehen und ihnen Zugang zu Informationen zu gewähren.
2.4 Sonstiges
Verabschiedung und regelmäßige Überprüfung interner Richtlinien durch Messify, um die Eignung der implementierten ergänzenden Maßnahmen zu bewerten und zusätzliche oder alternative Lösungen zu identifizieren und zu implementieren, wenn dies notwendig ist, um sicherzustellen, dass ein im Wesentlichen gleichwertiges Schutzniveau wie das innerhalb des EWR garantierte für die übermittelten personenbezogenen Daten aufrechterhalten wird.
3 Zusätzliche vertragliche Maßnahmen
3.1 Transparenzverpflichtungen
(a) Messify erklärt, dass (1) Messify nicht absichtlich Hintertüren oder ähnliche Programmierungen geschaffen hat, die für den Zugriff auf das System und/oder personenbezogene Daten verwendet werden könnten, (2) Messify nicht absichtlich seine Geschäftsprozesse in einer Weise geschaffen oder geändert hat, die den Zugriff auf personenbezogene Daten oder Systeme erleichtert, und (3) dass Messify nach nationalem Recht oder staatlicher Politik nicht verpflichtet ist, Hintertüren zu schaffen oder aufrechtzuerhalten oder den Zugriff auf personenbezogene Daten oder Systeme zu erleichtern oder dass Messify im Besitz des Verschlüsselungsschlüssels ist oder diesen aushändigen muss.
(b) Messify wird die Gültigkeit der für den TIA-Fragebogen bereitgestellten Informationen regelmäßig überprüfen und den Kunden im Falle von Änderungen unverzüglich informieren. Klausel 14(e) der SCC bleibt unberührt.
3.2 Verpflichtungen zur Durchführung bestimmter Maßnahmen
Im Falle einer Anordnung zur Weitergabe oder Gewährung des Zugangs zu personenbezogenen Daten verpflichtet sich Messify, die ersuchende Behörde über die Unvereinbarkeit der Anordnung mit den in Artikel 46 GDPR enthaltenen Garantien und den sich daraus ergebenden Konflikt der Verpflichtungen für Messify zu informieren.
3.3 Befähigung der betroffenen Personen, ihre Rechte auszuüben
(a) Messify verpflichtet sich, die betroffene Person in angemessener Weise für alle materiellen und immateriellen Schäden zu entschädigen, die ihr durch die Offenlegung ihrer personenbezogenen Daten entstehen, die im Rahmen des gewählten Übermittlungsinstruments unter Verletzung der darin enthaltenen Verpflichtungen übermittelt wurden.
(b) Ungeachtet des Vorstehenden ist Messify nicht verpflichtet, die betroffene Person zu entschädigen, soweit diese bereits eine Entschädigung für denselben Schaden erhalten hat.
(c) Die Entschädigung ist auf materielle und immaterielle Schäden, wie in der DSGVO vorgesehen, beschränkt und schließt Folgeschäden und alle anderen Schäden, die nicht aus der Verletzung der DSGVO durch Messify resultieren, aus.
4.1 Messify wird den Kunden unverzüglich informieren:
(a) Über jede rechtsverbindliche Anfrage einer Strafverfolgungs- oder anderen Regierungsbehörde (“Öffentliche Behörde”), die vom Kunden mitgeteilten personenbezogenen Daten (“Übermittelte personenbezogene Daten”) offenzulegen; eine solche Benachrichtigung muss Informationen über die angefragten personenbezogenen Daten, die anfragende Behörde, die Rechtsgrundlage für die Anfrage und die gegebene Antwort enthalten. Eine solche Benachrichtigung erfolgt vor der Weitergabe personenbezogener Daten als Reaktion auf solche Ersuchen.
(b) Wenn Messify von einem direkten Zugriff öffentlicher Behörden auf übermittelte personenbezogene Daten in Übereinstimmung mit den Gesetzen des Bestimmungslandes erfährt, muss diese Benachrichtigung alle Messify zur Verfügung stehenden Informationen enthalten.
(c) Sollte es Messify untersagt sein, den Kunden und/oder die betroffene Person zu benachrichtigen, verpflichtet sich Messify, sich nach besten Kräften um eine Aufhebung des Verbots zu bemühen, um so viele Informationen wie möglich und so schnell wie möglich zu übermitteln. Messify verpflichtet sich, seine besten Bemühungen zu dokumentieren, um sie auf Anfrage des Datenexporteurs nachweisen zu können.
4.2 Messify verpflichtet sich, die Rechtmäßigkeit des Ersuchens der Behörde nach den Gesetzen des Bestimmungslandes zu überprüfen, insbesondere ob es im Rahmen der der ersuchenden Behörde eingeräumten Befugnisse bleibt, und alle verfügbaren Rechtsmittel auszuschöpfen, um das Ersuchen anzufechten, wenn Messify nach sorgfältiger Prüfung zu dem Schluss kommt, dass es nach den Gesetzen des Bestimmungslandes Gründe dafür gibt, dies zu tun. Dies schließt Ersuchen gemäß Abschnitt 702 des United States Foreign Intelligence Surveillance Court (“FISA”) ein. Bei der Anfechtung eines Ersuchens wird Messify einstweilige Maßnahmen beantragen, um die Auswirkungen des Ersuchens auszusetzen, bis das Gericht in der Sache entschieden hat. Messify wird die angefragten personenbezogenen Daten nicht offenlegen oder Zugang zu ihnen gewähren, bis es nach den anwendbaren Verfahrensregeln dazu verpflichtet ist, und wird zu diesem Zeitpunkt nur die Mindestmenge an Informationen zur Verfügung stellen, die erforderlich ist, um dem Ersuchen nachzukommen, basierend auf einer angemessenen Auslegung des Ersuchens.
4.3 Messify verpflichtet sich, die Informationen, die zur Einhaltung dieser Anlage 4 erforderlich sind, für die Dauer des Vertrages aufzubewahren und, sofern dies nicht durch geltendes Recht untersagt ist, sie der zuständigen Aufsichtsbehörde auf Anfrage und wenn dies durch geltendes Recht gefordert wird, zur Verfügung zu stellen.
ABLAUF 5
NACHTRAG FÜR DAS VEREINIGTE KÖNIGREICH UND DIE SCHWEIZ
In Bezug auf jegliche Übertragungen von persönlichen Daten des Kunden, die in den Anwendungsbereich der UK GDPR fallen, vom Kunden (als Datenexporteur) an Messify (als Datenimporteur):
1.1 Der genehmigte Nachtrag, wie in dieser Anlage 5 näher ausgeführt, ist Teil dieser DPA, und die Standardvertragsklauseln sind im Lichte der Bestimmungen des genehmigten Nachtrags zu lesen und auszulegen, soweit dies gemäß Klausel 12 der verbindlichen Klauseln erforderlich ist.
1.2 Abweichend von Tabelle 1 des Genehmigten Nachtrags und in Übereinstimmung mit Klausel 16 der Mandatory Clauses sind die Parteien in Anhang 1 Klausel A dieser DPA weiter spezifiziert.
1.3 Die ausgewählten Module und Klauseln, die gemäß Tabelle 2 des Genehmigten Nachtrags festzulegen sind, werden in Anlage 3 dieser DPA in der Fassung der Mandatory Clauses näher bestimmt.
1.4 Anhang 1 A und B der Tabelle 3 des Genehmigten Nachtrags werden durch Anhang 1 dieses DPA spezifiziert, Anhang II des Genehmigten Nachtrags wird durch Anhang 2 dieses DPA weiter spezifiziert, und Anhang III des Genehmigten Nachtrags wird durch Anhang 1 Klausel B.10 dieses DPA weiter spezifiziert.
1.5 Messify (als Datenimporteur) kann diese DPA, soweit der Genehmigte Nachtrag Anwendung findet, in Übereinstimmung mit Klausel 19 der Zwingenden Klauseln beenden.
1.6 Klausel 16 der Mandatory Clauses ist nicht anwendbar.
Wie in Klausel 13 des DSG festgelegt, gilt dieser Schweizer Nachtrag für jede Verarbeitung personenbezogener Kundendaten, die dem Schweizer Datenschutzrecht oder sowohl dem Schweizer Datenschutzrecht als auch der DSGVO unterliegen.
2.1 Auslegung dieses Nachtrags
(a) Wo in diesem Nachtrag Begriffe verwendet werden, die in den Standardvertragsklauseln definiert sind, wie in Anhang 3 dieser DSGVO näher ausgeführt, haben diese Begriffe die gleiche Bedeutung wie in den Standardvertragsklauseln. Darüber hinaus haben die folgenden Begriffe die folgenden Bedeutungen:
”Dieser Nachtrag” bedeutet dieser Nachtrag zu den Klauseln.
”Klauseln” bedeutet die Standardvertragsklauseln, wie in Anhang 3 dieses DPA näher beschrieben.
”Schweizerische Datenschutzgesetze” bedeutet das Schweizerische Bundesgesetz über den Datenschutz vom 19. Juni 1992 und die Schweizerische Verordnung zum Schweizerischen Bundesgesetz über den Datenschutz vom 14. Juni 1993 sowie jede neue oder revidierte Fassung dieser Gesetze, die von Zeit zu Zeit in Kraft treten kann.
(b) Dieser Nachtrag ist im Lichte der Bestimmungen der schweizerischen Datenschutzgesetze zu lesen und auszulegen, und zwar so, dass er die Absicht erfüllt, die angemessenen Garantien gemäß Artikel 46 DSGVO und/oder Artikel 6(2)(a) der schweizerischen Datenschutzgesetze zu bieten, je nachdem.
(c) Dieser Nachtrag darf nicht in einer Weise ausgelegt werden, die im Widerspruch zu den in den schweizerischen Datenschutzgesetzen vorgesehenen Rechten und Pflichten steht.
(d) Jede Bezugnahme auf Rechtsvorschriften (oder spezifische Bestimmungen von Rechtsvorschriften) bezieht sich auf diese Rechtsvorschriften (oder spezifischen Bestimmungen) in ihrer jeweils aktuellen Fassung. Dies gilt auch für den Fall, dass diese Gesetzgebung (oder spezifische Bestimmung) nach Abschluss dieses Nachtrags konsolidiert, wieder in Kraft gesetzt und/oder ersetzt worden ist.
2.2 Hierarchie
Im Falle eines Widerspruchs oder einer Unstimmigkeit zwischen diesem Nachtrag und den Bestimmungen der Klauseln oder anderer damit zusammenhängender Vereinbarungen zwischen den Parteien, die zum Zeitpunkt der Vereinbarung dieses Nachtrags bestehen oder danach abgeschlossen werden, haben die Bestimmungen Vorrang, die den betroffenen Personen den größten Schutz bieten.
2.3 Einbindung der Klauseln
(a) In Bezug auf die Verarbeitung personenbezogener Daten, die den schweizerischen Datenschutzgesetzen oder sowohl den schweizerischen Datenschutzgesetzen als auch der DSGVO unterliegen, ändert dieser Nachtrag das DPA, einschließlich der in Anhang 3 dieses DPA aufgeführten Bestimmungen, in dem Umfang, der erforderlich ist, um sie anzuwenden:
(I) für Übermittlungen durch den Datenexporteur an den Datenimporteur, soweit die schweizerischen Datenschutzgesetze oder die schweizerischen Datenschutzgesetze und die DSGVO auf die Verarbeitung durch den Datenexporteur bei dieser Übermittlung anwendbar sind; und
(II) angemessene Garantien für die Übermittlungen gemäß Artikel 46 der DSGVO und/oder Artikel 6 Absatz 2 Buchstabe a der schweizerischen Datenschutzgesetze vorzusehen, je nach Fall.
(b) Soweit die Verarbeitung personenbezogener Daten ausschließlich den Schweizer Datenschutzgesetzen unterliegt, umfassen die Änderungen des DPA einschließlich der SCCs, wie in Anhang 3 dieses DPA näher ausgeführt und gemäß Klausel 2.1 dieses Schweizer Nachtrags erforderlich, (ohne Einschränkung):
(I) Verweise auf die “Klauseln” oder die “SCCs” bedeuten dieses Swiss Addendum in der Form, in der es die SCCs abändert, und
(II) Klausel 6 Beschreibung der Übertragung(en) wird ersetzt durch:
“Die Einzelheiten der Übermittlung(en), insbesondere die Kategorien personenbezogener Daten, die übermittelt werden, und der Zweck/die Zwecke, zu dem/denen sie übermittelt werden, sind in Anhang 1 dieser DSGVO aufgeführt, wenn die Schweizer Datenschutzgesetze auf die Verarbeitung durch den Datenexporteur bei dieser Übermittlung anwendbar sind.”
(III) Verweise auf “Verordnung (EU) 2016/679” oder “diese Verordnung” oder “DSGVO” werden durch “Schweizer Datenschutzgesetze” ersetzt und Verweise auf bestimmte Artikel der “Verordnung (EU) 2016/679” oder “DSGVO” werden durch die entsprechenden Artikel oder Abschnitte der Schweizer Datenschutzgesetze ersetzt, soweit diese anwendbar sind.
(IV) Verweise auf die Verordnung (EU) 2018/1725 werden gestrichen.
(V) Verweise auf die “Europäische Union”, “Union”, “EU” und “EU-Mitgliedstaat” werden alle durch “Schweiz” ersetzt.
(VI) Klausel 13 Buchstabe a und Teil C des Anhangs I werden nicht verwendet; die “zuständige Aufsichtsbehörde” ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (der “EDÖB”), sofern die Übermittlungen durch Schweizer Datenschutzgesetze geregelt sind;
(VII) Klausel 17 wird durch folgenden Wortlaut ersetzt:
“Diese Klauseln unterliegen dem schweizerischen Recht, soweit die Übermittlungen unter das schweizerische Datenschutzrecht fallen”.
(VIII) Klausel 18 wird durch folgenden Wortlaut ersetzt:
“Alle Streitigkeiten, die sich aus diesen Klauseln in Bezug auf die schweizerischen Datenschutzgesetze ergeben, werden von den Gerichten der Schweiz beigelegt. Eine betroffene Person kann den Datenexporteur und/oder Datenimporteur auch vor den Gerichten der Schweiz verklagen, in denen sie ihren gewöhnlichen Aufenthalt hat. Die Vertragsparteien vereinbaren, sich der Zuständigkeit dieser Gerichte zu unterwerfen.”
Bis zum Inkrafttreten der revidierten schweizerischen Datenschutzgesetze schützen die Klauseln auch Personendaten von juristischen Personen, und juristische Personen erhalten durch die Klauseln denselben Schutz wie natürliche Personen.
2.4 Soweit eine Verarbeitung personenbezogener Daten sowohl den Schweizer Datenschutzgesetzen als auch der DSGVO unterliegt, gilt das DSG einschließlich der Klauseln, wie in Anhang 3 dieses DSG näher ausgeführt, (i) unverändert und (ii) zusätzlich, soweit eine Übermittlung den Schweizer Datenschutzgesetzen unterliegt, in der durch die Klauseln 2.1 und 2.3 dieses Schweizer Nachtrags geänderten Fassung, mit der einzigen Ausnahme, dass Klausel 17 der SCCs nicht ersetzt wird, wie in Klausel 2.3(b)(vii) dieses Schweizer Nachtrags festgelegt.
2.5 Der Kunde garantiert, dass er und/oder mit ihm verbundene Unternehmen dem EDÖB alle nach Schweizer Datenschutzrecht erforderlichen Meldungen gemacht haben.
