Home Firma Legal Nachtrag zum Datenschutz – (DPA)
Anwendungen

Nachtrag zum Datenschutz – (DPA)

Gliederung

Zugehörige Seiten

Dieser Nachtrag zur Datenverarbeitung (dieser „DPA“) wird in die Nutzungsbedingungen von Edgio (die „Vereinbarung“) zwischen Edgio, Inc., seinen verbundenen Unternehmen und Tochtergesellschaften (zusammen „Edgio“) und dem Kunden aufgenommen und ist Bestandteil dieser Vereinbarung. Wenn eine Bestimmung dieses DPA mit einer Bestimmung des Vertrags kollidiert, dann gelten die anwendbaren Bestimmungen dieses DPA-Kontrollsystems.

1. Begriffsbestimmungen.

Die folgenden Begriffe werden in diesem DPA verwendet und haben die hier dargelegte Bedeutung. In diesem DPA verwendete und hierin nicht definierte Großbuchstaben haben die im Vertrag dargelegte Bedeutung.

1,1 „angemessenes Land“ bezeichnet ein Land oder Gebiet, das gemäß den EU-Datenschutzgesetzen oder der jeweils zuständigen Behörde des Vereinigten Königreichs („UK“) als ein angemessenes Schutzniveau für personenbezogene Daten anerkannt ist.

1,2 „anwendbare Datenschutzgesetze“ (i) die Gesetze und Vorschriften des EWR und seiner mitgliedsstaaten, die für die Verarbeitung personenbezogener Daten gemäß diesem DPA gelten, einschließlich der EU-Datenschutzgesetze; ii) den California Consumer Protection Act („CCPA“) und den California Privacy Rights Act („CPRA“) und (iii) alle Gesetze zur Umsetzung oder Ergänzung des Vorstehenden sowie alle anderen geltenden Datenschutzgesetze oder Datenschutzgesetze.

1,3 „personenbezogene Daten des Kunden“ sind alle personenbezogenen Daten, die sich auf Verbraucher beziehen (die „Endnutzer“ des Kunden) und von Edgio oder seinen Unterauftragsverarbeitern im Namen des Kunden im Rahmen der Erbringung der Dienstleistungen und der sonstigen Verpflichtungen von Edgio im Rahmen des Vertrags verarbeitet werden.

1,4 „EWR“ bezeichnet den Europäischen Wirtschaftsraum, zu dem die Mitgliedstaaten der Europäischen Union sowie Norwegen, Island und Liechtenstein gehören.

1,5 „EU-Schutzrecht“ bedeutet (i) die DSGVO; ii) die EU-Datenschutzrichtlinie (Richtlinie 2002/58/EG) in ihrer geänderten Fassung und alle Rechtsvorschriften, die diese geänderte Richtlinie ersetzen, iii) nationale Datenschutzgesetze, die auf der Grundlage, gemäß, an der Stelle oder an der Stelle des Vorstehenden erlassen wurden, und (iv) sofern zutreffend, sollte dies als einschließlich britischer Datenschutzgesetze zu verstehen sein.

1,6 „DSGVO“ bezeichnet die EU-Datenschutz-Grundverordnung (Verordnung 2016/679).

1,7 „Standardvertragsklauseln“ in Bezug auf die Verarbeitung personenbezogener Daten gemäß diesem DPA bedeutet (A) die Standardklauseln für die Übermittlung personenbezogener Daten von Verantwortlichen an Auftragsverarbeiter in Drittländern, die von der Europäischen Kommission von Zeit zu Zeit genehmigt wurden und deren derzeit genehmigte Fassung in der Entscheidung 2021/914 der Europäischen Kommission vom 4. Juni 2021 enthalten ist, abrufbar unter: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32021D0914&from=EN und in Anlage 2 (die „EU-Standardvertragsklauseln“) dargelegt; und (b) das UK Addendum zu den EU-Standardvertragsklauseln in Anlage 3 (im Folgenden „UK Addendum“).

1,8 „Datenschutzgesetze des Vereinigten Königreichs“ bezeichnet alle anwendbaren Gesetze in Bezug auf Datenschutz, Verarbeitung personenbezogener Daten, Datenschutz und/oder elektronische Kommunikation, die von Zeit zu Zeit in Großbritannien in Kraft sind, einschließlich der UK GDPR und des Data Protection Act 2018.

1,9 „UK GDPR“ bezeichnet die allgemeine Datenschutzverordnung des Vereinigten Königreichs, da sie gemäß Abschnitt 3 des Gesetzes der Europäischen Union (Austrittsgesetz) von 2018 Teil des Gesetzes von England und Wales, Schottland und Nordirland ist.

1,10 „personenbezogene Daten“ sind alle Informationen, die „personenbezogene Daten“ oder „personenbezogene Daten“ im Sinne der geltenden Datenschutzgesetze darstellen, auf die Edgio bei der Erbringung der Dienstleistungen im Rahmen der Dienstleistungsvereinbarung zugreifen kann.

1,11 „Verarbeitung“, „Prozess“, „Betroffene Person“, „Verantwortlicher“, „Unternehmen“, „Auftragsverarbeiter“, „Diensteanbieter“, „besondere Kategorien personenbezogener Daten“ haben die Bedeutung, die ihnen durch die geltenden Datenschutzgesetze gegeben wird, soweit solche Konzepte in solchen Gesetzen vorhanden sind.

2. Datenverarbeitung

2,1 Geltungsbereich und Rollen. Unter Berücksichtigung der in diesem Dokument festgelegten gegenseitigen Verpflichtungen gilt dieser DPA, soweit Edgio personenbezogene Kundendaten verarbeitet, die den geltenden Datenschutzgesetzen in Verbindung mit den Services gemäß dem Vertrag unterliegen. In diesem Zusammenhang erkennen der Kunde und Edgio Folgendes an und stimmen zu: (A) Edgio ist ein Auftragsverarbeiter und der Kunde ist der Verantwortliche im Sinne der geltenden Datenschutzgesetze; und (b) Edgio fungiert als bloße Weiterleitung aller personenbezogenen Daten, die der Kunde oder seine Endnutzer in den Services hinterlegt. Edgio und der Kunde müssen die geltenden Datenschutzgesetze für die Verarbeitung personenbezogener Daten gemäß den geltenden Datenschutzgesetzen einhalten.

2,2 Verarbeitungsanweisungen.

(A) Kundenanweisungen. Edgio verarbeitet personenbezogene Daten des Kunden als Mittel zur Bereitstellung der Services und in Übereinstimmung mit den dokumentierten Anweisungen des Kunden, die in diesem DPA dargelegt sind, oder wie anderweitig zwischen den Parteien schriftlich vereinbart. Wenn Edgio gemäß den geltenden Datenschutzgesetzen verpflichtet ist, personenbezogene Daten des Kunden anders zu verarbeiten als vom Kunden angewiesen, informiert es den Kunden, bevor eine solche Verarbeitung erfolgt, es sei denn, dies ist gesetzlich verboten.

(i) der Zweck der Verarbeitung personenbezogener Kundendaten gemäß diesem DPA ist die Bereitstellung der vom Kunden von Zeit zu Zeit gemäß dem Vertrag initiierten Dienste, einschließlich der Verarbeitung von Rechnungen und Zahlungen, der Kommunikation mit Endnutzern und/oder Unterauftragsverarbeitern des Kunden über die Services, der Wartung des Kunden, Endnutzer- und/oder Subprozessorkonten, Messung und/oder Analyse der Servicenutzung, Verhinderung oder Aufdeckung von Betrug oder Missbrauch der Services und/oder Website, Pflege und/oder Aktualisierung von Services und/oder Ermöglichung von Subprozessoren, technische, logistische oder andere Funktionen im Namen von Edgio zur Förderung der Bereitstellung der Services auszuführen.

ii) Edgio bescheinigt, dies nicht zu tun (A) „verkaufen“ (im Sinne des CCPA) oder „teilen“ (im Sinne des CPRA) personenbezogene Daten des Kunden; (b) personenbezogene Kundendaten für einen anderen Zweck als für den spezifischen Zweck der Bereitstellung der Services im Rahmen der Servicevereinbarung zu speichern, zu verwenden oder offenzulegen, einschließlich der Speicherung, Verwendung oder Offenlegung personenbezogener Kundendaten für einen kommerziellen Zweck, der nicht die Bereitstellung der Services ist; oder (c) personenbezogene Daten des Kunden zu speichern, zu verwenden oder an andere Personen weiterzugeben, als dies für die Erbringung der Services erforderlich ist oder außerhalb der direkten Geschäftsbeziehung zwischen den Parteien liegt.

(iii) der Kunde versichert und garantiert, dass (1) seine Verarbeitungsanweisungen alle geltenden Datenschutzgesetze erfüllen und (2) er alle gesetzlich vorgeschriebenen Hinweise, Einwilligungen und Genehmigungen für die Verarbeitung und Übermittlung aller personenbezogenen Daten erhalten und pflegt. Der Kunde erkennt an, dass Edgio unter Berücksichtigung der Art der Verarbeitung nicht in der Lage ist festzustellen, ob die Anweisungen des Kunden gegen geltende Datenschutzgesetze verstoßen.

b) Vertraulichkeit. Edgio erlegt seinen Mitarbeitern und Dritten, die Zugang zu personenbezogenen Daten haben, angemessene vertragliche Verpflichtungen auf, um sicherzustellen, dass diese Mitarbeiter und Dritte an ihre Vertraulichkeitsverpflichtungen in Bezug auf diese personenbezogenen Daten gebunden sind und darauf aufmerksam gemacht werden.

c) Sicherheitsmaßnahmen von Edgio. Edgio hat technische und organisatorische Maßnahmen gemäß Anhang 1 Teil C implementiert und verwaltet, die zum Schutz personenbezogener Daten vor zufälliger oder unrechtmäßiger Zerstörung oder zufälligem Verlust, Veränderung, unbefugter Offenlegung oder Zugriff dienen. und gegen andere rechtswidrige Formen der Verarbeitung. Edgio kann solche technischen und organisatorischen Maßnahmen von Zeit zu Zeit aktualisieren oder ändern, sofern solche Aktualisierungen oder Änderungen nicht zu einer Verschlechterung der allgemeinen Sicherheit der Services führen. Der Kunde erkennt an und stimmt zu, dass (unter Berücksichtigung des Standes der Technik, der Kosten für die Implementierung und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung personenbezogener Daten sowie der Risiken für Endnutzer) die technischen und organisatorischen Maßnahmen, die Edgio gemäß diesem Abschnitt 2,2(c) (Edgio Sicherheitsmaßnahmen) implementiert und verwaltet, bieten ein Sicherheitsniveau, das dem Risiko in Bezug auf personenbezogene Daten angemessen ist. Bei der Nutzung der Services erkennt der Kunde an, dass er seine Nutzung der Services nicht so konfigurieren sollte, dass persönliche Daten auf Edgio’s Edge-Servern zwischengespeichert oder gespeichert werden.

(d) Sicherheitsverpflichtungen des Kunden. Der Kunde erklärt sich damit einverstanden, dass unbeschadet der Verpflichtungen von Edgio gemäß Abschnitt 2,2(c) (Edgio Sicherheitsmaßnahmen) und Abschnitt 6 (Benachrichtigung über Datenschutzverletzungen) der Kunde allein für die Nutzung der Services verantwortlich ist, einschließlich: (1) angemessene Nutzung der Dienste, um ein dem Risiko in Bezug auf personenbezogene Daten entsprechendes Sicherheitsniveau zu gewährleisten, z. B. Auswahl und Einsatz von Verschlüsselung; und (2) Sicherung der Anmeldedaten für die Kontoauthentifizierung, der Systeme und Geräte, die der Kunde für den Zugriff auf die Dienste verwendet. Der Kunde erkennt an, dass er für alle Maßnahmen verantwortlich ist, die im Zusammenhang mit den Services unter Verwendung der gültigen Authentifizierungsdaten des Kunden ergriffen werden, einschließlich, aber nicht beschränkt auf, durch Endbenutzer, Lieferanten des Kunden oder andere Dritte, die im Namen des Kunden handeln.

E) besondere Datenkategorien. Der Kunde darf keine personenbezogenen Daten übertragen oder anderweitig an Edgio übermitteln, die Folgendes offenlegen oder enthalten: Rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, oder gewerkschaftsmitgliedschaften, genetische Daten, biometrische Daten zum Zwecke der eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten über das Sexualleben oder die sexuelle Ausrichtung einer natürlichen Person oder über strafrechtliche Verurteilungen oder Straftaten einer natürlichen Person.

3. Rechte Betroffener Personen

3,1 unter Berücksichtigung der Art der Services und der Verarbeitung erkennt der Kunde an, dass Edgio dem Kunden bestimmte Kontrollen, Funktionen und Funktionen als Teil der Services zur Verfügung stellt, welche Kunden im Zusammenhang mit seinen Verpflichtungen gemäß den geltenden Datenschutzgesetzen in Bezug auf Anfragen von betroffenen Personen, einschließlich Rückgabe oder Löschung, verwenden können.

3,2 der Kunde ist für die ordnungsgemäße Konfiguration der Services verantwortlich, damit: (A) personenbezogene Daten werden ausschließlich in dem Umfang erhoben, übertragen und verwendet, der für den Empfang der Dienste erforderlich ist; (b) personenbezogene Daten werden für den kürzesten Zeitraum aufbewahrt, der für den Empfang der Services durch den Kunden erforderlich ist; und (c) der Kunde verwendet eine API oder eine ähnliche Technologie, um eine Protokolldateianforderung einzurichten, falls der Kunde personenbezogene Daten länger aufbewahren möchte als von den Services gespeichert.

3,3 soweit die Kontrollen, Funktionen und/oder Funktionalitäten der Dienste nicht die Möglichkeit für den Kunden beinhalten, personenbezogene Daten zu löschen, dann wird Edgio der zumutbaren Aufforderung des Kunden nachkommen, eine solche Löschung zu ermöglichen, sofern Edgio dies unter Berücksichtigung der Art der Dienste und der Verarbeitung und der Vorgehensweisen von Edgio zur Datenspeicherung als machbar erachtet und Edgio die Aufbewahrung der personenbezogenen Daten nicht durch geltende Datenschutzgesetze verlangt. Edgio kann eine Gebühr (basierend auf den angemessenen Kosten von Edgio) für die Löschung von Daten gemäß diesem Abschnitt 3,3 berechnen. Edgio wird dem Kunden vor der Löschung dieser Daten die Einzelheiten der anfallenden Gebühren mitteilen. Der Kunde erkennt seine Verpflichtung an, personenbezogene Daten bei Beendigung des Vertrags von seinem Konto zu löschen, und alle personenbezogenen Daten, die nicht vom Kunden gelöscht werden, werden im Rahmen der normalen Geschäftsprozesse aus den Systemen von Edgio gelöscht.

4. Unterverarbeitung

4,1 der Kunde erteilt eine allgemeine Autorisierung: A) Edgio, Edgio Affiliates als Unterauftragsverarbeiter zu ernennen; und (b) an Edgio und an Edgio verbundene Unternehmen, um Drittanbieter zu ernennen, einschließlich, aber nicht beschränkt auf, Marketing, Geschäft, Engineering- oder Kundensupport-Anbieter als Unterauftragnehmer nur soweit erforderlich, um die Bereitstellung der Services zu unterstützen.

4,2 der Kunde erkennt an und stimmt zu, dass Edgio eine Liste seiner Unterauftragsverarbeiter über die folgende URL führt: https://read.edg.io/hubfs/Edgecast-Service-Supplements/Edgio-Sub-processor-Authorized.pdf („Unterauftragsverarbeiter-Websites“). Mindestens dreißig (30) Tage, bevor Edgio einem neuen Subprozessor gestattet, mit der Verarbeitung personenbezogener Kundendaten zu beginnen, informiert Edgio den Kunden über diesen neuen Subprozessor, indem er diesen neuen Subprozessor auf der Website des Subprozessors hinzufügt („Benachrichtigungsdienst“).

4,3 hat der Kunde begründete Einwände gegen die Verwendung eines neuen Unterauftragsverarbeiters durch Edgio, wie er über den Benachrichtigungsdienst mitgeteilt wurde, hat der Kunde Edgio unverzüglich schriftlich innerhalb von zehn (10) Geschäftstagen nach Erhalt der Informationen über den Benachrichtigungsdienst zu benachrichtigen. Für den Fall, dass der Kunde einen angemessenen Einwand gegen einen neuen Subprozessor erhebt, erklärt sich Edgio bereit, in guten Glauben Gespräche mit dem Kunden zu führen, um auf den Einwand des Kunden einzugehen. Wenn der Kunde keinen rechtzeitigen Widerspruch gegen einen neuen oder Ersatz-Unterauftragsverarbeiter gemäß diesem Abschnitt 4,3 einlegt, wird davon ausgegangen, dass der Kunde diesem Unterauftragsverarbeiter zugestimmt hat und auf sein Recht verzichtet hat, Einspruch gegen diesen Unterauftragsverarbeiter zu erheben. Edgio kann einen neuen Subprozessor verwenden, während das in diesem Abschnitt 4,3 beschriebene Einspruchsverfahren bearbeitet wird.

4,4 wenn Edgio Unterauftragsverarbeiter gemäß Abschnitt 4,1 beauftragt, erfolgt dies im Wege einer schriftlichen Vereinbarung mit dem Unterauftragsverarbeiter („Unterauftragsverarbeitung“), die dem Unterauftragsverarbeiter im Wesentlichen gleichwertige Verpflichtungen auferlegt, wie sie Edgio im Rahmen dieses DPA auferlegt werden. Edgio bleibt gegenüber dem Kunden für die Erfüllung der Verpflichtungen der Unterauftragnehmer gemäß den Bedingungen des Untervertrags zur Verarbeitung haftbar.

5. Datenübermittlung

5,1 soweit die Verarbeitung personenbezogener Kundendaten durch Edgio an einem Ort außerhalb eines geeigneten Landes erfolgt, vereinbaren die Parteien, dass die anwendbaren Standardvertragsklauseln, die diesem DPA in Anhang 2 (EU-Standardvertragsklauseln) und Anhang 3 (UK-Nachtrag) beigefügt sind, gelten für die Übertragung solcher personenbezogenen Kundendaten aus dem EWR, der Schweiz oder dem Vereinigten Königreich an Edgio. Edgio erfüllt als Auftragsverarbeiter die Verpflichtungen des „Datenimporteurs“ in den Standardvertragsklauseln, und der Kunde als Verantwortlicher wird die Verpflichtungen des „Datenexporteurs“ erfüllen.

5,2 die folgenden Bedingungen gelten für die Standardvertragsklauseln in Anlage 2 und in Anlage 3:

(A) der Kunde kann sein Prüfungsrecht gemäß Paragraph 8,9(c) der Standardvertragsklauseln ausüben, wie in und vorbehaltlich der Anforderungen in Paragraph 7 (Prüfung) dieses DPA festgelegt.

(b) Edgio kann Unterauftragsverarbeiter gemäß Abschnitt 4 (Unterverarbeitung) dieses DPA ernennen.

5,3 ungeachtet gegenteiliger Bestimmungen in diesem Abschnitt 5 gelten die Standardvertragsklauseln nicht, soweit der Kunde einen alternativen anerkannten Compliance-Standard für die rechtmäßige Übermittlung personenbezogener Kundendaten außerhalb eines angemessenen Landes eingeführt hat.

6. Meldung Von Datenschutzverletzungen

6,1 Edgio wird den Kunden unverzüglich benachrichtigen, sobald er Kenntnis davon erhält, dass ein tatsächliches Sicherheitsereignis eingetreten ist, sofern Edgio nach eigenem Ermessen feststellt, dass ein solches Sicherheitsereignis die Sicherheit und/oder Vertraulichkeit der personenbezogenen Daten des Kunden gefährdet (eine „Datenschutzverletzung“). Sollte Edgio eine Datenschutzverletzung erleiden, werden die Parteien nach Benachrichtigung des Kunden in gutem Glauben zusammenarbeiten, um die erforderlichen Maßnahmen zu vereinbaren und zu ergreifen, um die Auswirkungen der Datenschutzverletzung abzumildern oder zu beheben. Die Benachrichtigung oder Reaktion auf eine Datenschutzverletzung durch Edgio gemäß diesem Abschnitt 6 (Benachrichtigung über Datenschutzverletzungen) ist nicht als Bestätigung eines Verschuldens oder einer Haftung durch Edgio in Bezug auf die Datenschutzverletzung auszulegen.

6,2 im Falle einer Datenschutzverletzung hat der Kunde die volle Befugnis und Verantwortung, darüber zu entscheiden, ob er betroffene Personen und andere Parteien gemäß den geltenden Gesetzen benachrichtigt, sowie über die Art und den Zeitpunkt der Benachrichtigung.

7. Prüfung

7,1 der Kunde erklärt sich damit einverstanden, dass sein Prüfungsrecht gemäß den europäischen Datenschutzgesetzen in Bezug auf personenbezogene Kundendaten zunächst durch eine Anfrage ausgeübt wird, die Edgio bereitstellt: (A) dem Kunden eine zusammenfassende Kopie des (der) Auditberichts(s) von Edgio in Bezug auf die technischen und organisatorischen Maßnahmen von Edgio, auf die in Abschnitt 2,2(c) (Edgio Sicherheitsmaßnahmen) Bezug genommen wird, die Berichte unterliegen den Vertraulichkeitsbestimmungen der Vereinbarung; und aus welchen Berichten hervorgeht, dass die technischen und organisatorischen Maßnahmen von Edgio ausreichend sind und einem anerkannten Branchenprüfungsstandard entsprechen; und (b) zusätzliche Informationen, die sich im Besitz oder unter Kontrolle von Edgio befinden, an eine zuständige Aufsichtsbehörde, wenn diese zusätzliche Informationen in Bezug auf die Verarbeitung personenbezogener Daten anfordert oder benötigt, die Edgio im Rahmen dieses DSGVO vorgenommen hat.

7,2 nachdem der Kunde den Auditbericht gemäß Abschnitt 7,1 erhalten hat, und vorbehaltlich der Bedingungen in Abschnitt 7,3 kann der Kunde oder ein vom Kunden beauftragter unabhängiger Dritter eine angemessene Inspektion der Verarbeitungsumgebung von Edgio durchführen, die für die Verarbeitung personenbezogener Kundendaten relevant ist, um zu überprüfen, ob Edgio seinen Verpflichtungen aus diesem DPA nachkommt.

7,3 im Falle einer Prüfung gemäß Abschnitt 7,2,

(A) Edgio stellt dem Kunden in Übereinstimmung mit den europäischen Datenschutzgesetzen die Informationen, die sich im Besitz oder unter der Kontrolle von Edgio befinden, zur Verfügung, um die Einhaltung seiner Verpflichtungen aus diesem DPA nachzuweisen. Der Kunde darf seine Prüfungsrechte in einem Zeitraum von zwölf (12) Kalendermonaten nur einmal ausüben. Die Prüfung ist auf Geschäftstage (während der normalen Geschäftszeiten und mit Ausnahme von Bundesfeiertagen in den USA) und den Umfang beschränkt, der von den Parteien im Voraus angemessen vereinbart wurde. Der Kunde muss Edgio mindestens dreißig (30) Tage im Voraus über ein Audit informieren und alle angemessenen Maßnahmen ergreifen, um unnötige Störungen des Betriebs von Edgio zu verhindern. Der Kunde trägt alle Kosten und Aufwendungen im Zusammenhang mit einer solchen Prüfung.

(b) Edgio kann gegen einen vom Kunden zur Durchführung einer Prüfung gemäß Abschnitt 7,2 beauftragten Dritten Einspruch erheben, wenn der Prüfer nach vernünftiger Einschätzung von Edgio nicht ausreichend qualifiziert oder unabhängig, Wettbewerber von Edgio oder anderweitig offensichtlich ungeeignet ist. Jeder derartige Einwand von Edgio erfordert, dass der Kunde einen anderen Prüfer ernennt oder die Prüfung selbst durchführt.

(c) nichts in diesem DPA verlangt von Edgio, dem Kunden oder seinem externen Prüfer offenzulegen oder dem Kunden oder seinem externen Prüfer Zugriff auf:

i) Daten anderer Kunden von Edgio oder eines Tochterunternehmens von Edgio;

ii) die internen Buchhaltungs- oder Finanzinformationen von Edgio oder Edgio verbundenen Unternehmen;

iii) Geschäftsgeheimnisse von Edgio oder einem mit Edgio verbundenen Unternehmen;

iv) alle Informationen, die nach vernünftiger Auffassung von Edgio (1) die Sicherheit der Systeme oder Räumlichkeiten von Edgio oder Edgio Affiliate gefährden könnten; oder (2) dazu führen, dass Edgio oder ein Tochterunternehmen von Edgio gegen seine Verpflichtungen gemäß den geltenden Datenschutzgesetzen oder gegen seine Sicherheits- und/oder Datenschutzverpflichtungen gegenüber dem Kunden oder Dritten verstößt; oder

(v) alle Informationen, auf die der Kunde oder sein externer Prüfer aus einem anderen Grund als der gutgläubigen Erfüllung der Verpflichtungen des Kunden gemäß den geltenden Datenschutzgesetzen zugreifen möchte.

(d) der Kunde stellt Edgio von allen Kosten und Ansprüchen frei, die von Dritten geltend gemacht werden, ob tatsächlich oder angeblich, die sich aus oder im Zusammenhang mit der Offenlegung personenbezogener Daten gegenüber dem Kunden infolge einer solchen Prüfung ergeben. Unter Berücksichtigung der Art der Services und der Verarbeitung erkennt der Kunde an, dass Edgio nicht in der Lage ist, Personen anhand der Endbenutzerinformationen zu identifizieren, die Edgio für die Bereitstellung der Services benötigt (z. B. und IP-Adresse des Endbenutzers).

8. Allgemeine Bestimmungen

8,1 Drittbegünstigte. Unbeschadet der Rechte, die gemäß den Standardvertragsklauseln gewährt werden, gewährt dieser DPA keine Rechte von Drittbegünstigten.

8,2 Nichtoffenlegung. Der Kunde erklärt sich damit einverstanden, dass die Details dieses DPA nicht öffentlich bekannt sind und vertrauliche Edgio-Informationen darstellen, wie dieser Begriff in der Vereinbarung definiert ist.

8,3 Überleben. Dieser DPA bleibt während der geltenden Vertragslaufzeit in vollem Umfang in Kraft und gilt ungeachtet gegenteiliger Bestimmungen auch nach Beendigung oder Ablauf des Vertrags. Nach Beendigung oder Ablauf des Vertrags kann Edgio weiterhin personenbezogene Kundendaten verarbeiten, sofern diese Verarbeitung den Anforderungen dieses DPA und den geltenden Datenschutzgesetzen entspricht.

8,4 Gesamte Vereinbarung, Konflikt. Dieser DPA ersetzt und ersetzt alle vorherigen oder gleichzeitigen Zusicherungen, Absprachen, Vereinbarungen oder Mitteilungen zwischen Edgio und dem Kunden, ob schriftlich oder mündlich, in Bezug auf die Verarbeitung personenbezogener Kundendaten. Außer in der in diesem DPA geänderten Fassung bleibt das Abkommen in vollem Umfang in Kraft. Im Falle eines Widerspruchs zwischen den Bedingungen dieses DPA und der Vereinbarung haben die Bedingungen dieses DPA Vorrang, soweit der Gegenstand die Verarbeitung personenbezogener Kundendaten betrifft.

8,5 Änderung, Verzicht. Dieser DPA kann nur schriftlich geändert und von beiden Parteien unterzeichnet werden. Kein Versäumnis oder eine Verzögerung einer Partei bei der Ausübung oder Durchsetzung eines Rechts hierin gilt als Verzicht auf ein solches Recht.

PART A

Parteien des für die Verarbeitung Verantwortlichen für die Auftragsverarbeiter – Standardvertragsklauseln

Datenexporteur:

Name: Gemäß Serviceauftrag.

Adresse: Gemäß Serviceauftrag.

Name, Position und Kontaktdaten der Kontaktperson: Gemäß Serviceauftrag.

Aktivitäten, die für die gemäß diesen Klauseln übertragenen Daten relevant sind: Siehe die unten beschriebenen Aktivitäten für den Datenimporteur.

Rolle: Controller

Datenimporteur:

Name: Edgio, Inc

Adresse: 11811 N. Tatum Blvd., Suite 3031, Phoenix, AZ 85028

Name, Position und Kontaktdaten der Kontaktperson: Rich Diegnan, DSB, rdiegnan@edg.io

Aktivitäten, die für die gemäß diesen Klauseln übertragenen Daten relevantsind: Edgio Inc. Bietet Kunden digitaler Medien über eine Reihe von weltweiten Points of Presence Netzwerkdienste zur Bereitstellung von Inhalten, Video-Streaming und damit verbundene Sicherheitsdienste an.

Rolle: Verarbeiter

PART B

Gegenstand

Verarbeitung im Zusammenhang mit der Bereitstellung der Services, einschließlich Website-Beschleunigung, WAF, Software-Download über das Edgio Network und Advanced Bot Service.

Duration

Vom Gültigkeitsdatum bis zur Beendigung des Vertrags.

Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden.

Endnutzer des Kunden, Geschäftsmitarbeiter des Kunden

Art der Verarbeitung

Vom Gültigkeitsdatum bis zur Beendigung des Vertrags.

Kategorien der übermittelten personenbezogenen Daten:

Kategorie

Daten

Wählen Sie nach Bedarf aus

Personenbezogene Daten von Endbenutzern in Kundeninhalten und personenbezogene Daten in protokollierten Daten

Personenbezogene Daten in Kundeninhalten, sofern vorhanden, werden vom Kunden ausgewählt. In Bezug auf diese Daten beschränkt sich die gegebenenfalls vorhandene Verarbeitung dieser Daten auf die Rolle von Edgio als Vermittler für diese Daten. Zur Bereitstellung der Services kann Edgio bestimmte protokollierte Daten verarbeiten und aufbewahren, was die kurzfristige Speicherung von IP-Adressen der Endnutzer des Datenexporteurs beinhaltet.

X

Verarbeitete sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Garantien, die der Art der Daten und den damit verbundenen Risiken in vollem Umfang Rechnung tragen, wie z. B. strenge Zweckbeschränkungen, Zugriffsbeschränkungen (einschließlich des Zugangs nur für Personal, das eine spezielle Schulung absolviert hat), Führung von Aufzeichnungen über den Zugang zu den Daten; Beschränkungen für Weiterübermittlungen oder zusätzliche Sicherheitsmaßnahmen.

Spezielle Kategorie
Daten

Keine

Nature of the processing

Edgio verarbeitet personenbezogene Kundendaten zur Bereitstellung von Inhalten und Sicherheitsdiensten als Verbindung von persönlichen Kundendaten, die der Kunde oder seine Endbenutzer in den Dienst stellen. Edgio verarbeitet protokollierte Daten für die Bereitstellung der Services. Protokollierte Daten werden zu Abrechnungszwecken usw. in die USA übertragen und kurzfristig gespeichert.

Häufigkeit der Übertragung (z. B. ob die Daten einmalig oder kontinuierlich übertragen werden)

Die Übertragung erfolgt kontinuierlich.

Der Zeitraum, für den die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien, nach denen dieser Zeitraum festgelegt wird

Der Zweck der Datenübertragung und der weiteren Verarbeitung besteht darin, Edgio in die Lage zu versetzen, die im Rahmen der Vereinbarung erbrachten Dienstleistungen im erforderlichen Umfang zu erbringen.

Der Zeitraum, für den die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien, nach denen dieser Zeitraum festgelegt wird

Der Zweck der Datenübertragung und der weiteren Verarbeitung besteht darin, Edgio in die Lage zu versetzen, die im Rahmen der Vereinbarung erbrachten Dienstleistungen im erforderlichen Umfang zu erbringen.

Bei Übertragungen an (Unterverarbeiter) sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben

Je nach Konfiguration der Services durch den Kunden umfassen die entsprechenden Details des Subprozessors die unter den folgenden Links angegebenen Angaben:

https://view.highspot.com/viewer/
616088e19bf7c594a544f64

Zuständige Aufsichtsbehörde

EU-Standardvertragsklauseln: Die Aufsichtsbehörde, die für die Einhaltung der DSGVO durch den Datenexporteur in Bezug auf die Datenübertragung zuständig ist, fungiert als zuständige Aufsichtsbehörde.

UK Addendum zu den EU-Standardvertragsklauseln (sofern zutreffend): Ist der Datenexporteur im Vereinigten Königreich niedergelassen oder fällt in den territorialen Anwendungsbereich der Datenschutzgesetze und -Verordnungen des Vereinigten Königreichs, so fungiert das Information Commissioner’s Office als zuständige Aufsichtsbehörde.

Teil C

Technische Maßnahmen zur Organisation von Werbeanzeigen

EDGIO-INFORMATIONSSICHERHEITSRICHTLINIE

Richtlinie Zur Informationssicherheit. Edgio pflegt eine formale, dokumentierte Informationssicherheitsrichtlinie, die auf verschiedenen anerkannten Branchensicherheitsstandards basiert und an das NIST Cybersecurity Framework ausgerichtet ist und für alle Mitarbeiter von Edgio und autorisierten Benutzer von Edgio Assets gilt.

Teams Für Informationssicherheit. Edgio unterhält Informationssicherheitsteams, um die Durchsetzung der Informationssicherheitsrichtlinien und -Praktiken von Edgio zu fördern und zu unterstützen.

EDGIO-KONFORMITÄT MIT STANDARDS

Produktsicherheit. Anwendbare Services werden mit technischen, logischen und physischen Kontrollen entwickelt und implementiert, die an die Geschäfts- und Sicherheitsanforderungen von Edgio und seinen Kunden angepasst sind. Für anwendbare Unternehmensservices zertifiziert Edgio jährlich die für den Service geltenden Kontrollen gemäß einem oder mehreren der folgenden Standards, Richtlinien und Praktiken:

PCI (PCI-DSS)

ISO 27001

SSAE-18 SOC 1, 2 oder 3

Zertifikatfreigabe. Sofern verfügbar, stellt Edgio auf berechtigte Anfrage des Kunden ein Zertifikat für jeden Service-Kauf zur Verfügung.

Schutz Von Edgio-Zertifikaten. Zertifikate, die einem Kunden zur Verfügung gestellt werden, gelten als vertrauliche Informationen.

BEDIENELEMENTE

Edgio Controls. Edgio schützt seine Netzwerke mithilfe branchenweit anerkannter Sicherheitspraktiken, -Verfahren und -Tools, die speziell auf die Bedrohungslandschaft und die Geschäftsumgebung von Edgio abgestimmt sind.

Hardwaresicherheit Von Drittanbietern. Edgio ändert die vom Hersteller bereitgestellten Standardwerte für Systemkennwörter und andere Sicherheitsparameter.

Regelmäßige System- und Sicherheitstests. Edgio testet regelmäßig Systeme und Prozesse, die für die Netzwerksicherheit eingesetzt werden, um die betriebliche Kapazität zu maximieren.

Sicherer Softwareentwicklungszyklus. Edgio entwickelt und pflegt Systeme, die zum Schutz personenbezogener Kundendaten durch Risikobeurteilungen für Datenschutz und Cybersicherheit entwickelt wurden. Gegebenenfalls setzt Edgio im Entwicklungslebenszyklus Automatisierung ein, um unter anderem Kontrollen durchzusetzen.

Verwaltung Mobiler Geräte. Von Edgio ausgestellte Geräte, wie Notebooks und Mobiltelefone mit Standardproblemen, werden von identifizierbaren Personen verwaltet, die für den Schutz des Geräts sowie für die Sicherheit der von diesen Geräten verarbeiteten Daten verantwortlich und verantwortlich sind. Edgio-Anlagen müssen physisch verriegelt oder vergleichbar gesichert sein, wenn sie mit Geräten reisen, transportieren oder nutzen, die nicht von Edgio stammen.

Netzwerküberwachung. Edgio verwendet Tools und Verfahren zur Netzwerküberwachung, um unbefugte Aktivitäten in Edgio-Netzwerken zu identifizieren.

RISIKOMANAGEMENT IN DER LIEFERKETTE

Vertragskontrollen. Edgio setzt vertragliche Maßnahmen ein, um Edgios die Einhaltung angemessener Informationssicherheitsanforderungen durch Dritte, wie z. B. die Informationssicherheitsstandards von Edgio, einen Verhaltenskodex für Lieferanten und andere Risikomanagementrichtlinien, anzuordnen.

Edgio Risk Management Edgio hat Governance, Prozesse und Tools etabliert, die im gesamten Unternehmen von Edgio zum Management von Risiken Dritter eingesetzt werden. Das Programm verlangt von Lieferanten, die Sicherheitsanforderungen auf der Grundlage der unternehmensinternen Informationssicherheitsrichtlinien und Best Practices von Edgio zu erfüllen oder zu übertreffen. Zu diesen Tools und Verfahren kann gehören, dass der Lieferant einen Fragebogen ausfüllt, Kontrollnachweise bereitstellt und Remote- oder vor-Ort-Bewertungen durchführen muss. Das Programm erkennt Probleme mit Lieferanten und arbeitet daran, diese zeitnah zu lösen.

ZUGRIFFSSTEUERUNG

Zugriffsverwaltung

Logische Zugriffskontrollen. Edgio pflegt logische Zugriffssteuerungsrichtlinien, sodass nur autorisierte Mitarbeiter Zugriff auf kritische Geschäftsanwendungen und -Systeme haben, basierend auf Positionen und Aufgabenanforderungen.

Eindeutige Benutzer-IDs. Edgio weist jedem autorisierten Benutzer eine eindeutige Benutzer-ID zu, um die Verantwortung für Aktionen zu übernehmen.

Auf Überprüfungen Zugreifen. Edgio verwendet Autorisierungsprüfungen und Rollenänderungsprozesse, um Administratoren auf die Notwendigkeit hinzuweisen, Zugriffsrechte zu ändern und/oder zu entziehen, wenn ein autorisierter Benutzer keinen Zugriff mehr benötigt.

Aktivitätsprotokollierung . Die Edgio-Richtlinie erfordert die Protokollierung und Überwachung des Zugangs zu Edgio-Netzen und Edgio-Assets.

Sicherheitstools. Im gesamten Edgio-Netzwerk wurden Hardware- und softwarebasierte Tools implementiert, um Echtzeitalarme von Geräten wie Firewalls, Einbruchmeldesystemen, Routern und Switches bereitzustellen.

Ereignisprotokolle. Kritische Edgio-Assets müssen konfiguriert werden, um Ereignisprotokolle zu generieren. Ereignisprotokolle werden in Übereinstimmung mit den Datenaufbewahrungs- und behördlichen Anforderungen aufbewahrt.

Grundsatz der geringsten Privilege. Edgio verwendet in der Regel das Prinzip der geringsten Berechtigung, um den Zugriff für jedes seiner Systeme zu verwalten. Der privilegierte Zugang für Produktionsnetzwerke, System- oder Anwendungsfunktionen wird im Allgemeinen auf so wenige Mitarbeiter wie möglich kontrolliert und beschränkt und ist auf der Basis von „Kenntnis zu wissen“ oder „Ereignis für Ereignis“ autorisiert.

Multi-Faktor-Authentifizierung für Remote-Zugriff. Die Richtlinie von Edgio erfordert die Verwendung einer Multi-Faktor-Authentifizierung, um den Remote-Zugriff auf das Netzwerk und die Edgio-Assets zu sichern.

Identitätsprüfung. Die Zugriffskontrollrichtlinie von Edgio verlangt, dass die Zugangsdaten autorisierter Benutzer eine Person, ein System oder einen Service eindeutig identifizieren und geschützt werden. Der Zugriff, der von diesen autorisierten Benutzern gewährt wird, muss in regelmäßigen Abständen überprüft werden, um zu überprüfen, ob er weiterhin erforderlich ist.

De-Provisioning. Der Zugriff muss entzogen oder entfernt werden, wenn er nicht mehr benötigt wird (z. B. Änderung der Rolle) oder im Falle einer Kündigung.

PHYSISCHE SICHERHEIT

Physische Kontrollen. Edgio verwendet Kontrollen, um den physischen Zugang zu Einrichtungen, in denen Edgio Systeme untergebracht sind, auf autorisiertes Personal zu beschränken.

Physisches Zugriffsmanagement. Je nach Art der Einrichtung kann der Zugang durch elektronische Kartenleser, Schlüssel, Sicherheitskräfte oder örtliches Firmenpersonal gestattet werden.

Überwachung. CCTV-Kameras werden an strategischen Standorten eingesetzt, um Personal, Betrieb und Eigentum zu schützen.

Besuchermanagement. Gemäß den Richtlinien von Edgio müssen Besucher jederzeit von Edgio ausgestellte Besucherausweise besitzen und zeigen. Edgio verlangt von Besuchern, dass sie sich im Besucherprotokoll anmelden, bevor sie einen Besucherausweis erhalten. Das Personal von Edgio muss während des Aufenthalts auf dem Gelände von Edgio jederzeit einen vom Unternehmen ausgestellten Personalausweis tragen.

Sicherheit Im Rechenzentrum. Edgio benötigt physische Sicherheitskontrollen für jeden Computerraum, jedes Rechenzentrum und ähnliche Einrichtungen.

SCHULUNG ZUR INFORMATIONSSICHERHEIT VON MITARBEITERN UND AUFTRAGNEHMERN

Jährliche Schulung Zur Sensibilisierung Für Informationssicherheit. Edgio verlangt, dass Mitarbeiter und Auftragnehmer von Edgio jährlich Schulungen zum Thema Informationssicherheit und Cybersicherheit absolvieren, um sie über ihre Rolle im Bereich Informationssicherheit zu informieren.

PENETRATIONSTESTS

Edgios interne Anwendung von Penetrationstests. Edgio führt Penetrationstests in den internen und externen Umgebungen von Edgio basierend auf Risiken durch.

Einschränkungen der Penetrationsprüfung. Aufgrund der Sicherheitsbedenken für Edgio und seine Kunden erlaubt Edgio Kunden nicht, den Sicherheitsstatus von Netzwerkgeräten zu testen, die Edgio besitzt, betreibt oder sich in einem Edgio Rechenzentrum befinden. Außerdem erlaubt Edgio keine Denial-of-Service-, Flooding- oder ähnliche Testaktivitäten, bei denen eine erhebliche Nutzung der Netzwerkbandbreite erforderlich ist.

FIREWALLS UND NETZWERKSEGMENTIERUNG

Firewalls Und Sicherheitstools. Edgio verwendet Hardware- und softwarebasierte Tools (wie Firewalls) im gesamten Edgio-Netzwerk, um Echtzeitalarme von Geräten wie Einbruchmeldesystemen, Routern und Switches bereitzustellen.

Netzwerk- und Systemarchitektur. Edgio verwendet Verfahren für System-, Software- und Netzwerkarchitektur, um Cyberrisiken zu mindern.

BACK-UPS (gilt nicht für Kundeninhalte)

Sicherungsmaßnahmen. Edgio pflegt formell Richtlinien und Verfahren zur Datensicherung, wo dies angemessen ist. Datensicherungen werden bei der Durchführung von Datenzuordnung, -Aufbewahrung oder -Löschung verwaltet und berücksichtigt.

Kritische Dateisicherungen und -Tests. Administratoren müssen regelmäßig Sicherungen kritischer Dateien erstellen und geeignete Vorkehrungen treffen, um Informationen vor Beschädigung, Verlust oder Verlust zu schützen. Darüber hinaus müssen Administratoren regelmäßige Tests der Backup-/Disaster Recovery-Verfahren durchführen.

DATENAUFBEWAHRUNG UND -ZERSTÖRUNG (gilt nicht für Kundeninhalte)

Richtlinie Zur Datenaufbewahrung. Die Edgio-Richtlinie erfordert die systematische und strukturierte Verwaltung und den Schutz von Daten während des gesamten Lebenszyklus der Daten; von der Erstellung über die Übertragung, Speicherung, Änderung, Aufbewahrung und Vernichtung.

Systemspezifisch. Edgio verwaltet die Datenaufbewahrung mithilfe systemspezifischer Zusammenfassungen zur Datenaufbewahrung. In einer Zusammenfassung der Datenspeicherung werden aufgezeichnet, welche Datentypen das System enthält, der Zweck für die Erfassung und Verwendung der einzelnen Datentypen, die auslösenden Ereignisse für die Vernichtung und der Zeitraum, in dem die Daten aufbewahrt werden sollen. Diese Zusammenfassungen zur Datenaufbewahrung sind erforderlich, um den unternehmensweiten Datenspeicherungsplan von Edgio und alle geltenden Gesetze, Vorschriften und Kundenanforderungen zu erfüllen.

Datenvernichtung. Edgios Verfahren zur Datenvernichtung stimmen mit NIST 800-88 überein und umfassen Daten, die auf magnetischen, Festkörpermedien, optischen Medien und vertraulichen Papierdokumenten enthalten sind.

REAKTION AUF VORFÄLLE/DATENSCHUTZVERLETZUNGEN

Programm

Notfallplan. Edgio pflegt einen schriftlichen, umsetzbaren Notfallplan, um Edgio in die Lage zu versetzen, rechtzeitig auf Datenschutzverletzungen zu reagieren.

Test Des Notfallplans. Der Notfallplan von Edgio wird mithilfe von Tischübungen getestet, um dokumentierte Verfahren zu koordinieren und zu verifizieren.

Reaktion Auf Vorfälle Und Risikominderung

Sicherheitsereignisüberprüfungen. Die Daten von Sicherheitsereignissen werden nach Plan geprüft und analysiert. Sicherheitsereignisse müssen umgehend eskaliert werden, wenn vorbestimmte Ereignisschwellenwerte überschritten werden, und entsprechend einem definierten Incident Management-Prozess reagiert werden.

PERSONALWESEN

HR-Systeme; Deprovisioning. Die Protokolle und Verfahren zur Informationssicherheit von Edgio müssen in alle Systeme und Prozesse von Edgio Human Resource integriert werden. Die Personalabteilung (HR) und DIE IT-Abteilung von Edgio verfügen über automatisierte, prüfbare Routinen für die Kontoerstellung, Rollenberechtigungen und das Entziehen von Zugriffsrechten für neue Mitarbeiteranfragen, Rollenwechsel oder Kündigung eines Mitarbeiters.

Hintergrundüberprüfungen. Vorbehaltlich des anwendbaren Rechts führt die Personalabteilung eine umfassende Untersuchung des Hintergrunds von Edgio-Mitarbeitern vor der Einstellung durch, einschließlich der Überprüfung von Vorstrafen, der SSN, der Arbeitsgenehmigung und der Liste der verbotenen Parteien (z. B. Office of Foreign Assets Control).

Edgio Verhaltenskodex. Der Edgio Verhaltenskodex verlangt, dass die Mitarbeiter von Edgio die Richtlinien und Verfahren zur Informationssicherheit von Edgio einhalten.

PROGRAMM ZUR SCHWACHSTELLENVERWALTUNG

Risikominderung Für Schwachstellen. Das Vulnerability Management-Programm von Edgio wurde entwickelt, um Praktiken und Verfahren zu implementieren und aufrechtzuerhalten, um das Risiko von Schwachstellen in der Geschäftsumgebung von Edgio zu mindern.

Patch-Management-Prozess. Um ein hohes Maß an Funktionalität und Sicherheit seiner Netzwerke und gehosteten Systeme aufrechtzuerhalten, verfügt Edgio über einen etablierten Patch-Management-Prozess für Produktionshardware und -Software, die im Edgio-Netzwerk installiert ist. Sicherheitspatches von Anbietern werden zunächst bewertet, um das Risiko und die Bereitstellungspriorität zu bestimmen. Sobald ein Patch die richtigen Testverfahren bestanden hat, wird er für die Planung zur Bereitstellung in der Produktion freigegeben.

Signifikante Systemänderungen. Edgio plant, überwacht, steuert und verfolgt wesentliche Änderungen an Edgio Assets.

Schwachstellen-Scans. Edgio führt regelmäßig interne und externe Schwachstellen durch. Systemeigentümer können bei Bedarf Echtzeit-Scans von Schwachstellen planen, um sich an sich ändernde Bedrohungsvektoren anzupassen.

Einschränkungen beim Scannen durch Kunden. Da Edgio die Systeme von Edgio stören und Sicherheitsrisiken für Edgio und seine Kunden verursachen könnte, erlaubt Edgio Kunden (oder deren Dritten) nicht, Edgio Assets zu testen oder zu scannen.

Beschränkungen der gemeinsamen Nutzung von Berichten. Edgio stellt keine Berichte über Sicherheitslücken bereit und beantwortet keine spezifischen allgemeinen Sicherheitslücken (Common Vulnerability & Exposures, CVE)-Fragen zur Verwendung und/oder Nichtverwendung bestimmter Hardware, Software oder Produkte von Drittanbietern, die innerhalb der Edgio-Infrastruktur bereitgestellt werden.

BUSINESS CONTINUITY AND EVENT MANAGEMENT („BCEM“)

Business Continuity-Protokolle. Edgio unterhält Protokolle zur Geschäftskontinuität und zur Wiederherstellung nach Systemausfällen, die Edgio in der Lage sind, auf wichtige Ereignisse zu reagieren, die die Netzwerke und Einrichtungen von Edgio stören oder die Fähigkeit von Edgio zur Erbringung von Diensten beeinträchtigen könnten.

Bewertung Des Katastrophenrisikos. Edgios Business Continuity- und Disaster Recovery-Verfahren identifizieren potenzielle Wiederherstellungsrisiken für Edgio Assets und implementieren Maßnahmen, die dazu beitragen, diese Risiken mithilfe branchenüblicher Verfahren zu minimieren und zu mindern.

Dedizierte Teamressourcen. Edgio entwickelt und implementiert Strategien zur Minimierung von Recovery-Risiken und zur Validierung der Reaktionsfähigkeit von Edgio durch strenge standardisierte Planung und regelmäßige Tests.

ANHANG 2: STANDARDVERTRAGSKLAUSELN FÜR ÜBERWEISUNGEN AUS DER EU

(Controller zu Prozessoren)

DURCHFÜHRUNGSBESCHLUSS (EU) 2021/914 DER KOMMISSION vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (für die Verarbeitung Verantwortliche an den Auftragsverarbeiter).

Zwischen dem Kunden im Folgenden „Datenexporteur“ und Edgio, Inc. Im Folgenden „Datenimporteur“, jeweils eine „Partei“; zusammen „die Parteien“,

Unter BERÜCKSICHTIGUNG der beiderseitigen Bündnisse und Versprechen, die in diesem Dokument enthalten sind

HABEN SICH AUF die folgenden Vertragsklauseln („Klauseln“ ) GEEINIGT,um angemessene Garantien in Bezug auf den Schutz der Privatsphäre sowie die Grundrechte und Freiheiten natürlicher Personen für die Übermittlung der in Anhang 1 genannten personenbezogenen Daten durch den Datenexporteur an den Datenimporteur zu gewährleisten.

ABSCHNITT I

Klausel 1

Zweck und Geltungsbereich

(A) Zweck dieser Standardvertragsklauseln ist es, die Einhaltung der Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sicherzustellen dieser Daten (Datenschutz-Grundverordnung) für die Übermittlung von Daten in ein Drittland.

b) die Vertragsparteien:

i) die natürliche oder juristische Person(en), Behörde(n), Behörde(n), Stelle(en) oder sonstige Stelle(en) (im Folgenden „Organisation(en)“), die die personenbezogenen Daten gemäß Anhang I.A übermittelt (im Folgenden „Datenexporteur“), und

ii) die Stelle(en) in einem Drittland, die die personenbezogenen Daten vom Datenexporteur direkt oder indirekt über eine andere Stelle, die ebenfalls Vertragspartei dieser Klauseln ist, gemäß Anhang I.A erhält (im Folgenden „Datenimporteur“)

Diesen Standardvertragsklauseln (im Folgenden „Klauseln“ ) zugestimmt haben.

c) diese Klauseln gelten für die Übermittlung personenbezogener Daten gemäß Anhang I.B.

d) die Anlage zu diesen Klauseln mit den darin genannten Anhängen ist Bestandteil dieser Klauseln.

Klausel 2

Auswirkung und Unbeständigkeit der Klauseln

(A) diese Klauseln enthalten angemessene Garantien, einschließlich durchsetzbarer Rechte betroffener Personen und wirksamer Rechtsbehelfe gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 und in Bezug auf Datenübermittlungen von für die Verarbeitung Verantwortlichen an Auftragsverarbeiter und/oder Auftragsverarbeiter an Auftragsverarbeiter; Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679, sofern sie nicht geändert werden, es sei denn, das/die entsprechende(n) Modul(e) auszuwählen oder Informationen in der Anlage hinzuzufügen oder zu aktualisieren. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfassenderen Vertrag aufzunehmen und/oder andere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern sie diesen Klauseln nicht direkt oder indirekt widersprechen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beeinträchtigen.

(b) diese Klauseln lassen die Verpflichtungen unberührt, denen der Datenexporteur aufgrund der Verordnung (EU) 2016/679 unterliegt.

Klausel 3

Drittbegünstigte

(A) die betroffenen Personen können diese Klauseln als Drittbegünstigte gegenüber dem Datenexporteur und/oder Datenimporteur geltend machen und durchsetzen, mit folgenden Ausnahmen:

i) Paragraph 1, Paragraph 2, Paragraph 3, Paragraph 6, Paragraph 7;

ii) Abschnitt 8 – Modul 2: Abschnitt 8,1 Buchstabe b, 8,9 Buchstaben a, c, d und e;

iii) Abschnitt 9 – Modul 2: Abschnitt 9 Buchstabe a, c), d) und E);

iv) Abschnitt 12 – Module 2: Abschnitt 12 Buchstaben a, d und f;

v) Abschnitt 13;

vi) Abschnitt 15.1 Buchstaben c), d) und e);

vii) Abschnitt 16 Buchstabe e);

viii) Abschnitt 18 – Modul 2: Abschnitt 18 Buchstaben a und b.

b) Absatz (A) die Rechte betroffener Personen gemäß der Verordnung (EU) 2016/679.

Klausel 4

Interpretation

A) werden in diesen Klauseln Begriffe verwendet, die in der Verordnung (EU) 2016/679 definiert sind, so haben diese Begriffe dieselbe Bedeutung wie in der genannten Verordnung.

(b) diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 zu lesen und auszulegen.

c) diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die mit den in der Verordnung (EU) 2016/679 vorgesehenen Rechten und Pflichten kollidiert.

Klausel 5

Hierarchie

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen der dazugehörigen Vereinbarungen zwischen den Parteien, die zum Zeitpunkt der Vereinbarung oder des späteren Abschlusses dieser Klauseln bestehen, haben diese Klauseln Vorrang.

Klausel 6

Beschreibung der Übertragung(en)

Die Einzelheiten der Übermittlung(en), insbesondere die Kategorien der übermittelten personenbezogenen Daten und der Zweck(e), für den/die sie übermittelt werden, sind in Anhang I.B. aufgeführt

Klausel 7

Docking-Klausel

BEWUSST LEER.

ABSCHNITT II – VERPFLICHTUNGEN DER PARTEIEN

Klausel 8

Datenschutzgarantien

Der Datenexporteur gewährleistet, dass er angemessene Anstrengungen unternommen hat, um festzustellen, ob der Datenimporteur in der Lage ist, seinen Verpflichtungen aus diesen Klauseln durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen nachzukommen.

8,1 Anweisungen

A) der Datenimporteur verarbeitet die personenbezogenen Daten nur auf dokumentierte Anweisungen des Datenexporteur. Der Datenexporteur kann solche Anweisungen während der gesamten Vertragslaufzeit erteilen.

b) der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er diesen Anweisungen nicht Folge leisten kann.

8,2 Zweckbeschränkung

Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den (die) spezifischen Zweck(e) der Übermittlung gemäß Anhang I.B, es sei denn, der Datenexporteur hat weitere Anweisungen erteilt.

8,3 Transparenz

Auf Anfrage stellt der Datenexporteur der betroffenen Person eine Kopie dieser Klauseln einschließlich des von den Vertragsparteien ausgefüllten Anhangs kostenlos zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich der in Anhang II beschriebenen Maßnahmen und personenbezogener Daten, erforderlich ist, kann der Datenexporteur einen Teil des Textes der Anlage zu diesen Klauseln vor der Weitergabe einer Kopie verdunkeln — Sie müssen jedoch eine aussagekräftige Zusammenfassung vorlegen, wenn die betroffene Person andernfalls ihren Inhalt nicht verstehen oder ihre Rechte nicht ausüben könnte. Auf Anfrage teilen die Vertragsparteien der betroffenen Person die Gründe für die Datenerhebung mit, soweit möglich, ohne dass die geschwärzten Informationen offengelegt werden. Diese Klausel berührt nicht die Verpflichtungen des Datenexporteurs gemäß den Artikeln 13 und 14 der Verordnung (EU) 2016/679.

8,4 Genauigkeit

Stellt der Datenimporteur fest, dass die erhaltenen personenbezogenen Daten unrichtig sind oder veraltet sind, so unterrichtet er den Datenexporteur unverzüglich. In diesem Fall arbeitet der Datenimporteur mit dem Datenexporteur zusammen, um die Daten zu löschen oder zu berichtigen.

8,5 Dauer der Verarbeitung und Löschung oder Rückgabe von Daten

Die Verarbeitung durch den Datenimporteur erfolgt nur für die in Anhang I.B angegebene Dauer. Nach Beendigung der Erbringung der Verarbeitungsdienste übernimmt der Datenimporteur nach Wahl des Datenexporteur löschen Sie alle personenbezogenen Daten, die im Namen des Datenexporteur verarbeitet wurden, und bestätigen Sie dem Datenexporteur, dass er dies getan hat, oder geben Sie alle in seinem Namen verarbeiteten personenbezogenen Daten an den Datenexporteur zurück und löschen Sie vorhandene Kopien. Bis zur Löschung oder Rückgabe der Daten gewährleistet der Datenimporteur weiterhin die Einhaltung dieser Klauseln. Im Falle lokaler Gesetze, die für den Datenimporteur gelten und die Rückgabe oder Löschung der personenbezogenen Daten verbieten, der Datenimporteur garantiert, dass er weiterhin die Einhaltung dieser Klauseln sicherstellt und sie nur in dem Umfang und so lange verarbeitet, wie dies nach den lokalen Gesetzen erforderlich ist. Dies gilt unbeschadet der Klausel 14. insbesondere die Verpflichtung des Datenimporteurs gemäß Klausel 14 Buchstabe e, den Datenexporteur während der gesamten Vertragslaufzeit zu benachrichtigen, wenn er Grund zu der Annahme hat, dass er Rechtsvorschriften oder Praktiken unterliegt, die nicht den Anforderungen gemäß Klausel 14 Buchstabe a entsprechen.

8,6 Sicherheit der Verarbeitung

A) der Datenimporteur und, während der Übermittlung, auch der Datenexporteur treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einer Verletzung der Sicherheit, die zu einer zufälligen oder unrechtmäßigen Vernichtung, zum Verlust, zur Änderung, zur unbefugten Weitergabe oder zum unbefugten Zugriff auf diese Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Bewertung des angemessenen Sicherheitsniveaus berücksichtigen die Vertragsparteien den Stand der Technik, die Kosten der Durchführung, Art, Umfang, Kontext und Zweck(e) der Verarbeitung sowie die mit der Verarbeitung für die betroffenen Personen verbundenen Risiken. Die Vertragsparteien erwägen insbesondere, auf Verschlüsselung oder Pseudonymisierung zurückzugreifen, auch während der Übermittlung, wenn der Zweck der Verarbeitung auf diese Weise erfüllt werden kann. Im Falle einer Pseudonymisierung bleiben die zusätzlichen Informationen für die Zuordnung der personenbezogenen Daten zu einer bestimmten betroffenen Person soweit möglich unter der ausschließlichen Kontrolle des Datenexporteur. Bei der Erfüllung seiner Verpflichtungen aus diesem Absatz setzt der Datenimporteur zumindest die in Anhang II genannten technischen und organisatorischen Maßnahmen um Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Sicherheitsniveau bieten.

b) der Datenimporteur gewährt seinen Mitarbeitern Zugang zu den personenbezogenen Daten nur in dem Umfang, der für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Sie stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Geheimhaltungspflicht unterliegen.

c) im Falle einer Verletzung des Schutzes personenbezogener Daten in Bezug auf personenbezogene Daten, die vom Datenimporteur gemäß diesen Klauseln verarbeitet werden, ergreift der Datenimporteur geeignete Maßnahmen, um gegen den Verstoß vorzugehen, einschließlich Maßnahmen zur Abmilderung seiner nachteiligen Auswirkungen. Der Datenimporteur unterrichtet den Datenexporteur auch unverzüglich, nachdem er von dem Verstoß Kenntnis erlangt hat. Diese Mitteilung enthält die Einzelheiten einer Kontaktstelle, bei der weitere Informationen eingeholt werden können, eine Beschreibung der Art des Verstoßes (gegebenenfalls einschließlich Kategorien und ungefähre Zahl der betroffenen Personen und der betroffenen personenbezogenen Datendatensätze); die voraussichtlichen Folgen und die zur Behebung des Verstoßes ergriffenen oder vorgeschlagenen Maßnahmen, gegebenenfalls einschließlich Maßnahmen zur Minderung etwaiger nachteiliger Auswirkungen. Ist es nicht möglich, alle Informationen gleichzeitig zu übermitteln, so enthält die Erstnotifizierung die zu diesem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend unverzüglich übermittelt.

d) der Datenimporteur arbeitet mit dem Datenexporteur zusammen und unterstützt ihn, damit der Datenexporteur seinen Verpflichtungen aus der Verordnung (EU) 2016/679 nachkommen kann, insbesondere die zuständige Aufsichtsbehörde und die betroffenen Personen zu benachrichtigen; unter Berücksichtigung der Art der Verarbeitung und der Informationen, die dem Datenimporteur zur Verfügung stehen.

8,7 vertrauliche Daten

Wenn die Übermittlung personenbezogene Daten umfasst, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die gewerkschaftszugehörigkeit hervorgehen, genetische Daten oder biometrische Daten zum Zwecke der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person; oder Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten (im Folgenden „sensible Daten“) wendet der Datenimporteur die spezifischen Beschränkungen und/oder zusätzlichen Garantien gemäß Anhang I.B. an

8,8 Weiterübertragungen

Der Datenimporteur gibt die personenbezogenen Daten nur auf dokumentierte Anweisungen des Datenexporteur an Dritte weiter. Darüber hinaus dürfen die Daten nur an Dritte außerhalb der Europäischen Union (im selben Land wie der Datenimporteur oder in einem anderen Drittland, im Folgenden „Weiterübermittlung“) weitergegeben werden, wenn der Dritte im Rahmen des entsprechenden Moduls an diese Klauseln gebunden ist oder damit einverstanden ist — oder wenn:

(i) die Weiterüberstellung in ein Land erfolgt, dem gemäß Artikel 45 der Verordnung (EU) 2016/679 ein Angemessenheitsbeschluss zur Abdeckung der Weiterüberstellung zusteht;

ii) der Dritte gewährleistet in sonstiger Weise angemessene Garantien gemäß den Artikeln 46 oder 47 der Verordnung (EU) 2016/679 in Bezug auf die betreffende Verarbeitung;

iii) die Weiterübertragung zur Begründung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen spezifischer Verwaltungs-, Regulierungs- oder Gerichtsverfahren erforderlich ist oder

iv) die Weiterübermittlung zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ist.

Jede Weiterübermittlung unterliegt der Einhaltung aller anderen Schutzmaßnahmen gemäß diesen Klauseln durch den Datenimporteur, insbesondere der Zweckbegrenzung.

8,9 Dokumentation und Compliance

A) der Datenimporteur bearbeitet Anfragen des Datenexporteur, die sich auf die Verarbeitung nach diesen Klauseln beziehen, unverzüglich und angemessen.

b) die Vertragsparteien müssen in der Lage sein, die Einhaltung dieser Klauseln nachzuweisen. Insbesondere führt der Datenimporteur geeignete Unterlagen über die im Namen des Datenexporteur durchgeführten Verarbeitungstätigkeiten.

c) der Datenimporteur stellt dem Datenexporteur auf Antrag des Datenexporteur alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in diesen Klauseln festgelegten Verpflichtungen nachzuweisen, ermöglicht Prüfungen der unter diese Klauseln fallenden Verarbeitungstätigkeiten und trägt zu diesen bei; in angemessenen Abständen oder bei Anhaltspunkten für eine Nichteinhaltung. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Datenexporteur einschlägige Bescheinigungen des Datenimporteurs berücksichtigen.

d) der Datenexporteur kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Audits können Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Datenimporteurs umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.

E) die Vertragsparteien machen die in den Absätzen genannten Informationen b) und c) einschließlich der Ergebnisse etwaiger Prüfungen, die der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung stehen.

Klausel 9

Verwendung von Unterauftragsverarbeitern

A) der Datenimporteur hat die allgemeine Genehmigung des Datenexporteur, Unterauftragsverarbeiter aus einer vereinbarten Liste zu beauftragen. Der Datenimporteur informiert den Datenexporteur ausdrücklich schriftlich über alle beabsichtigten Änderungen dieser Liste durch Hinzufügung oder Ersetzung von Unterauftragsverarbeitern mindestens dreißig (30) Tage im Voraus; dadurch hat der Datenexporteur ausreichend Zeit, um gegen solche Änderungen Einspruch zu erheben, bevor der/die Unterauftragsverarbeiter/e beauftragt wird. Der Datenimporteur stellt dem Datenexporteur die Informationen zur Verfügung, die er benötigt, damit er sein Widerspruchsrecht ausüben kann.

b) beauftragt der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Namen des Datenexporteur), so erfolgt dies im Wege eines schriftlichen Vertrags, der im Wesentlichen dieselben Datenschutzverpflichtungen vorsieht wie die Verpflichtungen, die den Datenimporteur gemäß diesen Klauseln binden; auch in Bezug auf Rechte Dritter, die für betroffene Personen Begünstigte gewährt werden. Die Vertragsparteien kommen überein, dass der Datenimporteur durch die Einhaltung dieser Klausel seinen Verpflichtungen aus Klausel 8,8 nachkommt. Der Datenimporteur stellt sicher, dass der Unterauftragsverarbeiter den Verpflichtungen nachkommt, denen der Datenimporteur gemäß diesen Klauseln unterliegt.

c) der Datenimporteur übermittelt dem Datenexporteur auf Antrag des Datenexporteur eine Kopie einer solchen Unterauftragsvereinbarung und etwaiger späterer Änderungen. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Datenimporteur den Text der Vereinbarung vor der Weitergabe einer Kopie verdunkeln.

d) der Datenimporteur bleibt dem Datenexporteur gegenüber uneingeschränkt für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters aus seinem Vertrag mit dem Datenimporteur verantwortlich. Der Datenimporteur teilt dem Datenexporteur mit, wenn der Unterauftragsverarbeiter seinen Verpflichtungen aus diesem Vertrag nicht nachkommt.

E) der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigungsklausel, wonach – falls der Datenimporteur faktisch verschwunden ist – gesetzlich nicht mehr bestehen oder zahlungsunfähig geworden ist – der Datenexporteur hat das Recht, den Vertrag mit dem Unterauftragsverarbeiter zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

Klausel 10

Rechte betroffener Personen

A) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich über jeden Antrag, den er von einer betroffenen Person erhalten hat. Sie beantwortet dieses Ersuchen nicht selbst, es sei denn, sie wurde vom Datenexporteur dazu ermächtigt.

(b) der Datenimporteur unterstützt den Datenexporteur bei der Erfüllung seiner Verpflichtungen, auf Anträge betroffener Personen auf Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679 zu reagieren. In diesem Zusammenhang legen die Vertragsparteien in Anhang II die geeigneten technischen und organisatorischen Maßnahmen fest, wobei sie der Art der Verarbeitung, durch die die Unterstützung geleistet wird, sowie dem Umfang und dem Umfang der erforderlichen Unterstützung Rechnung tragen.

c) bei der Erfüllung ihrer Verpflichtungen nach den Absätzen A) und b) hat der Datenimporteur die Anweisungen des Datenexporteur zu befolgen.

Klausel 11

Rechtsschutz

A) der Datenimporteur informiert die betroffenen Personen in transparenter und leicht zugänglicher Form durch individuelle Bekanntmachung oder auf seiner Website über eine Kontaktstelle, die zur Bearbeitung von Beschwerden befugt ist. Sie behandelt Beschwerden, die sie von einer betroffenen Person erhält, unverzüglich.

b) im Falle einer Streitigkeit zwischen einer betroffenen Person und einer der Vertragsparteien über die Einhaltung dieser Klauseln bemüht sich diese Vertragspartei nach besten Kräften, um die Angelegenheit gütlich und rechtzeitig zu lösen. Die Vertragsparteien halten einander über solche Streitigkeiten auf dem Laufenden und arbeiten gegebenenfalls bei ihrer Beilegung zusammen.

(c) beruft sich die betroffene Person auf ein Drittbegünstigtes Recht gemäß Klausel 3, so akzeptiert der Datenimporteur die Entscheidung der betroffenen Person,

i) Beschwerde bei der Aufsichtsbehörde des Mitgliedstaats seines gewöhnlichen Aufenthalts oder Arbeitsorts oder bei der zuständigen Aufsichtsbehörde gemäß Abschnitt 13 einlegen;

ii) Verweisung der Streitigkeit an die zuständigen Gerichte im Sinne von Paragraph 18.

(d) die Vertragsparteien akzeptieren, dass die betroffene Person unter den in Artikel 80 Absatz 1 der Verordnung (EU) 2016/679 festgelegten Bedingungen durch eine Einrichtung, Organisation oder Vereinigung ohne Erwerbszweck vertreten werden kann.

(E) der Datenimporteur hält sich an eine Entscheidung, die nach dem geltenden EU- oder mitgliedstaatlichen Recht bindend ist.

(f) der Datenimporteur erklärt sich damit einverstanden, dass die von der betroffenen Person getroffene Entscheidung ihre materiellen und verfahrensrechtlichen Rechte auf Rechtsbehelfe im Einklang mit den geltenden Rechtsvorschriften nicht berührt.

Klausel 12

Haftung

(A) jede Partei haftet gegenüber der/den anderen Partei/n für Schäden, die sie der/den anderen Partei/n durch einen Verstoß gegen diese Klauseln verursacht.

(b) der Datenimporteur haftet der betroffenen Person gegenüber und die betroffene Person hat Anspruch auf Entschädigung für jeden materiellen oder immateriellen Schaden, den der Datenimporteur oder sein Unterauftragsverarbeiter der betroffenen Person verursacht, indem er die Rechte des Drittbegünstigten gemäß diesen Klauseln verletzt.

c) Unbeschadet des Absatzes b) haftet der Datenexporteur gegenüber der betroffenen Person und die betroffene Person hat Anspruch auf Entschädigung für alle materiellen oder immateriellen Schäden, die der Datenexporteur oder der Datenimporteur (oder sein Unterverarbeiter) der betroffenen Person verursacht, indem er die Rechte des Drittbegünstigten gemäß diesen Klauseln verletzt. Dies gilt unbeschadet der Haftung des Datenexporteurs und, wenn es sich bei dem Datenexporteur um einen Auftragsverarbeiter handelt, der im Namen eines für die Verarbeitung Verantwortlichen handelt, der Haftung des für die Verarbeitung Verantwortlichen gemäß der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725, soweit anwendbar.

d) die Vertragsparteien vereinbaren, dass, wenn der Datenexporteur nach Absatz haftbar gemacht wird c) für Schäden, die vom Datenimporteur (oder seinem Unterverarbeiter) verursacht wurden, ist er berechtigt, vom Datenimporteur den Teil der Entschädigung zurückzufordern, der der Verantwortung des Datenimporteurs für den Schaden entspricht.

E) wenn mehr als eine Partei für Schäden verantwortlich ist, die der betroffenen Person infolge eines Verstoßes gegen diese Klauseln entstehen, alle verantwortlichen Parteien haften gesamtschuldnerisch, und die betroffene Person ist berechtigt, eine Klage vor Gericht gegen eine dieser Parteien zu erheben.

f) die Vertragsparteien vereinbaren, dass, wenn eine Partei nach Absatz haftbar gemacht wird E) ist sie berechtigt, von der/den anderen Partei/n den Teil der Entschädigung zurückzufordern, der ihrer/ihrer Verantwortung für den Schaden entspricht.

G) der Datenimporteur darf sich nicht auf das Verhalten eines Unterauftragsverarbeiters berufen, um seiner eigenen Haftung zu entgehen.

Klausel 13

Überwachung

Die Aufsichtsbehörde, die gemäß Anhang I.C dafür verantwortlich ist, dass der Datenexporteur die Verordnung (EU) 2016/679 hinsichtlich der Datenübermittlung erfüllt, fungiert als zuständige Aufsichtsbehörde.

b) der Datenimporteur verpflichtet sich, sich der Gerichtsbarkeit der zuständigen Aufsichtsbehörde zu unterwerfen und bei allen Verfahren, die die Einhaltung dieser Klauseln gewährleisten sollen, mit der zuständigen Aufsichtsbehörde zusammenzuarbeiten. Insbesondere erklärt sich der Datenimporteur bereit, auf Anfragen zu reagieren, sich Audits zu unterziehen und die von der Aufsichtsbehörde erlassenen Maßnahmen, einschließlich Abhilfemaßnahmen und Ausgleichsmaßnahmen, einzuhalten. Sie bestätigt der Aufsichtsbehörde schriftlich, dass die erforderlichen Maßnahmen ergriffen wurden.

ABSCHNITT III – ÖRTLICHE GESETZE UND PFLICHTEN IM FALLE DES ZUGANGS DURCH BEHÖRDEN

Klausel 14

Lokale Gesetze und Praktiken, die sich auf die Einhaltung der Klauseln auswirken

A) die Vertragsparteien gewährleisten, dass sie keinen Grund zu der Annahme haben, dass die Rechtsvorschriften und Praktiken im Bestimmungsdrittland, die für die Verarbeitung der personenbezogenen Daten durch den Datenimporteur gelten, einschließlich etwaiger Anforderungen an die Offenlegung personenbezogener Daten oder Maßnahmen zur Genehmigung des Zugangs der Behörden, den Datenimporteur daran hindern, seinen Verpflichtungen aus diesen Klauseln nachzukommen. Dies beruht auf der Auffassung, dass Gesetze und Praktiken, die den Kern der Grundrechte und Grundfreiheiten achten und nicht über das hinausgehen, was in einer demokratischen Gesellschaft erforderlich und verhältnismäßig ist, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 genannten Ziele zu schützen — nicht im Widerspruch zu diesen Klauseln stehen.

(b) die Parteien erklären, dass sie bei der Erbringung der Garantie in Absatz 1 erklären A) sie haben insbesondere folgenden Elementen gebührend Rechnung getragen:

i) die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungswege, der vorgesehenen Weiterübermittlung, der Art des Empfängers, des Verarbeitungszwecks, der Kategorien und des Formats der übermittelten personenbezogenen Daten; der Wirtschaftssektor, in dem die Übermittlung erfolgt; der Speicherort der übermittelten Daten;

ii) die Rechtsvorschriften und Praktiken des Bestimmungsdrittlandes — einschließlich derjenigen, die die Offenlegung von Daten an Behörden oder die Genehmigung des Zugangs dieser Behörden vorschreiben —, die angesichts der besonderen Umstände der Übermittlung und der geltenden Beschränkungen und Garantien von Belang sind;

iii) alle einschlägigen vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien nach diesen Klauseln getroffen wurden, einschließlich Maßnahmen, die während der Übermittlung und der Verarbeitung personenbezogener Daten im Bestimmungsland angewandt werden.

c) der Datenimporteur dies bei der Bewertung nach Absatz gewährleistet b) er hat sich nach besten Kräften bemüht, dem Datenexporteur einschlägige Informationen zu übermitteln, und stimmt zu, dass er weiterhin mit dem Datenexporteur zusammenarbeiten wird, um die Einhaltung dieser Klauseln sicherzustellen.

d) die Vertragsparteien kommen überein, die Bewertung nach Buchstabe b zu dokumentieren und der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

(E) der Datenimporteur verpflichtet sich, den Datenexporteur unverzüglich zu benachrichtigen, wenn er nach Zustimmung zu diesen Klauseln und während der Laufzeit des Vertrags Grund zu der Annahme hat, dass er Rechtsvorschriften oder Praktiken unterliegt, die nicht den Anforderungen des Buchstabens a) entsprechen, oder untersteht; auch nach einer Änderung der Rechtsvorschriften des Drittlandes oder einer Maßnahme (wie einem Offenlegungsantrag), die darauf hinweist, dass solche Gesetze in der Praxis angewandt werden, die nicht mit den Anforderungen von Buchstabe a im Einklang steht.

f) nach einer Mitteilung gemäß Buchstabe e) oder wenn der Datenexporteur anderweitig Grund zu der Annahme hat, dass der Datenimporteur seinen Verpflichtungen aus diesen Klauseln nicht mehr nachkommen kann, ermittelt der Datenexporteur unverzüglich geeignete Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit). vom Datenexporteur und/oder Datenimporteur zu übernehmen, um der Situation Rechnung zu tragen. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Ansicht ist, dass keine angemessenen Garantien für eine solche Übermittlung gewährleistet werden können, oder wenn er von der zuständigen Aufsichtsbehörde dazu angewiesen wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft. Wenn der Vertrag mehr als zwei Parteien umfasst, kann der Datenexporteur dieses Kündigungsrecht nur gegenüber der betreffenden Vertragspartei ausüben, sofern die Parteien nichts anderes vereinbart haben. Wird der Vertrag gemäß dieser Klausel gekündigt, so gelten Paragraph 16 Buchstaben d und e.

Klausel 15

Pflichten des Datenimporteurs im Falle des Zugangs durch Behörden

15,1 Benachrichtigung

A) der Datenimporteur verpflichtet sich, den Datenexporteur und, soweit möglich, die betroffene Person unverzüglich (gegebenenfalls mit Hilfe des Datenexporteur) zu unterrichten, wenn er

i) von einer Behörde, einschließlich Justizbehörden, nach dem Recht des Bestimmungslandes ein rechtsverbindliches Ersuchen um Offenlegung personenbezogener Daten erhält, die gemäß diesen Klauseln übermittelt werden; diese Mitteilung enthält Informationen über die erbetenen personenbezogenen Daten, die ersuchende Behörde, die Rechtsgrundlage für das Ersuchen und die erteilte Antwort oder

ii) Kenntnis von jedem direkten Zugang der Behörden zu personenbezogenen Daten erhält, die gemäß diesen Klauseln gemäß den Rechtsvorschriften des Bestimmungslandes übermittelt werden; diese Mitteilung umfasst alle Informationen, die dem Einführer zur Verfügung stehen.

b) wenn es dem Datenimporteur nach den Rechtsvorschriften des Bestimmungslandes untersagt ist, den Datenexporteur und/oder die betroffene Person zu unterrichten, erklärt sich der Datenimporteur bereit, nach besten Kräften einen Verzicht auf das Verbot zu erwirken, um so viele Informationen wie möglich zu übermitteln; so schnell wie möglich. Der Datenimporteur erklärt sich bereit, seine besten Bemühungen zu dokumentieren, um sie auf Antrag des Datenexporteur nachweisen zu können.

c) soweit nach den Rechtsvorschriften des Bestimmungslandes zulässig, verpflichtet sich der Datenimporteur, dem Datenexporteur während der Vertragslaufzeit in regelmäßigen Abständen so viele sachdienliche Informationen wie möglich über die eingegangenen Anträge zu übermitteln (insbesondere Anzahl der Anfragen, Art der angeforderten Daten, ersuchende Behörde(n), ob Ersuchen angefochten wurden und das Ergebnis solcher Anfechtungen usw.).

d) der Datenimporteur verpflichtet sich, die Informationen gemäß den Buchstaben a) bis c) für die Dauer des Vertrags aufzubewahren und sie der zuständigen Aufsichtsbehörde auf Verlangen zur Verfügung zu stellen.

(E) die Buchstaben a bis c gelten unbeschadet der Verpflichtung des Datenimporteurs gemäß Klausel 14 Buchstabe e und Klausel 16, den Datenexporteur unverzüglich zu informieren, wenn er diese Klauseln nicht einhalten kann.

15,2 Überprüfung der Rechtmäßigkeit und Datensparsamkeit

A) der Datenimporteur verpflichtet sich, die Rechtmäßigkeit des Offenlegungsersuchens zu überprüfen, insbesondere, ob er im Rahmen der Befugnisse verbleibt, die der ersuchenden Behörde erteilt wurden; und das Ersuchen anzufechten, wenn es nach sorgfältiger Prüfung zu dem Schluss kommt, dass es hinreichende Gründe zu der Annahme gibt, dass das Ersuchen nach den Rechtsvorschriften des Bestimmungslandes, den geltenden völkerrechtlichen Verpflichtungen und den Grundsätzen der internationalen Gemeinschaft rechtswidrig ist. Der Datenimporteur verfolgt unter denselben Bedingungen die Möglichkeit, Rechtsmittel einzulegen. Bei der Beanstandung eines Ersuchens fordert der Datenimporteur einstweilige Maßnahmen an, um die Wirkungen des Ersuchens auszusetzen, bis die zuständige Justizbehörde über die Sachlage entschieden hat. Sie gibt die angeforderten personenbezogenen Daten erst weiter, wenn dies nach den geltenden Verfahrensvorschriften erforderlich ist. Diese Anforderungen gelten unbeschadet der Verpflichtungen des Datenimporteurs gemäß Klausel 14 Buchstabe e.

b) der Datenimporteur verpflichtet sich, seine rechtliche Beurteilung und jede Anfechtung des Offenlegungsersuchens zu dokumentieren und, soweit nach den Rechtsvorschriften des Bestimmungslandes zulässig, die Unterlagen dem Datenexporteur zur Verfügung zu stellen. Sie stellt sie auch der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung.

c) der Datenimporteur verpflichtet sich, bei der Beantwortung eines Offenlegungsantrags auf der Grundlage einer angemessenen Auslegung des Ersuchens die Mindestmenge an Informationen bereitzustellen, die zulässig ist.

ABSCHNITT IV – SCHLUSSBESTIMMUNGEN

Klausel 16

Nichteinhaltung der Klauseln und Kündigung

A) der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er diese Klauseln aus welchen Gründen auch immer nicht einhalten kann.

b) verstößt der Datenimporteur gegen diese Klauseln oder kann er diese Klauseln nicht einhalten, so setzt der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aus, bis die Einhaltung erneut sichergestellt ist oder der Vertrag gekündigt wird. Dies gilt unbeschadet von Klausel 14 Buchstabe f.

c) der Datenexporteur ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn

i) der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Buchstabe b ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, jedenfalls innerhalb eines Monats nach der Aussetzung, wiederhergestellt wird;

(ii) der Datenimporteur in erheblichem oder anhaltendem Verstoß gegen diese Klauseln ist oder

iii) der Datenimporteur einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer Aufsichtsbehörde über seine Verpflichtungen aus diesen Klauseln nicht nachkommt.

In diesen Fällen unterrichtet sie die zuständige Aufsichtsbehörde über diese Verstöße. Betrifft der Vertrag mehr als zwei Vertragsparteien, so kann der Datenexporteur dieses Kündigungsrecht nur gegenüber der betreffenden Vertragspartei ausüben, sofern die Vertragsparteien nichts anderes vereinbart haben.

(d) personenbezogene Daten, die vor Beendigung des Vertrags gemäß Absatz übermittelt wurden c) werden nach Wahl des Datenexporteur unverzüglich dem Datenexporteur zurückgegeben oder vollständig gelöscht. Gleiches gilt für alle Kopien der Daten. Der Datenimporteur bestätigt dem Datenexporteur die Löschung der Daten. Bis zur Löschung oder Rückgabe der Daten gewährleistet der Datenimporteur weiterhin die Einhaltung dieser Klauseln. Im Falle lokaler Gesetze, die für den Datenimporteur gelten und die Rückgabe oder Löschung der übermittelten personenbezogenen Daten verbieten, der Datenimporteur garantiert, dass er weiterhin die Einhaltung dieser Klauseln sicherstellt und die Daten nur in dem Umfang und so lange verarbeitet, wie dies nach den lokalen Gesetzen erforderlich ist.

E) jede Vertragspartei kann ihre Zustimmung, durch diese Klauseln gebunden zu sein, widerrufen, wenn (i) die Europäische Kommission einen Beschluss gemäß Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 erlässt, der die Übermittlung personenbezogener Daten betrifft, für die diese Klauseln gelten; oder ii) die Verordnung (EU) 2016/679 wird Teil des Rechtsrahmens des Landes, in das die personenbezogenen Daten übermittelt werden. Dies gilt unbeschadet anderer Verpflichtungen, die für die betreffende Verarbeitung gemäß der Verordnung (EU) 2016/679 gelten.

Klausel 17

Geltendes Recht

Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, sofern dieses Recht Rechte Dritter begünstigt. Die Vertragsparteien kommen überein, dass dies das Recht Irlands ist.

Klausel 18

Wahl des Forums und der Gerichtsbarkeit

A) Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten eines EU-Mitgliedstaats beigelegt.

b) die Vertragsparteien kommen überein, dass diese Gerichte Irlands sind.

c) Eine betroffene Person kann auch vor den Gerichten des Mitgliedstaats, in dem sie ihren gewöhnlichen Aufenthalt hat, Klage gegen den Datenexporteur und/oder Datenimporteur erheben.

d) die Vertragsparteien kommen überein, sich der Zuständigkeit dieser Gerichte zu unterwerfen.

Klausel 19

Übermittlung unterliegt schweizerischem Datenschutzrecht

(A) soweit die Datenschutzgesetze und -Vorschriften der Schweiz (“Schweizerisches Datenschutzgesetz“) für die Übermittlung personenbezogener Daten gelten, stimmen der Datenexporteur und Datenimporteur zu, dass diese Klauseln so geändert werden, dass (nur) in Bezug auf eine solche Übermittlung (und ohne die Anwendung dieser Klauseln anderweitig einzuschränken oder zu beeinträchtigen):

I. Allgemeine und spezifische Bezugnahmen in diesen Klauseln auf die Verordnung (EU) 2016/679 oder „jene Verordnung“ oder das Recht der EU oder der Mitgliedstaaten haben dieselbe Bedeutung wie die entsprechende Bezugnahme im schweizerischen Datenschutzrecht;

ii Der Begriff ‚Mitgliedstaat‘ wird nicht so ausgelegt, dass betroffene Personen in der Schweiz von der Möglichkeit ausgeschlossen werden, gemäß Paragraph 18 Buchstabe c dieser Klauseln für ihre Rechte am Ort ihres gewöhnlichen Aufenthalts (Schweiz) zu klagen;

iii Die Einzelheiten der Übermittlungen sind in Anhang I aufgeführt, wo die schweizerischen Datenschutzgesetze für die Verarbeitung durch den Datenexporteur bei der Übermittlung gelten;

iv. Diese Klauseln gelten auch für die Übermittlung von Informationen, die sich auf eine identifizierte oder identifizierbare juristische Person beziehen, wenn diese Informationen gemäß schweizerischem Datenschutzrecht ähnlich wie „personenbezogene Daten“ geschützt sind, bis diese Gesetze so geändert werden, dass sie für eine juristische Person nicht mehr gelten; und

v. der Eidgenössische Datenschutzbeauftragte ist die zuständige Aufsichtsbehörde für die Zwecke von Ziffer 13 dieser Klauseln.


ANHANG I ZU ANLAGE 2

A. LISTE DER PARTEIEN

DATENEXPORTEUR: [Identität und Kontaktdaten des/der Datenexporteur(s) und gegebenenfalls seines/ihres Datenschutzbeauftragten und/oder Vertreters in der Europäischen Union]

Siehe Anhang 1 Teil A.

B. BESCHREIBUNG DER ÜBERTRAGUNG

Siehe Anhang 1 Teil B.

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

Siehe Anhang 1 Teil B.

ANHANG II ZU ANLAGE 2

Siehe Anlage 1 Teil C.

ANHANG III ZU ANLAGE 2

LISTE DER SUBPROZESSOREN

Nicht zutreffend.


ANLAGE 3

UK ADDENDUM ZU DEN EU-STANDARDVERTRAGSKLAUSELN

Datum dieses Nachtrags:

(1) dieser Nachtrag tritt ab demselben Zeitpunkt in Kraft wie die Klauseln.

Hintergrund:

(2) der Information Commissioner ist der Auffassung, dass dieser Addendum angemessene Garantien für die Zwecke der Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation im Einklang mit Artikel 46 der UK GDPR und in Bezug auf Datenübermittlungen von für die Verarbeitung Verantwortlichen an Auftragsverarbeiter und/oder Auftragsverarbeiter an Auftragsverarbeiter bietet.

Auslegung dieses Nachtrags

(3) werden in diesem Nachtrag Begriffe verwendet, die im Anhang definiert sind, so haben diese Begriffe dieselbe Bedeutung wie im Anhang 2.22. Darüber hinaus haben die folgenden Begriffe folgende Bedeutung:

Dieser Nachtrag

Dieser Nachtrag zu den Klauseln

Der Anhang

Die Standardvertragsklauseln im Anhang des Durchführungsbeschlusses (EU) 2021/914 der Kommission vom 4. Juni 2021

Datenschutzgesetze in Großbritannien

Alle Gesetze zum Datenschutz, zur Verarbeitung personenbezogener Daten, zum Datenschutz und/oder zur elektronischen Kommunikation, die in Großbritannien von Zeit zu Zeit in Kraft sind, einschließlich der UK GDPR und des Data Protection Act von 2018.

UK DSGVO

Die allgemeine Datenschutzverordnung des Vereinigten Königreichs, da sie gemäß Abschnitt 3 des Gesetzes der Europäischen Union (Austrittsgesetz) von 2018 Teil des Gesetzes von England und Wales, Schottland und Nordirland ist.

UK

Vereinigtes Königreich Großbritannien und Nordirland

(4) dieser Nachtrag ist im Lichte der Bestimmungen der britischen Datenschutzgesetze zu lesen und auszulegen, damit er die Absicht erfüllt, die in Artikel 46 DSGVO vorgeschriebenen angemessenen Garantien zu bieten.

(5) dieser Nachtrag darf nicht in einer Weise ausgelegt werden, die im Widerspruch zu den Rechten und Pflichten steht, die in den Datenschutzgesetzen des Vereinigten Königreichs vorgesehen sind.

(6) Verweise auf Rechtsvorschriften (oder besondere Rechtsvorschriften) bedeuten, dass sich diese Rechtsvorschriften (oder spezifische Bestimmungen) im Laufe der Zeit ändern können. Dies gilt auch für den Fall, dass diese Rechtsvorschriften (oder spezifische Bestimmungen) nach Inkrafttreten dieses Nachtrags konsolidiert, neu in Kraft gesetzt und/oder ersetzt wurden.

Hierarchie

(7) im Falle eines Widerspruchs oder Widerspruchs zwischen diesem Addendum und den Bestimmungen der Klauseln oder sonstigen damit zusammenhängenden Vereinbarungen zwischen den Vertragsparteien, die zum Zeitpunkt der Vereinbarung oder des späteren Abschlusses dieses Addendums bestanden, haben die Bestimmungen Vorrang, die den betroffenen Personen den größten Schutz bieten.

Einbeziehung der Klauseln

(8) dieser Nachtrag enthält die Klauseln, die als geändert gelten, soweit dies erforderlich ist, damit sie funktionieren:

A. Für Übermittlungen, die vom Datenexporteur an den Datenimporteur vorgenommen werden, sofern die Datenschutzgesetze des Vereinigten Königreichs auf die Verarbeitung durch den Datenexporteur bei der Durchführung dieser Übermittlung Anwendung finden; und

B. Angemessene Garantien für die Übermittlungen gemäß Artikel 46 der UK GDPR-Gesetze zu bieten.

9. Die in Abschnitt 7 erforderlichen Änderungen umfassen (ohne Einschränkung):

A. Bezugnahmen auf die ‚Klauseln‘ sind dieser Nachtrag, da er die Klauseln enthält

B. Klausel 6 Beschreibung der Übertragung(en) erhält folgende Fassung:

„Die Einzelheiten der Übermittlung(en) und insbesondere die Kategorien der übermittelten personenbezogenen Daten und der Zweck(e), für den/die sie übermittelt werden) sind in Anhang I.B aufgeführt, in dem für die Verarbeitung durch den Datenexporteur bei dieser Übermittlung Datenschutzgesetze des Vereinigten Königreichs gelten.“

D. Bezugnahmen auf „Verordnung (EU) 2016/679″ oder „jene Verordnung“ werden durch „Datenschutzgesetze des Vereinigten Königreichs“ ersetzt und Bezugnahmen auf bestimmte Artikel der „Verordnung (EU) 2016/679″ werden durch den entsprechenden Artikel oder Abschnitt der Datenschutzgesetze des Vereinigten Königreichs ersetzt.

E. Verweise auf die Verordnung (EU) 2018/1725 werden gestrichen.

F. Bezugnahmen auf die ‚Union‘, ‚EU‘ und ‚EU-Mitgliedstaat‘ werden alle durch das ‚UK‘ ersetzt.

G. Paragraph 13 Buchstabe a und Anhang II Teil C werden nicht verwendet; die ‚zuständige Aufsichtsbehörde‘ ist der Information Commissioner;

H. Paragraph 17 wird durch den Wortlaut „diese Klauseln unterliegen dem Recht Englands und Wales“ ersetzt.

I. Paragraph 18 erhält folgende Fassung:

j. „Alle Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten Englands und Wales beigelegt. Eine betroffene Person kann auch rechtliche Schritte gegen den Datenexporteur und/oder Datenimporteur vor den Gerichten eines beliebigen Landes im Vereinigten Königreich einleiten. Die Vertragsparteien kommen überein, sich der Zuständigkeit dieser Gerichte zu unterwerfen.“

k. Die Fußnoten zu den Klauseln sind nicht Bestandteil des Addendums.

Änderungen zu diesem Nachtrag

(10) die Vertragsparteien können vereinbaren, die Klausel 17 und/oder 18 dahingehend zu ändern, dass sie sich auf die Gesetze und/oder Gerichte Schottlands oder Nordirlands beziehen.

(11) die Parteien können diesen Nachtrag ändern, sofern er die in Artikel 46 UK DSGVO für die betreffende Übertragung erforderlichen angemessenen Garantien aufrechterhält, indem er die Klauseln einbezieht und sie gemäß Abschnitt 7 vornimmt.

Dieser Nachtrag wird ausgeführt

(12) die Vertragsparteien können das Addendum (mit den Klauseln) in jeder Weise abschließen, die sie für die Parteien rechtsverbindlich macht und es den betroffenen Personen ermöglicht, ihre in den Klauseln festgelegten Rechte durchzusetzen. Dazu gehören (aber nicht beschränkt auf):

A. Durch Hinzufügung dieses Addendums zu den Klauseln und Aufnahme der Unterschriften in Anhang 1A in die oben genannten Klauseln:

„Mit der Unterzeichnung erklären wir uns damit einverstanden, an das UK Addendum zu den Standardvertragsklauseln der EU-Kommission vom:“ gebunden zu sein und das Datum hinzuzufügen (an dem alle Übertragungen im Addendum enthalten sind).

„Durch die Unterzeichnung erklären wir uns auch damit einverstanden, an das UK Addendum an die Standardvertragsklauseln der EU-Kommission vom gebunden zu sein“ und fügen das Datum hinzu (wenn es Übertragungen sowohl im Rahmen der Klauseln als auch im Rahmen des Addendums gibt) (oder Worte mit gleicher Wirkung) und die Durchführung der Klauseln; oder

B. Durch Änderung der Klauseln in Übereinstimmung mit diesem Nachtrag und Durchführung dieser geänderten Klauseln.


ANHANG I VON ANLAGE 3

A. LISTE DER PARTEIEN

DATENEXPORTEUR: [Identität und Kontaktdaten des/der Datenexporteur(s) und gegebenenfalls seines/ihres Datenschutzbeauftragten und/oder Vertreters in der Europäischen Union]

Siehe Anhang 1 Teil A.

B. BESCHREIBUNG DER ÜBERTRAGUNG

Siehe Anhang 1 Teil B.

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

Siehe Anhang 1 Teil B.


ANHANG II ZU ANLAGE 3

Siehe Anlage 1 Teil C.


ANHANG III VON ANLAGE 3

LISTE DER SUBPROZESSOREN

Nicht zutreffend.

Zugehörige Dokumente

ESG-Bericht 2022