Ergänzungsvereinbarung zur Datenverarbeitung

Begriffe der DatenverarbeitungBegriffsbestimmungen zur Datenverarbeitung

1. Definitionen. Alle in Großbuchstaben geschriebenen Begriffe, die in diesem Dokument verwendet, jedoch nicht anderweitig definiert werden, haben die in diesem Abschnitt 1 (Begriffsbestimmungen) oder in der zugrunde liegenden Vereinbarung festgelegte Bedeutung.

   
   (A) „Datenschutzrecht“ bezeichnet, je nach Anwendbarkeit: (i) die Verordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (die „EU-DSGVO“); (ii) die EU-DSGVO, wie sie durch den UK European Union (Withdrawal) Act 2018 in nationales britisches Recht überführt wurde, sowie die gemäß diesem Gesetz anwendbaren Bestimmungen (die „UK-DSGVO“); (iii) das Bundesgesetz über den Datenschutz vom 19. Juni 1992 (Schweiz) (das „Schweizer DSG“); (iv) einschlägige Gesetze einzelner US-Bundesstaaten, die die Verarbeitung personenbezogener Daten regeln, einschließlich des California Consumer Privacy Act von 2018 („CCPA“), in der Fassung des California Privacy Rights Act von 2020 („CPRA“); und/oder (v) das kanadische Gesetz 25 anwendbare kanadische Datenschutzgesetze.
   
   (B) „EWR“ bezeichnet den Europäischen Wirtschaftsraum.
   
   (C) „EU“ bezeichnet die Europäische Union.
   
   (D) „Standardvertragsklauseln“ oder „SCCs“ bezeichnet die Klauseln im Anhang des Durchführungsbeschlusses (EU) 2021/914 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, welche online unter https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32021D0914&from=DE abrufbar sind.
   
   (E) „Übermittlung“ bezeichnet die Offenlegung, Bereitstellung oder sonstige Zugänglichmachung personenbezogener Daten an einen Dritten, einschließlich, aber nicht beschränkt auf die Offenlegung durch physische Übertragung der personenbezogenen Daten an diesen Dritten oder durch Ermöglichung des Zugriffs auf die personenbezogenen Daten auf andere Weise.
   
   (F) „VK“ bezeichnet das Vereinigte Königreich.
   
   (G) Die Begriffe „Verantwortlicher“, „betroffene Person“, „personenbezogene Daten“, „personenbezogene Informationen“, „Verletzung des Schutzes personenbezogener Daten“, „Verarbeitung“ und „Auftragsverarbeiter“ haben jeweils die im geltenden Datenschutzrecht festgelegte Bedeutung.

2. Rollen der Parteien: Die Parteien stimmen überein, dass der Sponsor für die Zwecke aller anwendbaren Datenschutzgesetze als Verantwortlicher (oder gegebenenfalls als Auftragsverarbeiter) für die Verarbeitung personenbezogener Daten fungiert, während Extu als Auftragsverarbeiter personenbezogener Daten agiert.für die Verarbeitung personenbezogener Daten (oder gegebenenfalls als Auftragsverarbeiter) fungiert, während Extu als Auftragsverarbeiter personenbezogener Daten agiert. Jede Partei ist verpflichtet, die auf sie anwendbaren datenschutzrechtlichen Verpflichtungen im Zusammenhang mit dieser DPA und der Verarbeitung personenbezogener Daten zu erfüllen.

3. Verarbeitung personenbezogener Daten: Extu wird personenbezogene Daten ausschließlich wie folgt verarbeiten: (a) soweit dies zur Erfüllung seiner Pflichten aus der Vereinbarung erforderlich istsoweit dies zur Erfüllung seiner vertraglichen Pflichten erforderlich ist; (b) in Übereinstimmung mit dem Vertrag, dieser DPA und den weiteren dokumentierten Weisungen des Sponsors, wie in Abschnitt 4 (Weisungen) unten dargelegtin Abschnitt 4 (Weisungen) unten beschrieben; und (c) soweit dies zur Einhaltung der anwendbaren gesetzlichen Bestimmungen erforderlich ist. Die Einzelheiten der Verarbeitung personenbezogener Daten (einschließlich des Gegenstands und der Dauer der Verarbeitung, der Art und des Zwecks der Verarbeitung, der Art der personenbezogenen Daten sowie der Kategorien betroffener Personen) sind in Anlage A zu dieser Vereinbarung dargelegt.

4. Weisungen: Extu verarbeitet personenbezogene Daten in Übereinstimmung mit den dokumentierten, rechtmäßigen Weisungen des Sponsors, wie sie in der Vereinbarung und dieser DPA festgelegt sind, einschließlich Weisungen in Bezug auf Datenübermittlungen. Der Sponsor erkennt an, dass Extu nur solche personenbezogenen Daten erhebt, die vom Sponsor ausdrücklich angefordert und genehmigt wurden. Der Sponsor kann Extu schriftlich zusätzliche Weisungen in Bezug auf die Verarbeitung personenbezogener Daten im Einklang mit dem Datenschutzrecht erteilen. Extu wird solche angemessenen, rechtmäßigen und dokumentierten zusätzlichen Weisungen des Sponsors befolgen, es sei denn, diese erweitern den Leistungsumfang von Extu gemäß der Vereinbarungdem Vertrag. In diesem Fall behält sich Extu das Recht vor, dem Sponsor zusätzliche Gebühren in Rechnung zu stellen. Sofern nicht durch geltendes Recht untersagt, wird Extu den Sponsor darüber informieren, wenn nach Extus angemessener Auffassung eine Weisung des Sponsors gegen geltendes Datenschutzrecht verstößt.

5. Anfragen von betroffenen Personen: Erhält Extu eine Anfrage von einer betroffenen Person, die sich auf die personenbezogenen Daten des Sponsors bezieht und den Sponsor identifiziert, wird Extu die betroffene Person unverzüglich anweisen, die Anfrage direkt an den Sponsor zu richten. Extu wird den Sponsor durch angemessene technische und organisatorische Maßnahmen und unter Berücksichtigung der Art der Verarbeitung dabei unterstützen, seinen Verpflichtungen zur Beantwortung von Anfragen betroffener Personen zur Ausübung ihrer Rechte nach geltendem Datenschutzrecht nachzukommen, einschließlich ihrer Rechte auf Auskunft, Berichtigung, Widerspruch, Löschung und Datenübertragbarkeit.

6. Zusätzliche Unterstützung: Unter Berücksichtigung der Art der Verarbeitung und der Extu zur Verfügung stehenden Informationen wird Extu den Sponsor in angemessener Weise bei der Erfüllung seiner Pflichten in folgenden Bereichen unterstützen: (a) Sicherstellung der SicherheitGewährleistung der Sicherheit der personenbezogenen Daten; (b) Reaktion auf Datenschutzverletzungen, wie in Abschnitt 11 (Verletzung des Schutzes personenbezogener Daten) beschrieben; undReaktion auf Verletzungen des Schutzes personenbezogener Daten, wie in Abschnitt 11 (Verletzung des Schutzes personenbezogener Daten) beschrieben; und (c) Durchführung von Datenschutz-Folgenabschätzungen sowie damit verbundenen Konsultationen mit Datenschutzbehörden.

7. Einsatz von Unterauftragsverarbeitern: Der Sponsor erteilt Extu hiermit eine allgemeine schriftliche Ermächtigung zur Beauftragung von Unterauftragsverarbeitern, die personenbezogene Daten des Sponsors im Zusammenhang mit den von Extu gemäß der Vereinbarung erbrachten Leistungen verarbeiten (jeweils ein „Unterauftragsverarbeiter“). Insbesondere darf Extu die zum Zeitpunkt des Inkrafttretens dieser DPA bereits beauftragten Unterauftragsverarbeiter weiterhin einsetzen. Eine Liste dieser Unterauftragsverarbeiter ist unter https://extu.com/legal/subprocessors/ (die „Unterauftragsverarbeiter-Website“) verfügbar. Mindestens dreißig (30) Tage vor der Ernennung eines neuen Unterauftragsverarbeiters, der die personenbezogenen Daten des Sponsors im Rahmen der von Extu gemäß der Vereinbarung erbrachten Leistungen verarbeitet, wird Extu den Sponsor über die beabsichtigte Ernennung informieren, indem es die auf der Unterauftragsverarbeiter-Website verfügbare Liste aktualisiert. Widerspricht der Sponsor nicht innerhalb von zehn (10) Arbeitstagen, gilt der neue Unterauftragsverarbeiter als genehmigt. Erhebt der Sponsor innerhalb dieser Frist einen Einspruch, werden sich die Parteien nach Treu und Glauben bemühen, diesen Einspruch innerhalb einer angemessenen Frist zu klären. Sollte eine Klärung innerhalb einer angemessenen Frist nicht möglich sein, kann der Sponsor die Vereinbarung und diese DPA durch schriftliche Mitteilung an Extu kündigen. Bevor Extu einem Unterauftragsverarbeiter die Verarbeitung personenbezogener Daten des Sponsors, gestattet, wird Extu eine schriftliche Vereinbarung mit diesem Unterauftragsverarbeiter abschließen, die in Bezug auf die Verarbeitung personenbezogener Daten nicht weniger restriktiv ist als diese DPA. Extu bleibt für jede Handlung oder Unterlassung eines solchen Unterauftragsverarbeiters in Bezug auf die personenbezogenen Daten verantwortlich und haftbar, als ob diese Handlung oder Unterlassung von Extu selbst vorgenommen worden wäre.

8. Übermittlungen:

   
   (A) Soweit die Verarbeitung personenbezogener Daten durch Extu eine Übermittlung personenbezogener Daten aus dem EWR, dem Vereinigten Königreich oder der Schweiz durch den Sponsor an Extu in ein Land außerhalb des EWR, des Vereinigten Königreichs oder der Schweiz erfordert, das nicht Gegenstand eines verbindlichen Angemessenheitsbeschlusses der Europäischen Kommission oder einer vergleichbaren zuständigen Datenschutzbehörde ist, erfolgen solche Übermittlungen in Übereinstimmung mit den Standardvertragsklauseln („SCCsSCC“), die hiermit durch Verweis einbezogen werden, vorbehaltlich der folgenden Bestimmungen:

   (i) Wenn der Sponsor ein Verantwortlicher und Extu ein Auftragsverarbeiter ist, erfolgen solche Übermittlungen gemäß Modul Zwei der SCCs;
   
   (ii) wenn sowohl der Sponsor als auch Extu Auftragsverarbeiter sind, erfolgen solche Übermittlungen gemäß Modul Drei der SCCs;
   
   (iii) wenn sich die Übermittlung auf personenbezogene Daten aus dem Vereinigten Königreich bezieht, werden die SCCs durch das „UK Transfer Addendum“ angepasst, das vom UK Information Commissioner’s Office („UKICO“) entwickelt wurde und am 21. März 2022 in Kraft getreten ist. Dieses Addendum ist online unter https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf verfügbar und wird hiermit durch Verweis in die SCCs aufgenommen;
   
   (iv) die von den Parteien getroffenen Entscheidungen in Bezug auf die Elemente der SCCs, die eine Wahlmöglichkeit vorsehen, sind in der beigefügten Anlage B für jedes Land gesondert aufgeführt; und
   
   (v) die Informationen, die gemäß: (A) Anhang I und Anhang III der SCCs in der beigefügten Anlage A, und (B) Anhang II der SCCs in der beigefügten Anlage C enthalten sind.

   (B) Alle Weiterübermittlungen personenbezogener Daten durch Extu, die aus dem EWR, dem Vereinigten Königreich oder der Schweiz stammen, an einen Empfänger in einem Land außerhalb des EWR, des Vereinigten Königreichs oder der Schweiz, das nicht Gegenstand eines verbindlichen Angemessenheitsbeschlusses der Europäischen Kommission oder einer vergleichbaren zuständigen Datenschutzbehörde ist, unterliegen verbindlichen und geeigneten Übermittlungsmechanismen, die ein angemessenes Schutzniveau gemäß den Datenschutzgesetzen gewährleisten, wie z. B. Standardvertragsklauseln oder genehmigte verbindliche Unternehmensregeln.

9. Vertraulichkeit: Extu wird sicherstellen, dass alle Personen, die zur Verarbeitung personenbezogener Daten autorisiert sind, entweder schriftlichen Vertraulichkeitsverpflichtungen unterliegen oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht,Verschwiegenheitspflicht unterstehen, die nicht weniger restriktiv ist als die in dieser DPA oder im Vertrag festgelegten, unterstehen.

10. Sicherheit: Unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung wird Extu geeignete technische und organisatorische Maßnahmen ergreifen, um ein Sicherheitsniveau zu gewährleisten, das dem durch die Verarbeitung personenbezogener Daten entstehenden Risiko angemessen ist.

11. Verletzung des Schutzes personenbezogener Daten: Wenn Extu Kenntnis von einer Verletzung des Schutzes personenbezogener Daten (wie im Datenschutzrecht definiertgemäß der Definition im Datenschutzrecht) erlangt, wird Extu den Sponsor unverzüglich schriftlich über die betreffenden Datenschutzverstöße informieren. Unter Berücksichtigung der Art der Verarbeitung und der Extu zur Verfügung stehenden Informationen wird Extu den Sponsor in angemessener Weise dabei unterstützen, seinen Verpflichtungen im Zusammenhang mit der Meldung von Datenschutzverstößen nachzukommen.

12. Rückgabe oder Vernichtung: Extu wird nach Beendigung der Vereinbarung oder dieser DPA alle personenbezogenen Daten an den Sponsor zurückgeben oder vernichten und vorhandene Kopien der personenbezogenen Daten löschen, es sei denn: (a) geltendes Recht oder Extus berechtigte Richtlinie zur Datenspeicherung erfordern die Speicherung der personenbezogenen Daten, oder (b) solche personenbezogenen Daten werden in Extus Archiv- oder Backup-Systemen gespeichert. Alle personenbezogenen Daten, die gemäß diesem Abschnitt 12 (Rückgabe oder Vernichtung) von Extu aufbewahrt werden, werden in Übereinstimmung mit den Bestimmungen dieser DPA aufbewahrt.

13. Audits; Anfragen: Extu wird dem Sponsor die Informationen zur Verfügung stellen, die vernünftigerweise erforderlich sind, um die Einhaltung des Datenschutzrechts und dieser DPA durch Extu nachzuweisen, und wird auf Kosten des Sponsors Audits, einschließlich Inspektionen, durch die internen und externen Prüfer und Mitarbeiter des Sponsors sowie durch die zuständigen Datenschutzbehörden ermöglichen und daran mitwirken. Im Zusammenhang mit dem Vorstehenden wird der Sponsor Extu eine angemessene Vorankündigung (mindestens dreißig (30) Tage) über das Audit geben. Das Audit findet zu einem von den Parteien einvernehmlich festgelegten Datum und Zeitpunkt während der normalen Geschäftszeiten statt und darf Extus Geschäftsbetrieb nicht unangemessen beeinträchtigen. Der Sponsor verpflichtet sich, und wird sicherstellen, dass seine internen und externen Prüfer und Mitarbeiter vor Durchführung eines Audits oder einer Inspektion gemäß diesem Abschnitt 13 (Audits; Anfragen) vertraglich verpflichtet werden, sämtliche Informationen, die im Rahmen eines Audits oder einer Inspektion von Extu eingesehen, erhalten oder anderweitig zugänglich gemacht werden, einschließlich der Ergebnisse des Audits oder der Inspektion, als vertrauliche Informationen von Extu zu behandeln.

14. Offenlegungsanfragen: Sollte Extu eine Vorladung, gerichtliche, behördliche oder schiedsrichterliche Anordnung einer Exekutiv-, Verwaltungs- oder Regulierungsbehörde oder einer anderen staatlichen Stelle erhalten, die sich auf die Verarbeitung der personenbezogenen Daten des Sponsors bezieht („Offenlegungsanfrage“), wird Extu diese Offenlegungsanfrage unverzüglich an den Sponsor weiterleiten, ohne darauf zu reagieren, es sei denn, dies ist nach geltendem Recht erforderlich. Extu wird dem Sponsor die relevanten Informationen zur Verfügung stellen, die sich in seinem Besitz befinden und auf die Offenlegungsanfrage bezogen sein könnten, und jede angemessene Unterstützung leisten, die erforderlich ist, damit der Sponsor zeitnah auf die Offenlegungsanfrage reagieren kann.

15. Einhaltung des CCPA: Die Parteien erkennen an und stimmen zu, dass Extu im Zusammenhang mit der Erfüllung seiner Pflichten gemäß der Vereinbarung als Dienstleister (wie dieser Begriff im CCPA definiert ist) für den Sponsor agiert. Extu bestätigt und erklärt, dass es dem Sponsor keine monetären oder anderweitigen wertvollen Gegenleistungen für den Erhalt personenbezogener Informationen (wie im CCPA definiert) gewährt und versichert, dass es die in diesem Abschnitt 15 (Einhaltung des CCPA) festgelegten Beschränkungen versteht und einhalten wird. Sofern nicht nach geltendem Recht erforderlich, wird Extu keine personenbezogenen Informationen erheben, darauf zugreifen, diese verwenden, offenlegen, verarbeiten oder speichern, es sei denn, dies erfolgt im Rahmen der Erfüllung der Pflichten von Extu gemäß der Vereinbarung oder für einen anderen im CCPA, in dieser DPA oder der Vereinbarung zulässigen geschäftlichen Zweck. Insbesondere wird Extu keine personenbezogenen Informationen verkaufen (wie im CCPA definiert) oder teilen (wie im CPRA definiert).

16. Fortbestehen der Verpflichtungen: Die Verpflichtungen von Extu gemäß dieser DPA bestehen so lange fort, wie Extu Zugang zu personenbezogenen Daten hat, diese besitzt oder erlangt, selbst wenn die Vereinbarung abgelaufen oder beendet wurde.

17. Haftungsbeschränkungen: Zur Vermeidung von Missverständnissen unterliegen diese DPA und alle daraus entstehenden Haftungen oder Rechtsmittel den in der Vereinbarung festgelegten Haftungsbeschränkungen und Ausschlüssen von Schadensersatzansprüchen, soweit dies nach geltendem Recht zulässig ist.

18. Auslegung: Sofern hierin nicht ausdrücklich anders geregelt, bleibt die Vereinbarung uneingeschränkt in Kraft. Die hierin gewährten Rechte sind zusätzlich zu anderen Rechten, die den Parteien gemäß der Vereinbarung zustehen, und ersetzen diese nicht. Im Falle eines Widerspruchs oder einer Unstimmigkeit zwischen den Bestimmungen dieser DPA und den Bestimmungen der Vereinbarung in Bezug auf die Verarbeitung personenbezogener Daten haben die Bestimmungen dieser DPA Vorrang. Im Falle eines Widerspruchs oder einer Unstimmigkeit zwischen den Bestimmungen eines anwendbaren Moduls der SCCs und den Bestimmungen dieser DPA in Bezug auf Übermittlungen haben die Bestimmungen der SCCs Vorrang.

ZU URKUND DESSEN haben die Parteien diese DPA durch ihre ordnungsgemäß bevollmächtigten Vertreter zum Datum des Inkrafttretens der DPA unterzeichnen lassen.