BITTE BEACHTE: WIR HABEN DIE NACHSTEHENDEN BEDINGUNGEN IM ZUSAMMENHANG MIT DEN NEUEN VON DER EUROPÄISCHEN KOMMISSION GENEHMIGTEN STANDARDVERTRAGSKLAUSELN MIT WIRKUNG AB 27. SEPTEMBER 2021 VERÖFFENTLICHT

(a) Die vorliegenden Standardvertragsklauseln sollen sicherstellen, dass die Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) (1) bei der Übermittlung personenbezogener Daten in ein Drittland eingehalten werden.

(b) Die Vertragsparteien:

(i) natürliche oder juristische Person(en), Behörde(n), Dienststelle(n) oder sonstige Organe (nachstehend "Rechtsträger" genannt), die personenbezogene Daten übermitteln, wie in Anhang I.A aufgeführt (nachstehend jeweils "Datenexporteur" genannt), und

(ii) die Rechtsträger in einem Drittland, die personenbezogene Daten vom Datenexporteur direkt oder indirekt über einen anderen Rechtsträger erhalten, der ebenfalls Vertragspartei dieser Klauseln ist und in Anhang I.A aufgeführt ist (nachstehend jeweils "Datenimporteur" genannt)

haben diesen Standardvertragsklauseln (im Folgenden: "Klauseln") zugestimmt.

(c) Diese Klauseln gelten in Bezug auf die Übermittlung personenbezogener Daten gemäß Anhang I.B.

(d) Der Anhang zu diesen Klauseln mit den darin genannten Anhängen ist Bestandteil dieser Klauseln.

(a) Die vorliegenden Klauseln sehen angemessene Garantien, einschließlich durchsetzbarer Rechte des Datensubjekts und wirksamer Rechtsbehelfe, gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Paragraph (c) der Verordnung (EU) 2016/679 sowie - in Bezug auf Datenübermittlungen von für die Verarbeitung Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter - Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679 vor, sofern sie nicht geändert werden, mit Ausnahme der Auswahl des/der geeigneten Moduls/Module oder der Ergänzung oder Aktualisierung der Angaben im Anhang. Die Vertragsparteien werden dadurch nicht daran gehindert, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfassenderen Vertrag einzubeziehen und/oder andere Klauseln oder zusätzliche Garantien aufzunehmen, sofern diese nicht direkt oder indirekt im Widerspruch zu diesen Klauseln stehen oder die Grundrechte oder -freiheiten der betroffenen Personen beeinträchtigen.

(b) Diese Klauseln gelten unbeschadet der Verpflichtungen, die für den Datenexporteur aufgrund der Verordnung (EU) 2016/679 gelten.

(a) Die betroffenen Personen können diese Klauseln als Drittbegünstigte gegenüber dem Datenexporteur und/oder Datenimporteur geltend machen und durchsetzen, wobei die folgenden Ausnahmen gelten:

(i) Klausel 1, Klausel 2, Klausel 3, Klausel 6, Klausel 7;

(ii) Klausel 8.1(b), 8.9(a), (c), (d) und (e);

(iii) Klausel 9 – Klausel 9(a), (c), (d) und (e);

(iv) Klausel 12 – Klausel 12(a), (d) und (f);

(v) Klausel 13;

(vi) Klausel 15.1(c), (d) und (e);

(vii) Klausel 16(e);

(viii) Klausel 18 – Klausel 18(a) und (b);

(b) Absatz (a) gilt unbeschadet der Rechte der betroffenen Personen gemäß der Verordnung (EU) 2016/679.

(a) Werden in diesen Klauseln Begriffe aus der Verordnung (EU) 2016/679 verwendet, so haben diese Begriffe dieselbe Bedeutung wie in der genannten Verordnung.

(b) Für die Auslegung dieser Klauseln sind die Bestimmungen der Verordnung (EU) 2016/679 maßgeblich.

(c) Die Auslegung dieser Klauseln darf nicht im Widerspruch zu den Rechten und Pflichten gemäß der Verordnung (EU) 2016/679 stehen.

Sollten diese Klauseln im Widerspruch zu den Bestimmungen verwandter Vereinbarungen zwischen den Vertragsparteien stehen, die zum Zeitpunkt der Vereinbarung dieser Klauseln bestehen oder danach abgeschlossen werden, gelten primär diese Klauseln.

Die Einzelheiten der Datenübertragung(en), insbesondere die Kategorien personenbezogener Daten, die übertragen werden, und der Zweck/die Zwecke, für den/die sie übertragen werden, sind in Anhang I.B aufgeführt.

(a) Ein Rechtsträger, der nicht Vertragspartei dieser Klauseln ist, kann mit Zustimmung der Vertragsparteien diesen Klauseln jederzeit durch Ausfüllen der Anlage und Unterzeichnung von Anhang I.A entweder als Datenexporteur oder als Datenimporteur beitreten.

(b) Sobald der beitretende Rechtsträger die Anlage ausgefüllt und Anhang I.A unterzeichnet hat, wird er Vertragspartei dieser Klauseln und hat die Rechte und Pflichten eines Datenexporteurs oder Datenimporteurs gemäß seiner Bezeichnung in Anhang I.A.

(c) Der beitretende Rechtsträger hat keine Rechte und Pflichten, die sich aus diesen Klauseln aus der Zeit vor seinem Beitritt ergeben.

Der Datenexporteur gewährleistet, dass er angemessene Anstrengungen unternommen hat, um sicherzustellen, dass der Datenimporteur durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen in der Lage ist, seinen Verpflichtungen aus diesen Klauseln nachzukommen.

(a) Der Datenimporteur verarbeitet die personenbezogenen Daten nur auf Grundlage der dokumentierten Anweisungen des Datenexporteurs. Der Datenexporteur kann solche Anweisungen während der gesamten Laufzeit des Vertrags erteilen.

(b) Der Datenimporteur informiert den Datenexporteur unverzüglich darüber, wenn er diesen Anweisungen nicht folgen kann.

Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den/die spezifischen Zweck(e) der Übermittlung gemäß Anhang I.B, es sei denn, der Datenexporteur erteilt weitere Anweisungen.

Auf Anfrage stellt der Datenexporteur dem Datensubjekt kostenlos eine Kopie dieser Klauseln, einschließlich des von den Parteien ausgefüllten Anhangs, zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich der in Anhang II beschriebenen Maßnahmen, und von personenbezogenen Daten erforderlich ist, kann der Datenexporteur Teile des Textes der Anlage zu diesen Klauseln vor der Weitergabe einer Kopie unkenntlich machen, muss jedoch eine aussagekräftige Zusammenfassung bereitstellen, wenn die betroffene Person andernfalls nicht in der Lage wäre, den Inhalt zu verstehen oder ihre Rechte auszuüben. Auf Anfrage stellen die Parteien dem Datensubjekt die Gründe für die Schwärzungen zur Verfügung, soweit dies ohne Offenlegung der geschwärzten Informationen möglich ist. Diese Klausel gilt unbeschadet der Verpflichtungen des Datenexporteurs gemäß den Artikeln 13 und 14 der Verordnung (EU) 2016/679.

Stellt der Datenimporteur fest, dass die von ihm erhaltenen personenbezogenen Daten unrichtig oder veraltet sind, so teilt er dies dem Datenexporteur unverzüglich mit. In diesem Fall arbeitet der Datenimporteur mit dem Datenexporteur zusammen, um die Daten zu löschen oder berichtigen.

Die Verarbeitung durch den Datenimporteur erfolgt nur für die in Anhang I.B angegebene Dauer. Nach dem Ende der Bereitstellung der Verarbeitungsdienstleistungen löscht der Datenimporteur nach Wahl des Datenexporteurs alle im Auftrag des Datenexporteurs verarbeiteten personenbezogenen Daten und bescheinigt dem Datenexporteur, dass er dies getan hat, oder er gibt dem Datenexporteur alle in seinem Auftrag verarbeiteten personenbezogenen Daten zurück und löscht vorhandene Kopien. Bis die Daten gelöscht oder zurückgegeben werden, stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Für den Fall, dass für den Datenimporteur örtliche Gesetze gelten, die die Rückgabe oder Löschung der personenbezogenen Daten verbieten, garantiert der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln gewährleistet und die Daten nur in dem Umfang und so lange verarbeitet, wie es die örtlichen Gesetze vorschreiben. Dies gilt unbeschadet der Klausel 14, insbesondere der Verpflichtung des Datenimporteurs gemäß Klausel 14(e), den Datenexporteur während der gesamten Laufzeit des Vertrags zu benachrichtigen, wenn er Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterliegen wird, die nicht den Anforderungen gemäß Klausel 14(a) entsprechen.

(a) Der Datenimporteur und während der Übermittlung auch der Datenexporteur treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einer Sicherheitsverletzung, die zu einer versehentlichen oder unrechtmäßigen Vernichtung, Verlust, Veränderung, unbefugten Offenlegung oder unberechtigten Zugriff auf diese Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Bewertung des angemessenen Sicherheitsniveaus berücksichtigen die Parteien den Stand der Technik, die Kosten der Implementierung, die Art, den Umfang, den Kontext und den Zweck/die Zwecke der Verarbeitung und die mit der Verarbeitung verbundenen Risiken für die Datensubjekte. Die Parteien berücksichtigen insbesondere die Verwendung von Verschlüsselung oder Pseudonymisierung, auch während der Übertragung, wenn der Zweck der Verarbeitung auf diese Weise erfüllt werden kann. Im Fall der Pseudonymisierung bleiben, soweit möglich, die zusätzlichen Informationen für die Zuordnung der personenbezogenen Daten zu einer bestimmten betroffenen Person unter der ausschließlichen Kontrolle des Datenexporteurs. Bei der Erfüllung seiner Verpflichtungen aus diesem Absatz setzt der Datenimporteur mindestens die in Anhang II festgelegten technischen und organisatorischen Maßnahmen um. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Sicherheitsniveau bieten.

(b) Der Datenimporteur gewährt den Mitgliedern seines Personals nur in dem für die Implementierung, Verwaltung und Überwachung des Vertrags unbedingt erforderlichen Umfang Zugriff auf die personenbezogenen Daten. Er stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten autorisierten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen.

(c) Im Falle einer Verletzung des Schutzes personenbezogener Daten in Bezug auf personenbezogene Daten, die von dem Datenimporteur im Rahmen dieser Klauseln verarbeitet werden, ergreift der Datenimporteur geeignete Maßnahmen, um die Verletzung zu beheben, einschließlich Maßnahmen zur Abschwächung ihrer nachteiligen Auswirkungen. Der Datenimporteur benachrichtigt den Datenexporteur außerdem unverzüglich, nachdem er von der Verletzung Kenntnis erlangt hat. Eine solche Benachrichtigung enthält die Angaben zu einer Kontaktstelle, bei der weitere Informationen eingeholt werden können, eine Beschreibung der Art der Verletzung (einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der Datensubjekte und der betroffenen personenbezogenen Datensätze), ihre wahrscheinlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen, um die Verletzung zu beheben, einschließlich gegebenenfalls Maßnahmen zur Abschwächung ihrer möglichen nachteiligen Auswirkungen. Wenn und soweit es nicht möglich ist, alle Informationen gleichzeitig zur Verfügung zu stellen, enthält die erste Benachrichtigung die zu diesem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, unverzüglich bereitgestellt.

(d) Der Datenimporteur arbeitet mit dem Datenexporteur zusammen und unterstützt ihn, damit der Datenexporteur seinen Verpflichtungen gemäß der Verordnung (EU) 2016/679 nachkommen kann, insbesondere die zuständige Aufsichtsbehörde und die betroffenen Personen zu benachrichtigen, unter Berücksichtigung der Art der Verarbeitung und der dem Datenimporteur zur Verfügung stehenden Informationen.

Wenn die Übertragung personenbezogene Daten umfasst, die die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Mitgliedschaft in einer Gewerkschaft oder genetisch bedingte Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit oder das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten in Bezug auf strafrechtliche Verurteilungen und Straftaten (im Folgenden „sensible Daten“) offenlegen, so wendet der Datenimporteur die in Anhang I.B. beschriebenen spezifischen Einschränkungen und/oder zusätzlichen Sicherheitsvorkehrungen an.

Der Datenimporteur gibt die personenbezogenen Daten nur auf dokumentierte Anweisung des Datenexporteurs an Dritte weiter. Darüber hinaus dürfen die Daten nur dann an einen Dritten außerhalb der Europäischen Union (4) (im selben Land wie der Datenimporteur oder in einem anderen Drittland, im Folgenden „Weiterübermittlung“) weitergegeben werden, wenn der Dritte im Rahmen des entsprechenden Moduls an diese Klauseln gebunden ist oder sich damit einverstanden erklärt, an diese Klauseln gebunden zu sein, oder wenn:

(a) die Weiterübermittlung in ein Land erfolgt, das unter einem Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 fällt, der die Weiterübermittlung abdeckt;

(b) der Dritte anderweitig geeignete Sicherheitsvorkehrungen gemäß den Artikeln 46 oder 47 der Verordnung (EU) 2016/679 in Bezug auf die betreffende Verarbeitung gewährleistet;

(c) die Weiterübermittlung für die Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen bestimmter administrativer, regulatorischer oder gerichtlicher Verfahren erforderlich ist; oder

(d) die Weiterübermittlung erforderlich ist, um lebenswichtige Interessen des Datensubjekts oder einer anderen natürlichen Person zu schützen.

Jede Weiterübermittlung unterliegt der Einhaltung aller anderen Sicherheitsvorkehrungen im Rahmen dieser Klauseln durch den Datenimporteur, insbesondere der Zweckbeschränkung.

(a) Der Datenimporteur befasst sich unverzüglich und angemessen mit Anfragen des Datenexporteurs, die sich auf die Verarbeitung im Rahmen dieser Klauseln beziehen.

(b) Die Parteien können die Einhaltung dieser Klauseln nachweisen. Insbesondere führt der Datenimporteur eine angemessene Dokumentation über die im Namen des Datenexporteurs durchgeführten Verarbeitungstätigkeiten.

(c) Der Datenimporteur stellt dem Datenexporteur alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in diesen Klauseln festgelegten Verpflichtungen nachzuweisen und auf Anfrage des Datenexporteurs in angemessenen Abständen oder wenn es Anzeichen für die Nichteinhaltung gibt, Audits der von diesen Klauseln erfassten Verarbeitungstätigkeiten zu ermöglichen und dazu beizutragen. Bei der Entscheidung über eine Überprüfung oder Audit kann der Datenexporteur die relevanten Zertifizierungen des Datenimporteurs berücksichtigen.

(d) Der Datenexporteur kann entscheiden, die Prüfung selbst durchzuführen oder einen unabhängigen Wirtschaftsprüfer beauftragen. Die Audits können Inspektionen in den Räumlichkeiten oder den physischen Einrichtungen des Datenimporteurs umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.

(e) Die Parteien stellen der zuständigen Aufsichtsbehörde auf Anfrage die in den Absätzen (b) und (c) genannten Informationen, einschließlich der Ergebnisse etwaiger Audits, zur Verfügung.

(a) Der Datenimporteur hat die allgemeine Genehmigung des Datenexporteurs für den Einsatz eines (von) Unterauftragsverarbeiter(n) aus einer vereinbarten Liste. Der Datenimporteur unterrichtet den Datenexporteur mindestens vierzehn Tage im Voraus ausdrücklich und schriftlich über jede beabsichtigte Änderung dieser Liste durch Hinzufügung oder Ersetzung von Unterauftragsverarbeitern, sodass der Datenexporteur genügend Zeit hat, vor der Beauftragung des/der Unterauftragsverarbeiter(s) Einspruch gegen diese Änderungen zu erheben. Der Datenimporteur stellt dem Datenexporteur die Informationen zur Verfügung, die erforderlich sind, um dem Datenexporteur die Ausübung seines Widerspruchsrechts zu ermöglichen.

(b) Wenn der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Namen des Datenexporteurs) beauftragt, erfolgt dies mittels eines schriftlichen Vertrags, der im Wesentlichen die gleichen Datenschutzverpflichtungen vorsieht wie diejenigen, die den Datenimporteur im Rahmen dieser Klauseln binden, einschließlich im Hinblick auf die Rechte der Datensubjekte als Drittbegünstigte. (8) Die Parteien vereinbaren, dass der Datenimporteur durch die Einhaltung dieser Klausel seine Verpflichtungen gemäß Klausel 8.8 erfüllt. Der Datenimporteur stellt sicher, dass der Unterauftragsverarbeiter den Verpflichtungen nachkommt, denen der Datenimporteur gemäß diesen Klauseln unterliegt.

(c) Der Datenimporteur stellt auf Anfrage des Datenexporteurs eine Kopie einer solchen Unterauftragsvereinbarung und alle nachfolgenden Änderungen dem Datenexporteur zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Datenimporteur den Text der Vereinbarung vor der Weitergabe einer Kopie zensieren.

(d) Der Datenimporteur bleibt dem Datenexporteur gegenüber in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters im Rahmen seines Vertrags mit dem Datenimporteur verantwortlich. Der Datenimporteur benachrichtigt den Datenexporteur über jedes Versäumnis des Unterauftragsverarbeiters, seine Verpflichtungen im Rahmen dieses Vertrags zu erfüllen.

(e) Der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigten-Klausel, wonach der Datenexporteur – für den Fall, dass der Datenimporteur faktisch verschwunden, gesetzlich nicht mehr existiert oder insolvent geworden ist – das Recht hat, den Unterauftragsvertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

(a) Der Datenimporteur benachrichtigt den Datenexporteur unverzüglich über jede Anfrage, die er von einem Datensubjekt erhalten hat. Er antwortet nicht selbst auf diese Anfrage, es sei denn, er wurde vom Datenexporteur dazu autorisiert.

(b) Der Datenimporteur unterstützt den Datenexporteur bei der Erfüllung seiner Verpflichtungen zur Beantwortung der Anfragen von Datensubjekten auf Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679. In dieser Hinsicht legen die Parteien in Anhang II die geeigneten technischen und organisatorischen Maßnahmen unter Berücksichtigung der Art der Verarbeitung fest, mit denen die Unterstützung geleistet wird, sowie den Umfang und das Ausmaß der erforderlichen Unterstützung.

(c) Bei der Erfüllung seiner Verpflichtungen gemäß den Absätzen (a) und (b) befolgt der Datenimporteur die Anweisungen des Datenexporteurs.

(a) Der Datenimporteur informiert die Datensubjekte in einem transparenten und leicht zugänglichen Format durch eine individuelle Mitteilung oder auf seiner Website über eine Kontaktstelle, die für die Bearbeitung von Beschwerden zuständig ist. Er befasst sich unverzüglich mit allen Beschwerden, die er von einem Datensubjekt erhält.

(b) Im Falle einer Streitigkeit zwischen einem Datensubjekt und einer der Parteien in Bezug auf die Einhaltung dieser Klauseln, wird sich diese Partei nach besten Kräften bemühen, das Problem rechtzeitig auf gütliche Weise zu lösen. Die Parteien halten sich gegenseitig über solche Streitigkeiten auf dem Laufenden und arbeiten gegebenenfalls bei deren Beilegung zusammen.

(c) Wenn das Datensubjekt sich auf ein Recht eines Drittbegünstigten gemäß Klausel 3 beruft, akzeptiert der Datenimporteur die Entscheidung des Datensubjekts, um:

(i) eine Beschwerde bei der Aufsichtsbehörde in dem Mitgliedstaat seines/ihres gewöhnlichen Aufenthaltsorts oder Arbeitsorts oder der gemäß Klausel 13 zuständigen Aufsichtsbehörde einzureichen;

(ii) die Streitigkeit an die zuständigen Gerichte im Sinne der Klausel 18 zu verweisen.

(d) Die Parteien akzeptieren, dass das Datensubjekt durch eine gemeinnützige Einrichtung, Organisation oder Vereinigung unter den in Artikel 80 Absatz 1 der Verordnung (EU) 2016/679 festgelegten Bedingungen vertreten werden kann.

(e) Der Datenimporteur hält sich an eine Entscheidung, die nach dem geltenden Recht der EU oder der Mitgliedstaaten verbindlich ist.

(f) Der Datenimporteur erklärt sich damit einverstanden, dass die vom Datensubjekt getroffene Wahl seine/ihre materiellen und verfahrenstechnischen Rechte nicht beeinträchtigt, Abhilfemaßnahmen gemäß den geltenden Gesetzen zu ergreifen.

(a) Jede Partei haftet gegenüber der/den anderen Partei(en) für jegliche Schäden, die sie der/den anderen Partei(en) durch eine Verletzung dieser Klauseln verursacht.

(b) Der Datenimporteur haftet dem Datensubjekt gegenüber und das Datensubjekt hat Anspruch auf Entschädigung, für alle materiellen oder immateriellen Schäden, die der Datenimporteur oder sein Unterauftragsverarbeiter dem Datensubjekt durch eine Verletzung der Rechte eines Drittbegünstigten im Rahmen dieser Klauseln verursacht.

(c) Ungeachtet des Absatzes (b) haftet der Datenexporteur dem Datensubjekt gegenüber und das Datensubjekt hat Anspruch auf Entschädigung, für alle materiellen oder immateriellen Schäden, die der Datenexporteur oder der Datenimporteur (oder sein Unterauftragsverarbeiter) dem Datensubjekt durch eine Verletzung der Rechte eines Drittbegünstigten im Rahmen dieser Klauseln verursacht. Dies gilt unbeschadet der Haftung des Datenexporteurs, und, wenn der Datenexporteur ein im Namen eines Datenverantwortlichen handelnder Auftragsverarbeiter ist, der Haftung des Datenverantwortlichen gemäß der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725, soweit zutreffend.

(d) Die Parteien vereinbaren, dass der Datenexporteur für den Fall, dass er gemäß Absatz (c) für einen vom Datenimporteur (oder seinem Unterauftragsverarbeiter) verursachten Schaden haftbar gemacht wird, berechtigt ist, vom Datenimporteur den Teil der Entschädigung zurückzufordern, der der Verantwortung des Datenimporteurs für den Schaden entspricht.

(e) Ist mehr als eine Partei für einen Schaden verantwortlich, der dem Datensubjekt infolge einer Verletzung dieser Klauseln zugefügt wird, haften alle verantwortlichen Parteien gesamtschuldnerisch und das Datensubjekt ist berechtigt, gegen jede dieser Parteien gerichtlich vorzugehen.

(f) Die Parteien vereinbaren, dass eine Partei, die gemäß Absatz (e) haftbar gemacht wird, berechtigt ist, von der/den anderen Partei(en) den Teil der Entschädigung zurückzufordern, der ihrer Verantwortung für den Schaden entspricht.

(g) Der Datenimporteur kann sich nicht auf das Verhalten eines Unterauftragsverarbeiters berufen, um seine eigene Haftung zu umgehen.

(a) Die Parteien vereinbaren, dass die Aufsichtsbehörde, die für die Einhaltung der Verordnung (EU) 2016/679 durch den Datenexporteur in Bezug auf die Datenübermittlung zuständig ist, die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens) ist, die als zuständige Aufsichtsbehörde fungiert.

(b) Der Datenimporteur erklärt sich damit einverstanden, sich der Zuständigkeit der zuständigen Aufsichtsbehörde zu unterwerfen und mit ihr bei allen Verfahren zusammenzuarbeiten, die darauf abzielen, die Einhaltung dieser Klauseln zu gewährleisten. Der Datenimporteur erklärt sich insbesondere damit einverstanden, auf Anfragen zu antworten, sich Audits zu unterziehen und die von der Aufsichtsbehörde erlassenen Maßnahmen, einschließlich Abhilfe- und Ausgleichsmaßnahmen, zu befolgen. Er legt der Aufsichtsbehörde eine schriftliche Bestätigung vor, dass die notwendigen Maßnahmen ergriffen wurden.

(a) Die Parteien garantieren, dass sie keinen Grund zu der Annahme haben, dass die für die Verarbeitung der personenbezogenen Daten durch den Datenimporteur geltenden Gesetze und Praktiken im Bestimmungsdrittland, einschließlich aller Anforderungen an die Offenlegung personenbezogener Daten oder Maßnahmen, die den Zugriff durch öffentliche Behörden genehmigen, den Datenimporteur daran hindern, seinen Verpflichtungen aus diesen Klauseln nachzukommen. Dies basiert auf der Erkenntnis, dass Gesetze und Praktiken, die den Wesensgehalt der Grundrechte und Grundfreiheiten achten und nicht über das hinausgehen, was in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 genannten Ziele zu schützen, nicht im Widerspruch zu diesen Klauseln stehen.

(b) Die Parteien erklären, dass sie bei der Gewährleistung der Garantie in Absatz (a) insbesondere die folgenden Elemente gebührend berücksichtigt haben:

(i) die spezifischen Umstände der Übertragung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der genutzten Übertragungskanäle; beabsichtigte Weiterleitungen; die Art des Empfängers; der Zweck der Verarbeitung; die Kategorien und das Format der übermittelten personenbezogenen Daten; der Wirtschaftssektor, in dem die Übertragung erfolgt; der Speicherort der übertragenen Daten;

(ii) die Gesetze und Praktiken des Bestimmungsdrittlandes – einschließlich derjenigen, die die Offenlegung der Daten an öffentliche Behörden vorschreiben oder den Zugriff solcher Behörden genehmigen – die angesichts der spezifischen Umstände der Übermittlung und der anwendbaren Beschränkungen und Sicherheitsvorkehrungen relevant sind (12);

(iii) alle relevanten vertraglichen, technischen oder organisatorischen Sicherheitsvorkehrungen, die zur Ergänzung der Sicherheitsvorkehrungen gemäß diesen Klauseln getroffen werden, einschließlich der während der Übertragung und der Verarbeitung der personenbezogenen Daten im Bestimmungsland angewandten Maßnahmen.

(c) Der Datenimporteur garantiert, dass er sich bei der Durchführung der Bewertung gemäß Absatz (b) nach besten Kräften bemüht hat, dem Datenexporteur die relevanten Informationen zur Verfügung zu stellen, und er stimmt zu, dass er weiterhin mit dem Datenexporteur zusammenarbeiten wird, um die Einhaltung dieser Klauseln sicherzustellen.

(d) Die Parteien vereinbaren, die Bewertung gemäß Absatz (b) zu dokumentieren und der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

(e) Der Datenimporteur erklärt sich damit einverstanden, den Datenexporteur unverzüglich zu benachrichtigen, wenn er nach der Zustimmung zu diesen Klauseln und für die Dauer des Vertrags Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt, die nicht den Anforderungen unter Absatz (a) entsprechen, einschließlich einer Änderung der Gesetze des Drittlandes oder einer Maßnahme (wie einer Offenlegungsanfrage), die eine Anwendung solcher Gesetze in der Praxis anzeigt, die nicht den Anforderungen unter Absatz (a) entspricht.

(f) Nach einer Benachrichtigung gemäß Absatz (e) oder wenn der Datenexporteur anderweitig Grund zu der Annahme hat, dass der Datenimporteur seinen Verpflichtungen aus diesen Klauseln nicht mehr nachkommen kann, identifiziert der Datenexporteur unverzüglich geeignete Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit), die der Datenexporteur bzw. Datenimporteur zur Behebung der Situation ergreifen muss. Der Datenexporteur setzt die Datenübertragung aus, wenn er der Ansicht ist, dass keine geeigneten Sicherheitsvorkehrungen für eine solche Übertragung gewährleistet werden können, oder wenn er von der zuständigen Aufsichtsbehörde dazu angewiesen wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, sofern es die Verarbeitung der personenbezogenen Daten im Rahmen dieser Klauseln betrifft. Wenn der Vertrag mehr als zwei Parteien umfasst, kann der Datenexporteur dieses Recht zur Kündigung nur in Bezug auf die betreffende Partei ausüben, es sei denn, die Parteien haben etwas anderes vereinbart. Wenn der Vertrag gemäß dieser Klausel gekündigt wird, gilt Klausel 16(d) und (e).

(a) Der Datenimporteur erklärt sich damit einverstanden, den Datenexporteur und soweit möglich das Datensubjekt unverzüglich (falls erforderlich mithilfe des Datenexporteurs) zu benachrichtigen, wenn er:

(i) eine rechtsverbindliche Anfrage einer öffentlichen Behörde, einschließlich der Justizbehörden, nach den Gesetzen des Bestimmungslandes für die Offenlegung der gemäß diesen Klauseln übermittelten personenbezogenen Daten erhält; eine solche Benachrichtigung umfasst Informationen über die angeforderten personenbezogenen Daten, die anfragende Behörde, die Rechtsgrundlage für die Anfrage und die bereitgestellte Antwort; oder

(ii) Kenntnis von jeglichem direkten Zugriff öffentlicher Behörden auf die gemäß diesen Klauseln übermittelten personenbezogenen Daten in Übereinstimmung mit den Gesetzen des Bestimmungslandes erlangt; eine solche Benachrichtigung umfasst alle dem Importeur zur Verfügung stehenden Informationen.

(b) Wenn es dem Datenimporteur nach den Gesetzen des Bestimmungslandes verboten ist, den Datenexporteur und/oder das Datensubjekt zu benachrichtigen, erklärt sich der Datenimporteur damit einverstanden, sich nach besten Kräften zu bemühen, einen Verzicht auf das Verbot zu erwirken, um so schnell wie möglich so viele Informationen wie möglich zu kommunizieren. Der Datenimporteur erklärt sich damit einverstanden, seine besten Bemühungen zu dokumentieren, um sie auf Anfrage des Datenexporteurs nachweisen zu können.

(c) Wo dies nach den Gesetzen des Bestimmungslandes zulässig ist, erklärt sich der Datenimporteur damit einverstanden, dem Datenexporteur in regelmäßigen Abständen für die Dauer des Vertrags so viele relevante Informationen wie möglich über die eingegangenen Anfragen zur Verfügung zu stellen (insbesondere Anzahl der Anfragen, Art der angeforderten Daten, anfragende Behörden, ob Anfragen angefochten wurden und das Ergebnis solcher Herausforderungen, usw.).

(d) Der Datenimporteur erklärt sich damit einverstanden, die Informationen gemäß den Absätzen (a) bis (c) für die Dauer des Vertrags zu speichern und der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

(e) Die Absätze (a) bis (c) gelten unbeschadet der Verpflichtung des Datenimporteurs gemäß Klausel 14(e) und Klausel 16, den Datenexporteur unverzüglich zu informieren, wenn er nicht in der Lage ist, diesen Klauseln nachzukommen.

(a) Der Datenimporteur erklärt sich damit einverstanden, die Rechtmäßigkeit der Offenlegungsanfrage zu überprüfen, insbesondere ob sie im Rahmen der der anfragenden öffentlichen Behörde zugewiesenen Befugnisse verbleibt, und die Anfrage anzufechten, wenn er nach sorgfältiger Bewertung zu dem Schluss gelangt, dass es berechtigte Gründe zu der Annahme gibt, dass die Anfrage nach den Gesetzen des Bestimmungslandes, den geltenden Verpflichtungen nach dem Völkerrecht und den Prinzipien der internationalen Gemeinschaft rechtswidrig ist. Der Datenimporteur verfolgt unter den gleichen Bedingungen die Einspruchsmöglichkeiten. Wenn der Datenimporteur eine Anfrage anfechtet, ergreift er einstweilige Maßnahmen mit dem Ziel, die Auswirkungen der Anfrage auszusetzen, bis die zuständige Justizbehörde nach Sachlage entschieden hat. Er legt die angeforderten personenbezogenen Daten nicht offen, bis es gemäß den geltenden Verfahrensregeln erforderlich ist. Diese Anforderungen gelten unbeschadet der Verpflichtungen des Datenimporteurs gemäß Klausel 14(e).

(b) Der Datenimporteur erklärt sich damit einverstanden, seine rechtliche Bewertung und jede Anfechtung der Offenlegungsanfrage zu dokumentieren und die Dokumentation dem Datenexporteur im nach den Gesetzen des Bestimmungslandes zulässigen Umfang zur Verfügung zu stellen. Er stellt sie auch der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung.

(c) Der Datenimporteur erklärt sich damit einverstanden, bei der Beantwortung einer Offenlegungsanfrage die zulässigen Mindestinformationen zur Verfügung zu stellen, die auf einer angemessenen Auslegung der Anfrage beruhen.

(a) Der Datenimporteur informiert den Datenexporteur unverzüglich, wenn er diese Klauseln, aus welchen Gründen auch immer, nicht einhalten kann.

(b) Für den Fall, dass der Datenimporteur gegen diese Klauseln verstößt oder diese nicht einhalten kann, setzt der Datenexporteur die Übertragung der personenbezogenen Daten an den Datenimporteur aus, bis die Einhaltung wieder gewährleistet ist oder der Vertrag gekündigt wird. Dies gilt unbeschadet der Klausel 14(f).

(c) Der Datenexporteur ist berechtigt, den Vertrag, soweit er die Verarbeitung personenbezogener Daten nach diesen Klauseln betrifft, zu kündigen, wenn:

(i) der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Paragraph (b) ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wird;

(ii) der Datenimporteur in erheblichem Maße oder anhaltend gegen diese Klauseln verstößt; oder

(iii) der Datenimporteur einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer Aufsichtsbehörde in Bezug auf seine Verpflichtungen nach diesen Klauseln nicht nachkommt.

In diesen Fällen unterrichtet er die zuständige Aufsichtsbehörde über eine solche Nichteinhaltung. Soweit der Vertrag mehr als zwei Parteien betrifft und sofern die Vertragsparteien nichts Anderweitiges vereinbart haben, kann der Datenexporteur dieses Kündigungsrecht nur gegenüber der betreffenden Partei ausüben.

(d) Personenbezogene Daten, die vor der Beendigung des Vertragsverhältnisses gemäß Paragraph (c) übermittelt wurden, werden nach dem Ermessen des Datenexporteurs unverzüglich an den Datenexporteur zurückgesandt oder in ihrer Gesamtheit gelöscht. Gleiches gilt für etwaige Kopien der Daten. Der Datenimporteur bestätigt dem Datenexporteur die Löschung der Daten. Bis die Daten gelöscht oder zurückgegeben werden, stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Sollten für den Datenimporteur lokale Rechtsvorschriften gelten, die die Rückgabe oder Löschung der übermittelten personenbezogenen Daten untersagen, versichert der Datenimporteur, dass er die Einhaltung dieser Klauseln weiterhin gewährleisten und die Daten nur in dem Maße und so lange verarbeiten wird, wie dies nach den lokalen Rechtsvorschriften erforderlich ist.

(e) Beide Vertragsparteien können ihr Einverständnis, durch diese Klauseln gebunden zu sein, widerrufen, sofern (i) die Europäische Kommission einen Beschluss gemäß Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 erlässt, der die Übermittlung personenbezogener Daten betrifft, für die diese Klauseln gelten; oder (ii) die Verordnung (EU) 2016/679 Teil des Rechtsrahmens des Landes wird, in das die personenbezogenen Daten übermittelt werden. Dies gilt unbeschadet anderer Verpflichtungen, die für die betreffende Verarbeitung gemäß der Verordnung (EU) 2016/679 gelten.

Diese Klauseln gelten nach dem Recht des EU-Mitgliedstaats, in dem der Datenexporteur ansässig ist. Sind nach diesem Recht Drittbegünstigungsrechte unzulässig, gelten sie nach dem Recht eines anderen EU-Mitgliedstaats, das Drittbegünstigungsrechte vorsieht. Die Vertragsparteien stimmen zu, dass dies das Recht der Niederlande sein soll.

(a) Alle Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten eines EU-Mitgliedstaates entschieden.

(b) Die Vertragsparteien vereinbaren, dass dies die Gerichte der Niederlande sind.

(c) Eine betroffene Person kann den Datenexporteur und/oder Datenimporteur auch vor den Gerichten des Mitgliedstaats verklagen, in dem er/sie seinen/ihren gewöhnlichen Aufenthalt hat.

(d) Die Vertragsparteien erklären sich damit einverstanden, sich der Zuständigkeit dieser Gerichte zu unterwerfen.

Die Informationen in den Anhängen I und II findest du in den Anhängen 1 und 2 der Datenverarbeitungsvereinbarung.