Nachtrag zur Datenverarbeitung (Data Processing Addendum, DPA)

Zuletzt überarbeitet 21.8.2023

Dieser Nachtrag zur Datenverarbeitung (Data Processing Addendum, „DPA“) wird am Datum seiner Annahme abgeschlossen und ist Teil der Endbenutzerlizenzvereinbarung oder einer anderen Vereinbarung zur Lizenzierung von Claroty-Produkten, in die dieser Nachtrag aufgenommen ist (die „Vereinbarung“). Der Benutzer erkennt an, dass Sie im Namen Ihres Unternehmens, das eine Partei der Vereinbarung ist (zusammen  „Sie“,   „Benutzer“ oder „Datenverantwortlicher“), diesen DPA gelesen und verstanden haben und sich damit einverstanden erklären, diesen DPA einzuhalten, und dass Sie eine verbindliche rechtliche Vereinbarung mit Claroty , wie unten definiert, („Claroty“ oder „Datenverarbeiter“) abschließen, um die Vereinbarung der Parteien in Bezug auf die Verarbeitung personenbezogener Daten (wie unten definiert) von durch die DSGVO geschützten Personen widerzuspiegeln. Beide Parteien werden als die „Parteien“ und jeweils als eine „Partei“ bezeichnet.

Claroty Claroty stellt die in der Vereinbarung festgelegten Produkte und/oder Dienstleistungen (zusammen die „Dienstleistungen“) für den Benutzer, wie in der Vereinbarung beschrieben, bereit; und

Claroty Claroty kann im Rahmen der Erbringung der Dienstleistungen gemäß der Vereinbarung personenbezogene Daten im Namen des Benutzers verarbeiten, und die Parteien möchten die Vereinbarungen bezüglich der Verarbeitung personenbezogener Daten (wie unten definiert) im Rahmen der Dienstleistungen festlegen und verpflichten sich, die folgenden Bestimmungen in Bezug auf personenbezogene Daten einzuhalten, die jeweils angemessen und in gutem Glauben handeln.

DESHALB vereinbaren die Parteien unter Berücksichtigung der hierin dargelegten gegenseitigen Versprechen und anderer angemessener Gegenleistungen, deren Erhalt und Hinlänglichkeit hiermit von den Parteien anerkannt werden, mit der Absicht, rechtlich gebunden zu sein, Folgendes:

Dieser DPA gilt für die Verarbeitung personenbezogener Daten (wie unten definiert), die dem Unternehmen in Verbindung mit der Bereitstellung der Software und allen Dienstleistungen im Zusammenhang mit der Software im Rahmen der Vereinbarung erhoben, bereitgestellt oder anderweitig zur Verfügung gestellt werden, wenn die Verarbeitung dieser personenbezogenen Daten der DSGVO unterliegt, nur in dem Umfang, in dem der Kunde ein Verantwortlicher für personenbezogene Daten ist und das Unternehmen ein Auftragsverarbeiter ist. Der DPA soll die Anforderungen des Datenschutzgesetzes der Europäischen Union erfüllen, einschließlich Artikel 28(3) der DSGVO. Dieser DPA gilt für die Laufzeit des Vertrags oder bis zur Löschung personenbezogener Daten, wie vom Kunden gemäß diesem DPA angewiesen, je nachdem, was früher eintritt.

1. INTERPRETATION UND DEFINITIONEN

1.1 Die in diesem DPA enthaltenen Überschriften dienen nur der Übersichtlichkeit und sind nicht dahingehend auszulegen, dass sie die Bestimmungen dieses DPA einschränken oder anderweitig beeinflussen.

1.2 Verweise auf Klauseln oder Abschnitte sind Verweise auf die Klauseln oder Abschnitte dieses DPA, sofern nicht anders angegeben.

1.3 Wörter , die im  Singular verwendet werden, umfassen den Plural und umgekehrt,  wie  der Kontext es erfordern kann.

1.4 Großgeschriebene Begriffe, die hierin nicht  definiert  sind, haben die  Bedeutungen, die diesen Begriffen in der Vereinbarung zugewiesen werden.

1.5 Definitionen:

• „Verbundenes Unternehmen“ bezeichnet jedes Unternehmen, das das betreffende Unternehmen direkt oder indirekt kontrolliert, von diesem kontrolliert wird oder mit diesem unter gemeinsamer Kontrolle steht. „Kontrolle“ bedeutet im Sinne dieser Definition das direkte oder indirekte Eigentum oder die Kontrolle von mehr als 50 % der Stimmrechte des betreffenden Unternehmens.

• „Autorisiertes verbundenes Unternehmen“ bezeichnet alle verbundenen Unternehmen des Benutzers, die (a) den Datenschutzgesetzen und -vorschriften der Europäischen Union, des Europäischen Wirtschaftsraums und/oder ihrer Mitgliedsstaaten, der Schweiz und/oder des Vereinigten Königreichs unterliegen und (b) berechtigt sind, die Dienste gemäß der Vereinbarung zwischen dem Benutzer und Claroty zu nutzen, aber keine eigene Vereinbarung mit Claroty unterzeichnet haben und kein „Benutzer“ im Sinne der Vereinbarung sind.

• „Verantwortlicher“ oder „Datenverantwortlicher“ bezeichnet das Unternehmen, das die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt. Nur für die Zwecke dieses DPA und sofern nicht anders angegeben, umfasst der Begriff „Datenverantwortlicher“ den Benutzer und/oder die autorisierten verbundenen Unternehmen des Benutzers.

• „Daten schutzgesetzeund -vorschriften“ bezeichnet alle Gesetze und Vorschriften der Europäischen Union, des Europäischen Wirtschaftsraums und ihrer Mitgliedstaaten sowie des Vereinigten Königreichs, die für die Verarbeitung personenbezogener Daten im Rahmen des Abkommens gelten.

• „Betroffene Person“ bezeichnet die identifizierte oder identifizierbare Person, auf die sich die personenbezogenen Daten beziehen.

• „Mitgliedstaat “ bezeichnet ein Land, das der Europäischen Union und/oder dem Europäischen Wirtschaftsraum angehört. „Union“ bezeichnet die Europäische Union.

• „DSGVO“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27 April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).

• „Claroty“ bezeichnet die relevante Claroty -Einheit, wie in der Vereinbarung angegeben.

• „Claroty Group“ bezeichnet Claroty und seine verbundenen Unternehmen, die an der Verarbeitung personenbezogener Daten beteiligt sind.

• „Personenbezogene Daten“ bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf eine Kennung wie einen Namen, eine Identifikationsnummer, einen Standortdaten, eine Online-Kennung oder auf einen oder mehrere Faktoren, die für die physische, physiologische, genetische, mentale, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person spezifisch sind. Zur Klarstellung sei angemerkt, dass die geschäftlichen Kontaktinformationen des Benutzers nicht allein als personenbezogene Daten gelten, die dieser DPA unterliegen.

• „Verarbeitung(en)“ bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die mit personenbezogenen Daten durchgeführt werden, unabhängig davon, ob dies automatisch erfolgt oder nicht, wie z. B. die Erfassung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Änderung, das Abrufen, die Konsultation, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder anderweitige Bereitstellung, Ausrichtung oder Kombination, Einschränkung, Löschung oder Vernichtung.

• „Auftragsverarbeiter“ oder „Auftragsverarbeiter“ bezeichnet die Einheit, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

• „Sicherheitsdokumentation “ bezeichnet die Sicherheitsdokumentation, die für die vom Benutzer erworbenen spezifischen Dienste gilt, in der jeweils gültigen Fassung, wie sie vernünftigerweise zur Verfügung gestellt wird von Claroty

• „Unterauftragsverarbeiter“ bezeichnet jeden Auftragsverarbeiter, der von Claroty und/oder einem verbundenen Unternehmen von Claroty beauftragt wird, personenbezogene Daten im Rahmen dieser DPA zu verarbeiten.

• „Aufsichtsbehörde “ bezeichnet eine unabhängige öffentliche Behörde, die von einem EU-Mitgliedsstaat gemäß der DSGVO oder dem ICO gemäß der britischen DSGVO gegründet wurde.

2. VERARBEITUNG PERSONENBEZOGENER DATEN

2.1 Rollen der Parteien. Die Parteien erkennen an und vereinbaren, dass in Bezug auf die Verarbeitung personenbezogener Daten (i) der Benutzer der Datenverantwortliche ist, (ii) Claroty der Datenverarbeiter ist und dass (iii) Claroty Unterauftragsverarbeiter gemäß den in Abschnitt 5 „Unterauftragsverarbeiter“ unten dargelegten Anforderungen beauftragen kann. Der Benutzer, die Anbieter des Benutzers und/oder die Geschäftspartner des Benutzers und die betroffenen Personen stellen Claroty die personenbezogenen Daten zur Verfügung, indem sie die personenbezogenen Daten an Claroty Dienst übermitteln. Zur Klarstellung sei angemerkt, dass die Anmeldedetails auf Claroty Plattform der Datenschutzrichtlinie von Claroty in ihrer jeweils gültigen Fassung und nicht dieser DPA unterliegen, weshalb Claroty ein Datenverantwortlicher für diese personenbezogenen Daten ist.

2.2  Verarbeitung personenbezogener Daten durch den Benutzer. Der Benutzer verarbeitet bei seiner Nutzung der Dienste personenbezogene Daten in Übereinstimmung mit den Anforderungen der Datenschutzgesetze und -vorschriften und erfüllt jederzeit die für die Datenverantwortlichen geltenden Verpflichtungen (einschließlich, aber nicht beschränkt auf Artikel 24 der DSGVO).  Zur Klarstellung sei angemerkt, dass die Anweisungen des Benutzers für die Verarbeitung personenbezogener Daten den Datenschutzgesetzen und -vorschriften entsprechen müssen. Der Benutzer trägt die alleinige Verantwortung für die Mittel, mit denen er personenbezogene Daten erworben hat. Der Nutzer muss ohne Einschränkung alle Transparenzverpflichtungen (einschließlich, aber nicht beschränkt auf die Anzeige aller relevanten und erforderlichen Datenschutzhinweise oder -richtlinien) erfüllen und über alle erforderlichen Rechtsgrundlagen verfügen, um die personenbezogenen Daten zu erfassen, zu verarbeiten und an Claroty zu übertragen und die Verarbeitung der personenbezogenen Daten, die in dieser DPA genehmigt sind, durch Claroty zu autorisieren. Der Benutzer muss Claroty, seine verbundenen Unternehmen und Tochtergesellschaften (einschließlich, aber nicht beschränkt auf deren Direktoren, Führungskräfte, Vertreter, Unterauftragnehmer und/oder Mitarbeiter) gegen jegliche Haftung jeglicher Art im Zusammenhang mit Verstößen, Verletzungen oder Verletzungen von Datenschutzgesetzen und -vorschriften und/oder dieser DPA und/oder diesem Abschnitt durch den Benutzer und/oder seine autorisierten Benutzer verteidigen, schadlos halten und schadlos halten.'

2.3 Verarbeitung personenbezogener Daten durch Claroty.

2.3.1 Vorbehaltlich der Vereinbarung, Claroty verarbeitet personenbezogene Daten, die diesem DPA unterliegen, nur in Übereinstimmung mit den dokumentierten Anweisungen des Benutzers und nur soweit dies für die Erbringung der Dienstleistungen und für die Erfüllung des Vertrags und dieses DPA erforderlich ist, sofern dies nicht anderweitig durch das Recht der Union oder der Mitgliedstaaten oder (im größtmöglichen gesetzlich zulässigen Umfang) durch ein anderes anwendbares Recht, dem Claroty unterliegt, vorgeschrieben ist, in welchem Fall Claroty den Nutzer vor der Verarbeitung über die gesetzliche Anforderung zu informieren, es sei denn, dieses Gesetz verbietet solche Informationen aus wichtigen Gründen des öffentlichen Interesses. Die Dauer der Verarbeitung, die Art und die Zwecke der Verarbeitung sowie die Arten der verarbeiteten personenbezogenen Daten und Kategorien von betroffenen Personen im Rahmen dieses DPA sind in Anhang 1 (Einzelheiten zur Verarbeitung) dieses DPA näher spezifiziert.

2.3.2 Soweit Claroty oder seine verbundenen Unternehmen einer Anfrage nicht nachkommen können (einschließlich ohne Einschränkung, jede Anweisung, Richtung, Verhaltenskodex, Zertifizierung, oder Änderungen jeglicher Art) vom Benutzer und/oder seinen autorisierten Benutzern in Bezug auf die Verarbeitung personenbezogener Daten oder wenn Claroty eine solche Anfrage für rechtswidrig hält, Claroty (i) den Nutzer zu informieren, Bereitstellung relevanter Details des Problems (jedoch nicht der Rechtsberatung), (ii) Claroty kann, ohne jegliche Haftung gegenüber dem Benutzer, die Verarbeitung der betroffenen personenbezogenen Daten vorübergehend einstellen (außer der sicheren Speicherung dieser Daten), und (iii) wenn sich die Parteien nicht auf eine Lösung der betreffenden Frage und deren Kosten einigen, jede Partei kann, als einziges Rechtsmittel, die Vereinbarung und diesen DPA in Bezug auf die betroffene Verarbeitung zu kündigen, und der Nutzer zahlt Claroty alle Beträge, die Claroty geschuldet werden oder vor dem Datum der Kündigung fällig sind. Der Benutzer hat keine weiteren Ansprüche gegen Claroty (einschließlich, aber nicht beschränkt auf die Beantragung von Rückerstattungen für Dienstleistungen) aufgrund der Kündigung des Vertrags und/oder des DPA in der in diesem Absatz beschriebenen Situation (mit Ausnahme der Verpflichtungen in Bezug auf die Kündigung dieses DPA, die unten dargelegt sind).

2.3.3 Claroty haftet nicht im Falle von Ansprüchen, die von einem Dritten, einschließlich, aber nicht beschränkt auf eine betroffene Person, geltend gemacht werden, die sich aus einer Handlung oder Unterlassung von Claroty ergeben, soweit dies auf die Anweisungen des Benutzers zurückzuführen ist.

3. RECHTE BETROFFENER PERSONEN

Wenn Claroty eine Anfrage von einer betroffenen Person erhält, ihr Recht auszuüben, das in Kapitel III der DSGVO festgelegt ist („Anfrage einer betroffenen Person“), wird Claroty , soweit gesetzlich zulässig, diese Anfrage einer betroffenen Person unverzüglich benachrichtigen und an den Benutzer weiterleiten. Unter Berücksichtigung der Art der Verarbeitung unternimmt Claroty wirtschaftlich angemessene Anstrengungen, um den Nutzer durch geeignete technische und organisatorische Maßnahmen zu unterstützen, soweit dies möglich ist, um die Verpflichtung des Nutzers zu erfüllen, auf eine Anfrage einer betroffenen Person gemäß Datenschutzgesetzen und -vorschriften zu reagieren. Soweit gesetzlich zulässig, ist der Benutzer für alle Kosten verantwortlich, die sich aus der Bereitstellung solcher Unterstützung durch Claroty ergeben.

4. KLAROTIE-PERSONAL

4.1 Vertraulichkeit. Claroty gewährt Personen unter seiner Befugnis (einschließlich, aber nicht beschränkt auf, sein Personal) nur dann Zugang zu den personenbezogenen Daten, wenn sie diese kennen müssen, und stellt sicher, dass sich diese Personen, die an der Verarbeitung personenbezogener Daten beteiligt sind, zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen.

4.2 Claroty kann die personenbezogenen Daten (a) wie im Rahmen dieser Vereinbarung zulässig (b) offenlegen und verarbeiten, soweit dies von einem zuständigen Gericht oder einer zuständigen Aufsichtsbehörde und/oder anderweitig gemäß den geltenden Gesetzen vorgeschrieben ist (in einem solchen Fall Claroty den Nutzer vor der Offenlegung über die gesetzliche Anforderung zu informieren, es sei denn, das Gesetz verbietet solche Informationen aus wichtigen Gründen des öffentlichen Interesses), oder (c) auf einer „Need-to-Know“-Basis unter einer Verpflichtung zur Vertraulichkeit gegenüber Rechtsberater(n), Datenschutzberater(n), oder Buchhalter(n).

5. AUTORISIERUNG BEZÜGLICH UNTERAUFTRAGSVERARBEITERN

5.1 Claroty aktuelle Liste der Auftragsverarbeiter im Unterauftragsverhältnis ist in Anhang 2 enthalten („Liste der Auftragsverarbeiter im Unterauftragsverhältnis“) und wird hiermit vom Datenverantwortlichen genehmigt. Die Unterauftragsverarbeiterliste zum Datum der Unterzeichnung dieses DPA wird hiermit vom Benutzer genehmigt.

5.2 Claroty informiert jeden/jede neue(n) Unterauftragsverarbeiter, bevor er/sie diesen neuen Unterauftragsverarbeiter(n) autorisiert, personenbezogene Daten im Zusammenhang mit der Erbringung der Dienstleistungen zu verarbeiten.

5.3 Widerspruchsrecht für neue Unterauftragsverarbeiter. Der Benutzer kann der Verwendung eines neuen Unterauftragsverarbeiters durch Claroty aus Gründen im Zusammenhang mit der DSGVO vernünftigerweise widersprechen, indem er Claroty unverzüglich innerhalb von drei (3) Werktagen nach Erhalt der Mitteilung von Claroty gemäß dem in Abschnitt 5.1 dargelegten Mechanismus schriftlich benachrichtigt. Ein solcher schriftlicher Widerspruch umfasst die Gründe im Zusammenhang mit der DSGVO für die Ablehnung der Verwendung eines solchen neuen Unterauftragsverarbeiters durch Claroty. Das Versäumnis, einem solchen neuen Unterauftragsverarbeiter schriftlich innerhalb von drei (3) Geschäftstagen nach der Mitteilung von Claroty zu widersprechen, gilt als Annahme des neuen Unterauftragsverarbeiters. Für den Fall, dass der Benutzer einem neuen Unterauftragsverarbeiter vernünftigerweise widerspricht, wird Claroty , wie in den vorstehenden Sätzen zulässig, angemessene Anstrengungen unternehmen, um dem Benutzer eine Änderung der Dienste zur Verfügung zu stellen oder eine wirtschaftlich angemessene Änderung der Nutzung der Dienste durch den Benutzer zu empfehlen, um die Verarbeitung personenbezogener Daten durch den gegen den neuen Unterauftragsverarbeiter Einspruch zu vermeiden, ohne den Benutzer unangemessen zu belasten. Wenn Claroty nicht in der Lage ist, eine solche Änderung innerhalb einer angemessenen Frist zur Verfügung zu stellen, die dreißig (30) Tage nicht überschreiten darf, Der Benutzer kann als einziges Rechtsmittel, den geltenden Vertrag und diesen DPA nur in Bezug auf die Dienstleistungen kündigen, die von Claroty nicht ohne die Verwendung des Einspruchs gegen den neuen Unterauftragsverarbeiter durch schriftliche Mitteilung an Claroty erbracht werden können, vorausgesetzt, dass alle Beträge, die gemäß dem Vertrag vor dem Kündigungsdatum in Bezug auf die fragliche Verarbeitung fällig sind, ordnungsgemäß an Claroty gezahlt werden. Bis zu einer Entscheidung über den neuen Unterauftragsverarbeiter kann Claroty die Verarbeitung der betroffenen personenbezogenen Daten vorübergehend aussetzen. Der Nutzer hat keine weiteren Ansprüche gegen Claroty aufgrund der Kündigung des Vertrags (einschließlich, aber nicht beschränkt auf die Beantragung von Rückerstattungen) und/oder der DPA in der in diesem Absatz beschriebenen Situation.

5.4 Vereinbarungen mit Unterauftragsverarbeitern. Für den Fall, dass Unterauftragsverarbeiter von Claroty beauftragt werden, schließt Claroty vertragliche Vereinbarungen mit den Unterauftragsverarbeitern ab, die in einer Weise abgefasst werden, dass sie die in diesem DPA dargelegten Datenschutzverpflichtungen widerspiegeln. Gemäß Artikel 28.7 und 28.8 der DSGVO können die Parteien, wenn und wenn die Europäische Kommission die in diesem Artikel genannten Standardvertragsklauseln festlegt, diese DPA in gutem Glauben überarbeiten, um sie an diese Standardvertragsklauseln anzupassen.

6. SICHERHEIT

6.1 Kontrollen zum Schutz personenbezogener Daten. Unter Berücksichtigung des Standes der Technik die Kosten der Umsetzung, den Umfang, den Kontext, die Zwecke der Verarbeitung sowie das Risiko unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen, Claroty die nach Artikel 32 DSGVO erforderlichen branchenüblichen technischen und organisatorischen Maßnahmen zum Schutz der Sicherheit (einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor versehentlicher oder unrechtmäßiger Vernichtung, Verlust oder Veränderung oder Beschädigung, unbefugte Offenlegung von, oder Zugriff auf, Personenbezogene Daten), Vertraulichkeit und Integrität personenbezogener Daten, wie in der Sicherheitsdokumentation dargelegt, die hiermit vom Benutzer genehmigt wird. Auf Verlangen des Benutzers wird Claroty wirtschaftlich angemessene Anstrengungen unternehmen, um den Benutzer auf Kosten des Benutzers bei der Sicherstellung der Einhaltung der Verpflichtungen gemäß Artikel 32 bis 36 der DSGVO unter Berücksichtigung der Art der Verarbeitung, des Stands der Technik und der Claroty zur Verfügung stehenden Informationen zu unterstützen.

6.2 Zertifizierungen und Audits Dritter. Auf schriftliche Aufforderung des Benutzers in angemessenen Abständen, und vorbehaltlich der in der Vereinbarung und diesem DPA festgelegten Vertraulichkeitsverpflichtungen, Claroty stellt dem Benutzer, der kein Wettbewerber von Claroty ist (oder dem unabhängigen Drittprüfer, der kein Konkurrent von Claroty ist) eine Kopie oder eine Zusammenfassung der letzten Audits oder Zertifizierungen von Claroty, soweit zutreffend (vorausgesetzt, jedoch, dass solche Prüfungen, Zertifizierungen und deren Ergebnisse, einschließlich der Dokumente, die das Ergebnis der Prüfung und/oder die Zertifizierungen widerspiegeln, darf vom Benutzer nur zur Beurteilung der Einhaltung dieses DPA verwendet werden, und dürfen ohne Claroty vorherige schriftliche Genehmigung nicht für andere Zwecke verwendet oder an Dritte weitergegeben werden, und auf Claroty erste Anfrage, Der Benutzer muss alle Aufzeichnungen oder Dokumentationen, die sich im Besitz oder unter der Kontrolle des Benutzers befinden und von Claroty im Rahmen des Audits und/oder der Zertifizierung bereitgestellt werden, zurückgeben). Auf Kosten des Benutzers gestattet Claroty Audits, einschließlich Inspektionen von Claroty, die vom Verantwortlichen oder einem anderen vom Verantwortlichen beauftragten Prüfer (der kein direkter oder indirekter Wettbewerber von Claroty ist) durchgeführt werden, und trägt zu diesen bei, vorausgesetzt, dass die Parteien den Umfang, die Methodik, den Zeitpunkt und die Bedingungen solcher Audits und Inspektionen vereinbaren. Ungeachtet anders lautender Bestimmungen dürfen solche Prüfungen und/oder Inspektionen keine Informationen enthalten, einschließlich, aber nicht beschränkt auf personenbezogene Daten, die nicht dem Benutzer gehören.

7. VERWALTUNG UND BENACHRICHTIGUNG VON VORFÄLLEN MIT PERSONENBEZOGENEN DATEN

Soweit dies gemäß den geltenden Datenschutzgesetzen und -vorschriften erforderlich ist, benachrichtigt Claroty den Benutzer unverzüglich, nachdem Claroty von der versehentlichen oder unrechtmäßigen Vernichtung, dem Verlust, der Änderung, der unbefugten Offenlegung oder dem Zugriff auf personenbezogene Daten, einschließlich personenbezogener Daten, Kenntnis erlangt hat, die von Claroty oder seinen Unterauftragsverarbeitern übermittelt, gespeichert oder anderweitig verarbeitet werden (ein „Vorfall personenbezogener Daten“).

Claroty wird angemessene Anstrengungen unternehmen, um die Ursache eines solchen Vorfalls mit personenbezogenen Daten zu identifizieren und die Schritte zu ergreifen, die Claroty für notwendig, möglich und angemessen hält, um die Ursache eines solchen Vorfalls mit personenbezogenen Daten zu beheben, soweit die Wiederherstellung innerhalb der angemessenen Kontrolle von Claroty liegt. Die hierin enthaltenen Verpflichtungen gelten nicht für Vorfälle, die durch den Benutzer oder die Benutzer des Benutzers verursacht werden oder anderweitig nicht mit der Erbringung der Dienste in Zusammenhang stehen. In jedem Fall ist der Benutzer die Partei, die für die Benachrichtigung von Aufsichtsbehörden und/oder betroffenen Personen verantwortlich ist (sofern dies durch Datenschutzgesetze und -vorschriften vorgeschrieben ist).

8. RÜCKGABE UND LÖSCHUNG PERSONENBEZOGENER DATEN

Vorbehaltlich der Vereinbarung löscht Claroty nach Wahl des Benutzers die personenbezogenen Daten nach dem Ende der Erbringung der Dienstleistungen in Bezug auf die Verarbeitung oder gibt sie an den Benutzer zurück und löscht vorhandene Kopien, es sei denn, das geltende Recht verlangt die Speicherung der personenbezogenen Daten. In jedem Fall kann Claroty , soweit dies nach geltendem Recht erforderlich oder zulässig ist, eine Kopie der personenbezogenen Daten zu Beweiszwecken und/oder zur Begründung, Ausübung oder Verteidigung von Rechtsansprüchen und/oder zur Einhaltung geltender Gesetze und Vorschriften aufbewahren. Wenn der Benutzer die Rückgabe der personenbezogenen Daten verlangt, werden die personenbezogenen Daten in dem Format zurückgegeben, das Claroty Kunden allgemein zur Verfügung steht.

9.  AUTORISIERTE VERBUNDENE UNTERNEHMEN

9.1 Vertragsverhältnis. Die Parteien erkennen an und vereinbaren, dass der Benutzer durch die Unterzeichnung der DPA die DPA im eigenen Namen und gegebenenfalls im Namen und im Namen seiner autorisierten verbundenen Unternehmen eingeht, wodurch eine separate DPA zwischen Claroty eingerichtet wird. Jedes autorisierte verbundene Unternehmen erklärt sich damit einverstanden, an die Verpflichtungen aus diesem DPA gebunden zu sein. Jeder Zugriff auf und jede Nutzung der Dienstleistungen durch autorisierte verbundene Unternehmen muss den Bedingungen der Vereinbarung und dieses DPA entsprechen und jeder Verstoß gegen die darin enthaltenen Bedingungen durch ein autorisiertes verbundenes Unternehmen gilt als Verstoß durch den Benutzer.

9.2 Kommunikation. Der Benutzer bleibt für die Koordination aller Kommunikationen mit Claroty im Rahmen der Vereinbarung und dieser DPA verantwortlich und ist berechtigt, im Namen seiner autorisierten verbundenen Unternehmen jegliche Kommunikation in Bezug auf diese DPA zu machen und zu empfangen.

10. ÜBERTRAGUNG VON DATEN

10.1 Übermittlungen in Länder, die ein angemessenes Datenschutzniveau bieten. Personenbezogene Daten können aus den EU-Mitgliedstaaten und den drei EWR-Mitgliedstaaten (Norwegen, Liechtenstein und Island; zusammen „EWR“) in Länder übermittelt werden, die ein angemessenes Datenschutzniveau gemäß den von den zuständigen Datenschutzbehörden des EWR, der Union, den Mitgliedstaaten oder der Europäischen Kommission veröffentlichten Angemessenheitsentscheidungen bieten („Angemessenheitsentscheidungen“), ohne dass weitere Schutzmaßnahmen erforderlich sind.

10.2 Überweisungen in andere Länder. Wenn die Verarbeitung personenbezogener Daten Übermittlungen aus dem EWR in Länder außerhalb des EWR umfasst, die keiner Angemessenheitsentscheidung unterliegen („andere Länder“), die Parteien Kapitel V der DSGVO einhalten, einschließlich, ggf. die Ausführung der von den zuständigen Datenschutzbehörden des EWR verabschiedeten Standarddatenschutzklauseln, der Union, die Mitgliedstaaten oder die Europäische Kommission oder einen der anderen in der DSGVO vorgesehenen Mechanismen für die Übermittlung personenbezogener Daten in solche anderen Länder einhalten. Soweit der Benutzer und Claroty die Standardvertragsklauseln als Mechanismus zur Übertragung personenbezogener Daten des Benutzers verwenden, werden die Rechte und Pflichten der Parteien in Übereinstimmung mit den Standardvertragsklauseln und diesem DPA und vorbehaltlich dieser erfüllt. Im Falle von Widersprüchen zwischen den Standardvertragsklauseln und diesem DPA haben die Standardvertragsklauseln Vorrang.

11. KÜNDIGUNG

Dieser DPA endet automatisch mit der Kündigung oder dem Ablauf des Vertrags, unter dem die Dienstleistungen erbracht werden. Die Abschnitte 2.2, 2.3.3, 8 und 12 überdauern die Kündigung oder den Ablauf dieses DPA aus irgendeinem Grund. Dieser DPA kann grundsätzlich nicht separat vom Vertrag gekündigt werden, es sei denn, die Verarbeitung endet vor der Kündigung des Vertrags, in welchem Fall dieser DPA automatisch gekündigt wird.

12. BEZIEHUNG ZUR VEREINBARUNG

Im Falle eines Widerspruchs zwischen den Bestimmungen dieses DPA und den Bestimmungen des Vertrags haben die Bestimmungen dieses DPA Vorrang vor den widersprüchlichen Bestimmungen des Vertrags. Claroty haftet gemäß den in der Vereinbarung festgelegten Beschränkungen.

13. ÄNDERUNGEN

Diese DPA kann jederzeit durch ein von jeder der Parteien ordnungsgemäß unterzeichnetes schriftliches Dokument geändert werden.

14. RECHTLICHE AUSWIRKUNG

Claroty kann diese DPA oder ihre Rechte oder Pflichten aus dieser Vereinbarung an ein verbundenes Unternehmen davon oder an einen Nachfolger oder ein verbundenes Unternehmen davon in Verbindung mit einer Fusion, Konsolidierung oder Übernahme aller oder im Wesentlichen aller seiner Aktien, Vermögenswerte oder Geschäfte im Zusammenhang mit dieser DPA oder der Vereinbarung abtreten. Jede Claroty -Verpflichtung aus diesem Vertrag kann (ganz oder teilweise) erfüllt werden, und jedes Claroty -Recht (einschließlich Rechnungs- und Zahlungsrechten) oder Rechtsmittel kann (ganz oder teilweise) von einem verbundenen Unternehmen von Claroty ausgeübt werden.

Liste der Zeitpläne

• ANLAGE 1 - DETAILS DER VERARBEITUNG

• ZEITPLAN 2 - LISTE DER UNTERAUFTRAGSVERARBEITER

• ANLAGE 3 – STANDARDVERTRAGSKLAUSELN

ANLAGE 1 - DETAILS DER VERARBEITUNG

Claroty verarbeitet personenbezogene Daten, soweit dies zur Erbringung der Dienstleistungen gemäß der Vereinbarung erforderlich ist, wie vom Benutzer in seiner Nutzung der Dienstleistungen weiter angewiesen.

Art und Zweck der Verarbeitung

1. Bereitstellung der Dienstleistung(en) für den Benutzer

2. Profil Profil(e) für Benutzer einrichten, die vom Benutzer autorisiert wurden

3. Um die Nutzung der Dienste durch den Benutzer zu ermöglichen

4. Für Claroty , dokumentierte angemessene Anweisungen des Benutzers zu befolgen, wenn diese Anweisungen mit den Bedingungen der Vereinbarung übereinstimmen.

5. Erfüllung von Verpflichtungen im Zusammenhang mit der Vereinbarung, dieser DPA und/oder anderen von den Parteien unterzeichneten Verträgen.

6. Bereitstellung von Support und technischer Wartung, sofern in der Vereinbarung vereinbart.

7. Alle anderen Aufgaben, die mit dem Vorstehenden in Verbindung stehen.

Dauer der Verarbeitung

Vorbehaltlich eines Abschnitts des DPA und/oder der Vereinbarung, der sich mit der Dauer der Verarbeitung und den Folgen des Ablaufs oder der Kündigung der Verarbeitung befasst, verarbeitet Claroty personenbezogene Daten für die Dauer der Vereinbarung, sofern nicht anderweitig schriftlich vereinbart.

Art der personenbezogenen Daten

Der Nutzer kann personenbezogene Daten an die Dienste übermitteln, deren Umfang vom Nutzer nach eigenem Ermessen bestimmt und kontrolliert wird und die unter anderem die folgenden Kategorien personenbezogener Daten umfassen können:

• IP-Adresse, MAC-Adressen, Benutzer und Hostnamen persönlicher Geräte (wie Laptops, Tablets, Smartphones), die mit dem Netzwerk des Benutzers verbunden sind.

• IP-Adressen von Webdiensten, auf die Benutzer zugreifen, die über ihre persönlichen Geräte mit dem Netzwerk des Benutzers verbunden waren.

• Probennummern von Scans, die von den Bildgebungsgeräten des Benutzers durchgeführt werden.

• Alle anderen personenbezogenen Daten oder Informationen, die der Benutzer Claroty oder den Diensten zur Verfügung stellt oder bereitstellt.

Der Benutzer und die betroffenen Personen stellen Claroty die personenbezogenen Daten zur Verfügung, indem sie die personenbezogenen Daten an Claroty Dienst übermitteln.

Kategorien betroffener Personen

Der Benutzer kann personenbezogene Daten an die Dienste übermitteln, deren Umfang vom Benutzer nach eigenem Ermessen festgelegt und kontrolliert wird und die personenbezogene Daten in Bezug auf die folgenden Kategorien von betroffenen Personen umfassen können:

• Patienten, Gäste, Besucher und/oder Kunden des Benutzers

• Benutzer des Benutzers, die vom Benutzer zur Nutzung der Dienste autorisiert wurden.

• Mitarbeiter, Vertreter, Berater, Freiberufler des Nutzers (die natürliche Personen sind)

• Interessenten, Kunden, Geschäftspartner und Anbieter von Nutzern (die natürliche Personen sind)

• Mitarbeiter oder Ansprechpartner von Interessenten, Kunden, Geschäftspartnern und Lieferanten des Nutzers

ZEITPLAN 2 - LISTE DER UNTERAUFTRAGSVERARBEITER

ANLAGE 3 - STANDARDVERTRAGSKLAUSELN

Controller zu Prozessor

ABSCHNITT I

Ziffer 1 - Zweck und Umfang

a) Zweck dieser Standardvertragsklauseln ist es, die Einhaltung der Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates 27 April 2016 vom zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) (^[i]) für die Übermittlung von Daten in ein Drittland sicherzustellen.

b) Die Parteien:

(i) die natürliche oder juristische Person(en), Behörde/n, Behörde/n oder andere Stelle/n (nachfolgend „Einheit/en“), die die personenbezogenen Daten gemäß Anhang I.A (nachfolgend „Datenexporteur“) übermittelt, und

(ii) das/die Unternehmen in einem Drittland, das/die die personenbezogenen Daten vom Datenexporteur direkt oder indirekt über ein anderes Unternehmen erhält/erhalten, auch Partei dieser Klauseln, wie in Anhang I.A aufgeführt (nachfolgend jeder „Datenimporteur“

c) Diese Klauseln gelten für die Übermittlung personenbezogener Daten gemäß Anhang I.B.

d) Der Anhang zu diesen Klauseln, der die darin genannten Anhänge enthält, bildet einen integralen Bestandteil dieser Klauseln.

Klausel 2 – Wirkung und Unveränderlichkeit der Klauseln

a) Diese Klauseln legen angemessene Sicherheitsvorkehrungen fest, einschließlich durchsetzbarer Rechte betroffener Personen und wirksamer Rechtsbehelfe gemäß Artikel 46(1) und Artikel 46(2)(c) der Verordnung (EU) 2016/679 und, in Bezug auf Datenübertragungen von Verantwortlichen an Auftragsverarbeiter und/oder Auftragsverarbeiter, Standardvertragsklauseln gemäß Artikel 28(7) der Verordnung (EU) 2016/679, sofern sie nicht geändert werden, außer zur Auswahl des/der entsprechenden Modul(e) oder zum Hinzufügen oder Aktualisieren von Informationen im Anhang. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen breiteren Vertrag aufzunehmen und/oder andere Klauseln oder zusätzliche Sicherheitsvorkehrungen hinzuzufügen, sofern sie diesen Klauseln nicht direkt oder indirekt widersprechen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beeinträchtigen.

b) Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Datenexporteur aufgrund der Verordnung (EU) 2016/679 unterliegt.

Klausel 3 – Drittbegünstigte

a) Betroffene Personen können diese Klauseln als Drittbegünstigte gegen den Datenexporteur und/oder Datenimporteur geltend machen und durchsetzen, mit folgenden Ausnahmen:

(i) Klausel 1, Klausel 2, Klausel 3, Klausel 6, Klausel 7;

(ii) Klausel 8 – Modul 1: Klausel 8.5 (e) und Klausel 8.9(b); Modul 2: Klausel 8.1(b), 8.9(a), (c), (d) und (e); Modul 3: Klausel 8.1(a), (c) und (d) und Klausel 8.9(a), (c), (d), (e), (f) und (g); Modul 4: Klausel 8.1 (b) und Klausel 8.3(b);

(iii) Klausel 9 – Modul Zwei: Klausel 9(a), (c), (d) und (e); Modul Drei: Klausel 9(a), (c), (d) und (e);

(iv) Klausel 12 – Modul Eins: Klausel 12(a) und (d); Module Zwei und Drei: Klausel 12(a), (d) und (f);

(v) Klausel 13;

(vi) Klausel 15.1(c), (d) und (e);

(vii) Klausel 16(e);

(viii) Klausel 18 – Module Eins, Zwei und Drei: Klausel 18(a) und (b); Modul Vier: Klausel 18.

b) Absatz (a) berührt unbeschadet der Rechte der betroffenen Personen nach der Verordnung (EU) 2016/679.

Klausel 4 - Auslegung

a) Wenn diese Klauseln Begriffe verwenden, die in der Verordnung (EU) 2016/679 definiert sind, haben diese Begriffe die gleiche Bedeutung wie in dieser Verordnung.

b) Diese Klauseln sind im Hinblick auf die Bestimmungen der Verordnung (EU) 2016/679 zu lesen und auszulegen.

c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die mit den in der Verordnung (EU) 2016/679 vorgesehenen Rechten und Pflichten in Konflikt steht.

Klausel 5 – Hierarchie

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen verwandter Vereinbarungen zwischen den Parteien, die zum Zeitpunkt der Vereinbarung oder des Abschlusses dieser Klauseln bestehen, haben diese Klauseln Vorrang.

Ziffer 6 - Beschreibung der Übertragung(en)

Die Einzelheiten der Übermittlung(en), insbesondere die Kategorien der übermittelten personenbezogenen Daten und der Zweck(e), für den sie übermittelt werden, sind in Anhang I.B. angegeben.

Klausel 7 (optional) - Andockklausel

a) Ein Unternehmen, das keine Partei dieser Klauseln ist, kann diesen Klauseln mit Zustimmung der Parteien jederzeit entweder als Datenexporteur oder als Datenimporteur beitreten, indem es den Anhang ausfüllt und Anhang I.A. unterzeichnet.

b) Sobald er den Anhang ausgefüllt und Anhang I.A unterzeichnet hat, wird das beitretende Unternehmen Partei dieser Klauseln und hat die Rechte und Pflichten eines Datenexporteurs oder Datenimporteurs gemäß seiner Bezeichnung in Anhang I.A.

c) Der beitretende Rechtsträger hat keine Rechte oder Pflichten, die sich aus diesen Klauseln aus dem Zeitraum ergeben, bevor er Partei wird.

ABSCHNITT II - PFLICHTEN DER PARTEIEN

Klausel 8 – Datenschutzmaßnahmen

Der Datenexporteur garantiert, dass er angemessene Anstrengungen unternommen hat, um festzustellen, dass der Datenimporteur durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen in der Lage ist, seine Verpflichtungen aus diesen Klauseln zu erfüllen.

8.1 Anweisungen

a) Der Datenimporteur verarbeitet die personenbezogenen Daten nur auf dokumentierte Anweisung des Datenexporteurs. Der Datenexporteur kann solche Anweisungen während der gesamten Vertragsdauer erteilen.

b) Der Datenimporteur informiert den Datenexporteur unverzüglich, wenn er diesen Anweisungen nicht Folge leisten kann.

8.2 Zweckbindung

Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den/die spezifischen Zweck(e) der Übermittlung, wie in Anhang I.B dargelegt, es sei denn, es liegen weitere Anweisungen des Datenexporteurs vor.

8.3 Transparenz

Auf Anfrage stellt der Datenexporteur der betroffenen Person eine Kopie dieser Klauseln, einschließlich des von den Parteien ausgefüllten Anhangs, kostenlos zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich der in Anhang II beschriebenen Maßnahmen und personenbezogenen Daten, erforderlich ist, kann der Datenexporteur einen Teil des Textes des Anhangs zu diesen Klauseln vor der Weitergabe einer Kopie redigieren, muss jedoch eine aussagekräftige Zusammenfassung bereitstellen, wenn die betroffene Person ansonsten nicht in der Lage wäre, ihren Inhalt zu verstehen oder ihre Rechte auszuüben. Die Parteien werden der betroffenen Person auf Verlangen die Gründe für die Schwundhandlungen soweit wie möglich ohne Offenlegung der redigierten Informationen mitteilen. Diese Klausel gilt unbeschadet der Verpflichtungen des Datenexporteurs gemäß Artikel 13 und  14 der Verordnung (EU) 2016/679.

8.4 Genauigkeit

Erhält der Datenimporteur Kenntnis davon, dass die von ihm erhaltenen personenbezogenen Daten unrichtig sind oder veraltet sind, wird er den Datenexporteur unverzüglich informieren. In diesem Fall wird der Datenimporteur mit dem Datenexporteur zusammenarbeiten, um die Daten zu löschen oder zu korrigieren.

8.5  Dauer der Verarbeitung und Löschung oder Rückgabe von Daten

Die Verarbeitung durch den Datenimporteur erfolgt nur für die in Anhang I.B. angegebene Dauer. Nach Beendigung der Erbringung der Verarbeitungsdienste wird der Datenimporteur nach Wahl des Datenexporteurs alle im Auftrag des Datenexporteurs verarbeiteten personenbezogenen Daten löschen und dem Datenexporteur bestätigen, dass er dies getan hat, oder alle in seinem Auftrag verarbeiteten personenbezogenen Daten an den Datenexporteur zurückgeben und vorhandene Kopien löschen. Bis zur Löschung oder Rückgabe der Daten wird der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicherstellen. Im Falle lokaler Gesetze, die für den Datenimporteur gelten und die die Rückgabe oder Löschung der personenbezogenen Daten verbieten, garantiert der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln gewährleistet und diese nur in dem Umfang und solange verarbeitet, wie dies nach diesem lokalen Gesetz erforderlich ist. Dies gilt unbeschadet der Klausel 14, insbesondere der Anforderung an den Datenimporteur gemäß Klausel 14(e), den Datenexporteur während der gesamten Vertragsdauer zu benachrichtigen, wenn er Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterliegt, die nicht den Anforderungen gemäß Klausel 14(a) entsprechen.

8.6 Sicherheit der Verarbeitung

a) Der Datenimporteur und während der Übermittlung auch der Datenexporteur müssen geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einer Sicherheitsverletzung, die zu einer versehentlichen oder unrechtmäßigen Vernichtung, einem Verlust, einer Änderung, einer unbefugten Offenlegung oder einem unbefugten Zugriff auf diese Daten führt (nachfolgend „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Sicherheitsniveaus werden die Parteien den Stand der Technik, die Kosten der Umsetzung, die Art, den Umfang, den Kontext und den Zweck(en) der Verarbeitung und die mit der Verarbeitung verbundenen Risiken für die betroffenen Personen angemessen berücksichtigen. Die Parteien werden insbesondere einen Rückgriff auf Verschlüsselung oder Pseudonymisierung in Betracht ziehen, auch während der Übermittlung, wenn der Zweck der Verarbeitung auf diese Weise erfüllt werden kann. Im Falle einer Pseudonymisierung bleiben die zusätzlichen Informationen zur Zuordnung der personenbezogenen Daten zu einer bestimmten betroffenen Person, soweit möglich, unter der ausschließlichen Kontrolle des Datenexporteurs. Der Datenimporteur wird bei der Erfüllung seiner Verpflichtungen aus diesem Absatz zumindest die in Anhang II genannten technischen und organisatorischen Maßnahmen umsetzen. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Sicherheitsniveau bieten.

b) Der Datenimporteur gewährt Mitgliedern seines Personals Zugang zu den personenbezogenen Daten nur in dem Umfang, der für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Er stellt sicher, dass sich zur Verarbeitung der personenbezogenen Daten befugte Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

c) Im Falle einer Verletzung des Schutzes personenbezogener Daten in Bezug auf personenbezogene Daten, die vom Datenimporteur gemäß diesen Klauseln verarbeitet werden, ergreift der Datenimporteur geeignete Maßnahmen, um die Verletzung zu beheben, einschließlich Maßnahmen zur Minderung seiner nachteiligen Auswirkungen. Der Datenimporteur wird den Datenexporteur auch unverzüglich benachrichtigen, nachdem er von der Verletzung Kenntnis erlangt hat. Eine solche Benachrichtigung muss die Einzelheiten einer Kontaktstelle enthalten, an der weitere Informationen eingeholt werden können, eine Beschreibung der Art der Verletzung (einschließlich, wenn möglich, Kategorien und ungefähre Anzahl der betroffenen Personen und der betroffenen personenbezogenen Datensätze), ihre wahrscheinlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung, einschließlich, wenn angemessen, Maßnahmen zur Minderung ihrer möglichen nachteiligen Auswirkungen. Wenn und soweit es nicht möglich ist, alle Informationen gleichzeitig zur Verfügung zu stellen, muss die erste Benachrichtigung die dann verfügbaren Informationen enthalten und weitere Informationen werden, sobald sie verfügbar werden, unverzüglich nachträglich bereitgestellt.

d) Der Datenimporteur kooperiert mit dem Datenexporteur und unterstützt ihn dabei, seinen Verpflichtungen aus der Verordnung (EU) 2016/679 nachzukommen, insbesondere die zuständige Aufsichtsbehörde und die betroffenen Personen unter Berücksichtigung der Art der Verarbeitung und der dem Datenimporteur zur Verfügung stehenden Informationen zu benachrichtigen.

8.7  Sensible Daten

Wenn die Übermittlung personenbezogene Daten umfasst, die die ethnische Herkunft oder Zugehörigkeit offenlegen, politische Meinungen, religiöse oder philosophische Überzeugungen, oder Gewerkschaftsmitgliedschaft, genetische Daten, oder biometrischen Daten zum Zwecke der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit oder das Sexualleben oder die sexuelle Orientierung einer Person, oder Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten (nachfolgend „sensible Daten“), der Datenimporteur die in Anhang I.B. beschriebenen spezifischen Beschränkungen und/oder zusätzlichen Sicherheitsvorkehrungen anwendet.

8.8  Weitertransfers

Der Datenimporteur darf die personenbezogenen Daten nur auf dokumentierte Anweisung des Datenexporteurs an einen Dritten weitergeben. Darüber hinaus dürfen die Daten nur an Dritte weitergegeben werden, die sich außerhalb der Europäischen Union befinden (^[i]) (im selben Land wie der Datenimporteur oder in einem anderen Drittland, im Folgenden „Weiterübermittlung“), wenn der Dritte an diese Klauseln gebunden ist oder zustimmt, im Rahmen des entsprechenden Moduls, oder wenn

(i) die Weiterübertragung in ein Land erfolgt, das von einer Angemessenheitsentscheidung gemäß Artikel  45 der Verordnung (EU) 2016/679 profitiert, die die Weiterübertragung abdeckt;

(ii) der Dritte anderweitig angemessene Garantien gemäß Artikel 46 oder 47 der Verordnung (EU) 2016/679 in Bezug auf die betreffende Verarbeitung gewährleistet;

(iii) die Weiterübertragung für die Begründung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit spezifischen Verwaltungs-, Regulierungs- oder Gerichtsverfahren erforderlich ist; oder

(iv) die Weiterübermittlung erforderlich ist, um die lebenswichtigen Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.

Jede Weiterübermittlung unterliegt der Einhaltung aller anderen Sicherheitsvorkehrungen gemäß diesen Klauseln durch den Datenimporteur, insbesondere der Zweckbindung.

8.9  Dokumentation und Compliance

a) Der Datenimporteur wird Anfragen des Datenexporteurs, die sich auf die Verarbeitung nach diesen Klauseln beziehen, unverzüglich und angemessen bearbeiten.

b) Die Parteien können die Einhaltung dieser Klauseln nachweisen. Insbesondere hat der Datenimporteur angemessene Unterlagen über die im Auftrag des Datenexporteurs durchgeführten Verarbeitungstätigkeiten aufzubewahren.

c) Der Datenimporteur stellt dem Datenexporteur alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in diesen Klauseln dargelegten Verpflichtungen nachzuweisen und auf Verlangen des Datenexporteurs in angemessenen Abständen oder bei Anzeichen einer Nichteinhaltung Prüfungen der von diesen Klauseln erfassten Verarbeitungstätigkeiten zu ermöglichen und zu diesen beizutragen. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Datenexporteur relevante Zertifizierungen berücksichtigen, die vom Datenimporteur aufbewahrt werden.

d) Der Datenexporteur kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Audits können Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Datenimporteurs umfassen und müssen gegebenenfalls mit angemessener Vorankündigung durchgeführt werden.

e) Die Parteien stellen der zuständigen Aufsichtsbehörde die in den Absätzen (b) und (c) genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.

Klausel 9 – Einsatz von Unterauftragsverarbeitern

a) SPEZIFISCHE VORHERIGE GENEHMIGUNG Der Datenimporteur darf ohne die vorherige schriftliche Genehmigung des Datenexporteurs keine seiner Verarbeitungstätigkeiten, die im Auftrag des Datenexporteurs gemäß diesen Klauseln durchgeführt werden, an einen Unterauftragsverarbeiter untervergeben. Der Datenimporteur reicht den Antrag auf spezifische Genehmigung mindestens 3 Tage vor der Beauftragung des Unterauftragsverarbeiters zusammen mit den Informationen ein, die erforderlich sind, damit der Datenexporteur über die Genehmigung entscheiden kann. Die Liste der vom Datenexporteur bereits autorisierten Unterauftragsverarbeiter ist Anhang III zu entnehmen. Die Parteien halten Anhang III auf dem neuesten Stand.

b) Soweit der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten beauftragt (im Auftrag des Datenexporteurs), wird er dies durch einen schriftlichen Vertrag tun, der im Wesentlichen die gleichen Datenschutzverpflichtungen vorsieht wie diejenigen, die den Datenimporteur gemäß diesen Klauseln binden, einschließlich in Bezug auf Drittbegünstigungsrechte für betroffene Personen. (^[i]) Die Parteien vereinbaren, dass der Datenimporteur durch Einhaltung dieser Klausel seine Verpflichtungen gemäß Klausel 8.8 erfüllt. Der Datenimporteur stellt sicher, dass der Unterauftragsverarbeiter die Verpflichtungen erfüllt, denen der Datenimporteur gemäß diesen Klauseln unterliegt.

c) Der Datenimporteur stellt dem Datenexporteur auf Verlangen des Datenexporteurs eine Kopie einer solchen Unterauftragsverarbeitervereinbarung und etwaiger nachträglicher Änderungen zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Datenimporteur den Text der Vereinbarung vor der Weitergabe einer Kopie redigieren.

d) Der Datenimporteur bleibt dem Datenexporteur gegenüber vollumfänglich für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters aus seinem Vertrag mit dem Datenimporteur verantwortlich. Der Datenimporteur benachrichtigt den Datenexporteur über jede Nichterfüllung seiner Verpflichtungen aus diesem Vertrag durch den Unterauftragsverarbeiter.

e) Der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigungsklausel, wobei – falls der Datenimporteur faktisch verschwunden ist, nicht mehr gesetzlich existiert oder zahlungsunfähig geworden ist – der Datenexporteur das Recht hat, den Unterauftragsverarbeitervertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

Klausel 10 – Rechte betroffener Personen

a) Der Datenimporteur benachrichtigt den Datenexporteur unverzüglich über jede Anfrage, die er von einer betroffenen Person erhalten hat. Er wird auf diese Anfrage nicht selbst antworten, es sei denn, er wurde vom Datenexporteur dazu autorisiert.

b) Der Datenimporteur unterstützt den Datenexporteur bei der Erfüllung seiner Verpflichtungen, auf Anfragen von betroffenen Personen zur Ausübung ihrer Rechte gemäß Verordnung (EU) 2016/679 zu reagieren. Die Parteien werden hierzu in Anlage II die geeigneten technischen und organisatorischen Maßnahmen unter Berücksichtigung der Art der Verarbeitung, durch die die Unterstützung zu leisten ist, sowie des Umfangs und Umfangs der erforderlichen Unterstützung festlegen.

c) Bei der Erfüllung seiner Verpflichtungen aus den Absätzen (a) und (b) hat der Datenimporteur die Anweisungen des Datenexporteurs zu befolgen.

Klausel 11 - Abhilfe

a) Der Datenimporteur informiert betroffene Personen in einem transparenten und leicht zugänglichen Format durch individuelle Mitteilung oder auf seiner Website über eine zur Bearbeitung von Beschwerden befugte Kontaktstelle. Er wird alle Beschwerden, die er von einer betroffenen Person erhält, unverzüglich bearbeiten.

b) Im Falle einer Streitigkeit zwischen einer betroffenen Person und einer der Parteien in Bezug auf die Einhaltung dieser Klauseln wird diese Partei sich nach besten Kräften bemühen, das Problem rechtzeitig gütlich zu lösen. Die Parteien halten sich gegenseitig über solche Streitigkeiten auf dem Laufenden und kooperieren gegebenenfalls bei deren Beilegung.

c) Wenn sich die betroffene Person auf ein Recht eines Drittbegünstigten gemäß Klausel 3 beruft, akzeptiert der Datenimporteur die Entscheidung der betroffenen Person, vorausgesetzt:

(i) eine Beschwerde bei der Aufsichtsbehörde im Mitgliedstaat seines gewöhnlichen Aufenthalts oder Arbeitsplatzes oder bei der zuständigen Aufsichtsbehörde gemäß Klausel 13 einzureichen;

(ii) die Streitigkeit an die zuständigen Gerichte im Sinne von Ziffer 18 verweisen.

d) Die Parteien akzeptieren, dass die betroffene Person unter den in Artikel 80(1) der Verordnung (EU) 2016/679 dargelegten Bedingungen durch eine gemeinnützige Einrichtung, Organisation oder Vereinigung vertreten werden kann.

e) Der Datenimporteur hält sich an eine Entscheidung, die nach geltendem Recht der EU oder eines Mitgliedstaats bindend ist.

f) Der Datenimporteur erklärt sich damit einverstanden, dass die von der betroffenen Person getroffene Entscheidung ihre materiellen und verfahrenstechnischen Rechte auf Rechtsbehelfe gemäß den geltenden Gesetzen nicht beeinträchtigt.

Ziffer 12 - Haftung

a) Jede Partei haftet gegenüber der/den anderen Partei/en für Schäden, die sie der/den anderen Partei/en durch einen Verstoß gegen diese Klauseln verursacht.

b) Der Datenimporteur haftet gegenüber der betroffenen Person, und die betroffene Person hat Anspruch auf Entschädigung für alle wesentlichen oder immateriellen Schäden, die der Datenimporteur oder sein Unterauftragsverarbeiter der betroffenen Person durch Verletzung der Rechte des Drittbegünstigten gemäß diesen Klauseln verursacht.

c) Ungeachtet Absatz (b) haftet der Datenexporteur gegenüber der betroffenen Person, und die betroffene Person hat Anspruch auf Entschädigung für alle wesentlichen oder immateriellen Schäden, die der Datenexporteur oder der Datenimporteur (oder sein Unterauftragsverarbeiter) der betroffenen Person durch Verletzung der Rechte des Drittbegünstigten gemäß diesen Klauseln verursacht. Dies gilt unbeschadet der Haftung des Datenexporteurs und, wenn der Datenexporteur ein im Auftrag eines Verantwortlichen handelnder Auftragsverarbeiter ist, der Haftung des Verantwortlichen gemäß der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725, soweit zutreffend.

d) Die Parteien vereinbaren, dass, wenn der Datenexporteur gemäß Absatz (c) für Schäden haftbar gemacht wird, die vom Datenimporteur (oder seinem Unterauftragsverarbeiter) verursacht werden, er berechtigt ist, vom Datenimporteur den Teil der Entschädigung zurückzufordern, der der Verantwortung des Datenimporteurs für den Schaden entspricht.

e) Wenn mehr als eine Partei für Schäden verantwortlich ist, die der betroffenen Person infolge eines Verstoßes gegen diese Klauseln entstehen, haften alle verantwortlichen Parteien gesamtschuldnerisch und die betroffene Person ist berechtigt, eine Klage gegen eine dieser Parteien vor Gericht zu erheben.

f) Die Parteien sind sich darüber einig, dass, wenn eine Partei gemäß Absatz (e) haftbar gemacht wird, sie berechtigt ist, von der/den anderen Partei/en den Teil der Entschädigung zurückzufordern, der ihrer/ihrer Verantwortung für den Schaden entspricht.

g) Der Datenimporteur darf sich nicht auf das Verhalten eines Unterauftragsverarbeiters berufen, um seine eigene Haftung zu vermeiden.

Klausel 13 - Aufsicht

a) [Soweit der Datenexporteur in einem EU-Mitgliedstaat niedergelassen ist:] Als zuständige Aufsichtsbehörde fungiert die für die Einhaltung der Verordnung (EU) 2016/679 durch den Datenexporteur verantwortliche Aufsichtsbehörde im Hinblick auf die Datenübertragung, wie in Anhang I.C angegeben.

[Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen ist, sondern in den territorialen Anwendungsbereich der Verordnung (EU) 2016/679 gemäß Artikel  3(2) fällt und einen Vertreter gemäß Artikel  27(1) der Verordnung (EU) 2016/679 ernannt hat:] Die Aufsichtsbehörde des Mitgliedstaats, in dem der Vertreter im Sinne von Artikel  27(1) der Verordnung (EU) 2016/679 niedergelassen ist, wie in Anhang I.C angegeben, fungiert als zuständige Aufsichtsbehörde.

[Wenn der Datenexporteur nicht in einem EU-Mitgliedsstaat ansässig ist, fällt jedoch in den territorialen Anwendungsbereich der Verordnung (EU) 2016/679 gemäß Artikel  3(2), ohne jedoch einen Vertreter gemäß Artikel  27(2) der Verordnung (EU) 2016/679 benennen zu müssen:] Die Aufsichtsbehörde eines der Mitgliedstaaten, in die die betroffenen Personen, deren personenbezogene Daten gemäß diesen Klauseln übertragen werden, in Bezug auf das Angebot von Waren oder Dienstleistungen an sie, oder deren Verhalten überwacht wird, sich befinden, wie in Anhang I.C angegeben, fungiert als zuständige Aufsichtsbehörde.

b) Der Datenimporteur verpflichtet sich, sich der Gerichtsbarkeit der zuständigen Aufsichtsbehörde zu unterwerfen und mit ihr bei allen Verfahren zusammenzuarbeiten, die darauf abzielen, die Einhaltung dieser Klauseln sicherzustellen. Insbesondere verpflichtet sich der Datenimporteur, Anfragen zu beantworten, Prüfungen durchzuführen und die von der Aufsichtsbehörde getroffenen Maßnahmen, einschließlich Abhilfemaßnahmen und Ausgleichsmaßnahmen, einzuhalten. Er wird der Aufsichtsbehörde schriftlich bestätigen, dass die erforderlichen Maßnahmen ergriffen wurden.

ABSCHNITT III – LOKALE GESETZE UND VERPFLICHTUNGEN IM FALLE DES ZUGRIFFS DURCH BEHÖRDEN

Klausel 14 – Lokale Gesetze und Praktiken, die die Einhaltung der Klauseln betreffen

a) Die Parteien garantieren, dass sie keinen Grund zu der Annahme haben, dass die für die Verarbeitung der personenbezogenen Daten durch den Datenimporteur geltenden Gesetze und Praktiken im Drittland des Bestimmungsortes, einschließlich aller Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die den Zugriff durch öffentliche Behörden autorisieren, den Datenimporteur daran hindern, seine Verpflichtungen aus diesen Klauseln zu erfüllen. Dies beruht auf dem Verständnis, dass Gesetze und Praktiken, die das Wesen der Grundrechte und -freiheiten respektieren und nicht über das hinausgehen, was in einer demokratischen Gesellschaft erforderlich und verhältnismäßig ist, um eines der in Artikel 23(1) der Verordnung (EU) 2016/679 aufgeführten Ziele zu wahren, nicht im Widerspruch zu diesen Klauseln stehen.

b) Die Parteien erklären, dass sie bei der Stellung der Gewährleistung in Absatz (a) insbesondere folgende Elemente gebührend berücksichtigt haben:

(i) die spezifischen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle; beabsichtigte Weiterübermittlungen; die Art des Empfängers; der Zweck der Verarbeitung; die Kategorien und das Format der übermittelten personenbezogenen Daten; der Wirtschaftssektor, in dem die Übermittlung stattfindet; der Speicherort der übermittelten Daten;

(ii) Behörden oder Genehmigung des Zugriffs durch solche Behörden – relevant im Hinblick auf die spezifischen Umstände der Übertragung und die geltenden Beschränkungen und Sicherheitsvorkehrungen (^[i]);

(iii) alle relevanten vertraglichen, technischen oder organisatorischen Sicherheitsvorkehrungen, die zur Ergänzung der Sicherheitsvorkehrungen gemäß diesen Klauseln getroffen werden, einschließlich der Maßnahmen, die während der Übermittlung und der Verarbeitung der personenbezogenen Daten im Bestimmungsland angewendet werden.

c) Der Datenimporteur gewährleistet, dass er bei der Durchführung der Bewertung gemäß Absatz (b) alle Anstrengungen unternommen hat, um dem Datenexporteur relevante Informationen zur Verfügung zu stellen, und stimmt zu, dass er weiterhin mit dem Datenexporteur bei der Sicherstellung der Einhaltung dieser Klauseln zusammenarbeiten wird.

d) Die Parteien verpflichten sich, die Bewertung nach Absatz (b) zu dokumentieren und der zuständigen Aufsichtsbehörde auf Verlangen zur Verfügung zu stellen.

e) Der Datenimporteur verpflichtet sich, den Datenexporteur unverzüglich zu benachrichtigen, wenn er, nachdem er diesen Klauseln zugestimmt hat, für die Dauer des Vertrags Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterliegt, die nicht mit den Anforderungen gemäß Absatz (a) übereinstimmen, einschließlich nach einer Änderung der Gesetze des Drittlandes oder einer Maßnahme (wie z. B. einer Offenlegungsanfrage), die eine Anwendung solcher Gesetze in der Praxis anzeigt, die nicht mit den Anforderungen in Absatz (a) übereinstimmt.

f) Nach einer Mitteilung nach Absatz (e) oder wenn der Datenexporteur anderweitig Grund zu der Annahme hat, dass der Datenimporteur seinen Verpflichtungen aus diesen Klauseln nicht mehr nachkommen kann, muss der Datenexporteur unverzüglich geeignete Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit) identifizieren, die vom Datenexporteur und/oder Datenimporteur zur Bewältigung der Situation zu ergreifen sind. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Ansicht ist, dass keine angemessenen Sicherheitsvorkehrungen für eine solche Übermittlung gewährleistet werden können, oder wenn er von der zuständigen Aufsichtsbehörde dazu angewiesen wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit es sich um die Verarbeitung personenbezogener Daten gemäß diesen Klauseln handelt. Sofern der Vertrag mehr als zwei Parteien betrifft, kann der Datenexporteur dieses Kündigungsrecht nur gegenüber der betreffenden Partei ausüben, es sei denn, die Parteien haben etwas anderes vereinbart. Wenn der Vertrag gemäß dieser Klausel gekündigt wird, gelten die Klauseln 16(d) und (e).

Ziffer 15 - Pflichten des Datenimporteurs im Falle des Zugriffs durch Behörden

15.1 Benachrichtigung

a) Der Datenimporteur verpflichtet sich, den Datenexporteur und, soweit möglich, die betroffene Person unverzüglich (ggf. mit Hilfe des Datenexporteurs) zu benachrichtigen, wenn er:

(i) eine rechtsverbindliche Anfrage von einer öffentlichen Behörde, einschließlich Justizbehörden, nach den Gesetzen des Bestimmungslandes zur Offenlegung personenbezogener Daten, die gemäß diesen Klauseln übermittelt werden, erhält; eine solche Benachrichtigung umfasst Informationen über die angeforderten personenbezogenen Daten, die anfordernde Behörde, die Rechtsgrundlage für die Anfrage und die bereitgestellte Antwort; oder

(ii) Kenntnis von jeglichem direkten Zugriff öffentlicher Behörden auf personenbezogene Daten erhält, die gemäß diesen Klauseln gemäß den Gesetzen des Bestimmungslandes übermittelt werden; diese Benachrichtigung umfasst alle dem Importeur zur Verfügung stehenden Informationen.

b) Ist es dem Datenimporteur nach den Gesetzen des Bestimmungslandes untersagt, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, verpflichtet sich der Datenimporteur, sich nach besten Kräften zu bemühen, einen Verzicht auf das Verbot zu erhalten, um so schnell wie möglich so viele Informationen wie möglich zu kommunizieren. Der Datenimporteur verpflichtet sich, seine besten Anstrengungen zu dokumentieren, um diese auf Verlangen des Datenexporteurs nachweisen zu können.

c) Soweit nach den Gesetzen des Bestimmungslandes zulässig, verpflichtet sich der Datenimporteur, dem Datenexporteur in regelmäßigen Abständen für die Dauer des Vertrags so viele relevante Informationen wie möglich über die eingegangenen Anfragen zur Verfügung zu stellen (insbesondere Anzahl der Anfragen, Art der angeforderten Daten, anfragende Behörde/n, ob Anfragen angefochten wurden und das Ergebnis solcher Anfragen usw.).

d) Der Datenimporteur verpflichtet sich, die Informationen gemäß den Absätzen (a) bis (c) für die Dauer des Vertrags aufzubewahren und der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

e) Die Absätze (a) bis (c) bestehen unbeschadet der Verpflichtung des Datenimporteurs gemäß Klausel 14(e) und Klausel 16 , den Datenexporteur unverzüglich zu informieren, wenn er nicht in der Lage ist, diese Klauseln einzuhalten.

15.2 Überprüfung der Rechtmäßigkeit und Datenminimierung

a) Der Datenimporteur verpflichtet sich, die Rechtmäßigkeit des Offenlegungsantrags zu überprüfen, insbesondere ob er innerhalb der Befugnisse bleibt, die der ersuchenden Behörde erteilt wurden, und den Antrag anzufechten, wenn er nach sorgfältiger Prüfung zu dem Schluss kommt, dass ein angemessener Grund zur Annahme besteht, dass der Antrag nach den Gesetzen des Bestimmungslandes, den anwendbaren Verpflichtungen nach internationalem Recht und den Grundsätzen der internationalen Gemeinschaft rechtswidrig ist. Der Datenimporteur wird unter den gleichen Bedingungen Beschwerdemöglichkeiten verfolgen. Bei der Anfechtung eines Ersuchens ersucht der Datenimporteur um einstweilige Maßnahmen, um die Auswirkungen des Ersuchens auszusetzen, bis die zuständige Justizbehörde über seine Begründetheit entschieden hat. Er darf die angeforderten personenbezogenen Daten erst offenlegen, wenn dies gemäß den geltenden Verfahrensregeln erforderlich ist. Diese Anforderungen gelten unbeschadet der Verpflichtungen des Datenimporteurs gemäß Klausel 14(e).

b) Der Datenimporteur verpflichtet sich, seine rechtliche Beurteilung und jede Anfechtung des Offenlegungsantrags zu dokumentieren und, soweit nach den Gesetzen des Bestimmungslandes zulässig, die Dokumentation dem Datenexporteur zur Verfügung zu stellen. Er stellt sie auch der zuständigen Aufsichtsbehörde auf Verlangen zur Verfügung.

c) Der Datenimporteur verpflichtet sich, die Mindestmenge an Informationen bereitzustellen, die zulässig ist, wenn er auf eine Offenlegungsanfrage antwortet, basierend auf einer angemessenen Interpretation der Anfrage.

ABSCHNITT IV - SCHLUSSBESTIMMUNGEN

Ziffer 16 - Nichteinhaltung der Klauseln und Kündigung

a) Der Datenimporteur wird den Datenexporteur unverzüglich informieren, wenn er aus welchem Grund auch immer nicht in der Lage ist, diese Klauseln einzuhalten.

b) Für den Fall, dass der Datenimporteur gegen diese Klauseln verstößt oder nicht in der Lage ist, diese Klauseln einzuhalten, setzt der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aus, bis die Einhaltung erneut gewährleistet ist oder der Vertrag gekündigt wird. Dies gilt unbeschadet Klausel 14(f).

c) Der Datenexporteur ist berechtigt, den Vertrag zu kündigen, soweit es sich um die Verarbeitung personenbezogener Daten nach diesen Klauseln handelt, wenn:

(i) der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Absatz (b) ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist und in jedem Fall innerhalb eines Monats nach der Aussetzung wiederhergestellt wird;

(ii) der Datenimporteur erheblich oder dauerhaft gegen diese Klauseln verstößt; oder

(iii) der Datenimporteur eine verbindliche Entscheidung eines zuständigen Gerichts oder einer zuständigen Aufsichtsbehörde bezüglich seiner Verpflichtungen aus diesen Klauseln nicht einhält.

d) Personenbezogene Daten, die vor Vertragsbeendigung gemäß Absatz (c) übermittelt wurden, werden nach Wahl des Datenexporteurs unverzüglich an den Datenexporteur zurückgegeben oder vollständig gelöscht. Gleiches gilt für etwaige Kopien der Daten. Der Datenimporteur bescheinigt dem Datenexporteur die Löschung der Daten. Bis zur Löschung oder Rückgabe der Daten wird der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicherstellen. Im Falle lokaler Gesetze, die für den Datenimporteur gelten und die die Rückgabe oder Löschung der übermittelten personenbezogenen Daten verbieten, garantiert der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln gewährleistet und die Daten nur in dem Umfang und solange verarbeitet, wie dies nach diesem lokalen Gesetz erforderlich ist.

e) Jede Partei kann ihre Zustimmung zur Bindung an diese Klauseln widerrufen, wenn (i) die Europäische Kommission eine Entscheidung gemäß Artikel 45(3) der Verordnung (EU) 2016/679 erlässt, die die Übermittlung personenbezogener Daten abdeckt, für die diese Klauseln gelten; oder (ii) die Verordnung (EU) 2016/679 Teil des Rechtsrahmens des Landes wird, in das die personenbezogenen Daten übermittelt werden. Dies gilt unbeschadet anderer Verpflichtungen, die für die betreffende Verarbeitung gemäß der Verordnung (EU) 2016/679 gelten.

Klausel 17 - Anwendbares Recht

Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, sofern dieses Recht Rechte von Drittbegünstigten zulässt. Die Parteien vereinbaren, dass dies das Recht der Republik Irland ist.

Klausel 18 – Gerichtsstand und Gerichtsstand

a) Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten eines EU-Mitgliedstaats beigelegt.

b) Die Parteien vereinbaren, dass dies die Gerichte von Dublin, Irland, sind.

c) Eine betroffene Person kann auch vor den Gerichten des Mitgliedstaats, in dem sie ihren gewöhnlichen Aufenthalt hat, Klage gegen den Datenexporteur und/oder Datenimporteur erheben.

d) Die Parteien vereinbaren, sich der Zuständigkeit dieser Gerichte zu unterwerfen.

ANHANG

ERKLÄRUNGSHINWEIS:

Es muss möglich sein, die für jede Übermittlung oder Kategorie von Übermittlungen zutreffenden Informationen klar zu unterscheiden und in dieser Hinsicht die jeweilige Rolle(n) der Parteien als Datenexporteur(en) und/oder Datenimporteur(e) zu bestimmen. Dies erfordert nicht zwingend das Ausfüllen und Unterzeichnen separater Anhänge für jede Übertragung/Kategorie von Übertragungen und/oder Vertragsverhältnissen, wenn diese Transparenz durch eine Anlage erreicht werden kann. Falls erforderlich, um eine ausreichende Klarheit zu gewährleisten, sollten jedoch separate Anhänge verwendet werden.

ANHANG I

A. LISTE DER PARTEIEN

Datenexporteur(e):

Name: Die in einer entsprechenden Bestellung angegebene Einheit.

Adresse: Die Adresse des Unternehmens, die in einer entsprechenden Bestellung angegeben ist.

Name, Position und Kontaktdaten der Kontaktperson: Wie in einer entsprechenden Bestellung angegeben.

Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: siehe Anhang 1.

Datenimporteur(e): 

Name: Claroty Ltd. im eigenen Namen und im Namen seiner verbundenen Unternehmen

Adresse: 82 Yigal Alon St, Tel Aviv-Yafo, Israel

Name, Position und Kontaktdaten der Kontaktperson: Seth Gerson, General Counsel, legal@claroty.com

Aktivitäten, die für die im Rahmen dieser Klauseln übermittelten Daten relevant sind: Verarbeitungsaktivitäten, die in Anhang 1 beschrieben sind.

Rolle (Verantwortlicher/Auftragsverarbeiter): Datenverarbeiter

B. BESCHREIBUNG DER ÜBERTRAGUNG

Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden

Siehe Anhang 1

Kategorien der übermittelten personenbezogenen Daten

Siehe Anhang 1

Sensible Daten, die (gegebenenfalls) übertragen und Beschränkungen oder Sicherheitsvorkehrungen angewendet werden, die die Art der Daten und die damit verbundenen Risiken vollständig berücksichtigen, wie z. B. strenge Zweckbeschränkungen, Zugriffsbeschränkungen (einschließlich des Zugriffs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnungen über den Zugriff auf die Daten, Beschränkungen für Weiterübermittlungen oder zusätzliche Sicherheitsmaßnahmen.

Siehe Anhang 1

Die Häufigkeit der Übertragung (z. B. ob die Daten einmalig oder kontinuierlich übertragen werden).

Siehe Anhang 1

Art der Verarbeitung

Siehe Anhang 1

Zweck(e) der Datenübertragung und Weiterverarbeitung

Siehe Anhang 1

Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, die zur Bestimmung dieses Zeitraums verwendet werden

Siehe Anhang 1

Bei Übermittlungen an (Unter-)Auftragsverarbeiter auch Gegenstand, Art und Dauer der Verarbeitung angeben

Siehe Anhang 2 und DPA.

C. WETTBEWERBSBEHÖRDE
Die zuständige Aufsichtsbehörde gemäß Klausel 13 benennen.

ANHANG II

TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN EINSCHLIEßLICH TECHNISCHER UND ORGANISATORISCHER MAßNAHMEN ZUR GEWÄHRLEISTUNG DER SICHERHEIT DER DATEN

ERKLÄRUNGSHINWEIS:

Die technischen und organisatorischen Maßnahmen sind spezifisch (und nicht generisch) zu beschreiben. Siehe auch den allgemeinen Kommentar auf der ersten Seite des Anhangs, insbesondere zur Notwendigkeit, klar anzugeben, welche Maßnahmen für jede Übertragung/jeden Satz von Übertragungen gelten.

 Bitte beachten Sie die Sicherheitsdokumentation.

ANHANG III

LISTE DER UNTERVERARBEITER

ERKLÄRUNGSHINWEIS:

Dieser Anhang ist bei der konkreten Ermächtigung von Unterauftragsverarbeitern (Ziffer 9(a), Option 1) auszufüllen.

Der Verantwortliche hat die Verwendung der folgenden Unterauftragsverarbeiter genehmigt: Siehe Anhang 2.

[i] Wenn der Datenexporteur ein Auftragsverarbeiter ist, der der Verordnung (EU) 2016/679 unterliegt, die im Namen einer Unionsinstitution oder -stelle als Verantwortlicher handelt, das Vertrauen auf diese Klauseln bei der Beauftragung eines anderen Auftragsverarbeiters (Unterauftragsverarbeiter), der nicht der Verordnung (EU) 2016/679 unterliegt, gewährleistet auch die Einhaltung von Artikel  29(4) der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates von 23 Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Einrichtungen der Union, Körper, Büros und Agenturen sowie über den freien Datenverkehr, und Aufhebung der Verordnung (EG) Nr.  45/2001 und des Beschlusses Nr.  1247/2002/EG (ABl. L 295, 21.11.2018, S.  39), soweit diese Klauseln und die im Vertrag oder einem anderen Rechtsakt zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Artikel  29(3) der Verordnung (EU) 2018/1725 festgelegten Datenschutzverpflichtungen aufeinander abgestimmt sind. Dies wird insbesondere der Fall sein, wenn sich der Verantwortliche und der Auftragsverarbeiter auf die in Entscheidung 2021/915 enthaltenen Standardvertragsklauseln verlassen.

[i] Das Abkommen über den Europäischen Wirtschaftsraum (EWR-Abkommen) sieht die Erweiterung des Binnenmarktes der Europäischen Union auf die drei EWR-Staaten Island, Liechtenstein und Norwegen vor. Die Datenschutzgesetze der Union, einschließlich der Verordnung (EU) 2016/679, fallen unter das EWR-Abkommen und wurden in Anhang XI aufgenommen. Daher gilt jede Offenlegung durch den Datenimporteur an einen im EWR ansässigen Dritten nicht als Weiterübermittlung im Sinne dieser Klauseln.

[i] Diese Anforderung kann vom Unterauftragsverarbeiter erfüllt werden, der diesen Klauseln gemäß dem entsprechenden Modul gemäß Klausel 7 beitritt.

[i] In Bezug auf die Auswirkungen solcher Gesetze und Praktiken auf die Einhaltung dieser Klauseln können verschiedene Elemente als Teil einer Gesamtbewertung berücksichtigt werden. Solche Elemente können relevante und dokumentierte praktische Erfahrungen mit früheren Fällen von Offenlegungsanfragen von öffentlichen Behörden oder das Fehlen solcher Anfragen beinhalten, die einen ausreichend repräsentativen Zeitrahmen abdecken. Dies bezieht sich insbesondere auf interne Aufzeichnungen oder andere Dokumentationen, die kontinuierlich gemäß der Due Diligence erstellt und auf Ebene der Geschäftsleitung zertifiziert werden, sofern diese Informationen rechtmäßig an Dritte weitergegeben werden können. Wenn sich diese praktische Erfahrung darauf stützt, dass der Datenimporteur nicht daran gehindert wird, diese Klauseln einzuhalten, muss sie durch andere relevante, objektive Elemente unterstützt werden, und es ist für die Parteien wichtig, sorgfältig zu prüfen, ob diese Elemente zusammen hinsichtlich ihrer Zuverlässigkeit und Repräsentativität ausreichend Gewicht haben, um diese Schlussfolgerung zu unterstützen. Insbesondere haben die Parteien zu berücksichtigen, ob ihre praktische Erfahrung durch öffentlich zugängliche oder sonst zugängliche, verlässliche Informationen über das Vorliegen oder Fehlen von Anträgen innerhalb desselben Sektors und/oder die Anwendung des Rechts in der Praxis, wie z. B. Rechtsprechung und Berichte unabhängiger Aufsichtsorgane, bestätigt und nicht widersprochen wird.