English 
Deutsch 
Español 
Português 
Français 
Italiano 
中文 (中国) DATENVERARBEITUNGSVEREINBARUNG
Überarbeitungsdatum: 16. Juni 2026
Diese Datenverarbeitungsvereinbarung (die „DVA“) wird geschlossen zwischen:
(1) Auftraggeber: das jeweilige Vertragsunternehmen des Auftraggebers, das ausdrücklich in der jeweiligen Lieferanforderung (oder einem anderen Bestellformular oder Dokument, das auf dieser Grundlage ausgestellt und vom Auftraggeber akzeptiert wurde) für die Bereitstellung der VDR-Dienste (die „Lieferanforderung“) benannt ist, handelnd als Verantwortlicher („Auftraggeber” oder „Verantwortlicher“); und
(2) Ideals: das jeweilige Vertragsunternehmen von Ideals, das ausdrücklich in der jeweiligen Lieferanforderung benannt ist, handelnd als Auftragsverarbeiter („Ideals” oder „Auftragsverarbeiter“).
Einbeziehung und Rangfolge
Diese DVA ergänzt die Allgemeinen Geschäftsbedingungen von Ideals (die „AGB“) unter https://www.idealsvdr.com/terms-and-conditions/ und ist Bestandteil derselben. Die DVA findet Anwendung, soweit und in dem Maße, wie Ideals personenbezogene Daten im Auftrag des Auftraggebers als Auftragsverarbeiter im Zusammenhang mit den Diensten verarbeitet. Mit der Unterzeichnung der Lieferanforderung, die auf die AGB verweist, oder durch den Zugriff auf oder die Nutzung der Dienste erklärt sich der Auftraggeber im eigenen Namen sowie im Namen seiner Nutzer mit dieser DVA einverstanden.
Die „Ideals-VDR-Vereinbarung” bezeichnet die AGB zusammen mit der jeweiligen Lieferanforderung. Die Ideals-VDR-Vereinbarung und diese DVA werden zusammen als die „Vereinbarung” bezeichnet.
Im Falle eines Widerspruchs oder einer Unvereinbarkeit zwischen den Bestimmungen der Vereinbarung gilt – ausschließlich in Bezug auf den Widerspruch hinsichtlich datenschutzrechtlicher und Verarbeitungspflichten – folgende Rangfolge: (a) diese DVA; (b) die Ideals-VDR-Vereinbarung. Sofern nicht ausdrücklich durch diese DVA geändert, bleibt die Ideals-VDR-Vereinbarung unverändert und in vollem Umfang in Kraft.
1. BEGRIFFSBESTIMMUNGEN
„Personenbezogene Daten des Auftraggebers” bezeichnet personenbezogene Daten, (i) die der Auftraggeber in den Virtuellen Datenraum (nachfolgend der „VDR“) hochlädt, sowie (ii) die von Ideals im Auftrag des Auftraggebers im Zusammenhang mit der Erbringung der Dienste im Rahmen der Ideals-VDR-Vereinbarung anderweitig verarbeitet werden.
„Verantwortlicher” bezeichnet den Auftraggeber.
„Auftragsverarbeiter” bezeichnet Ideals.
„Datenschutzanforderungen” bezeichnet, soweit anwendbar, die EU-DSGVO und nationale Umsetzungsgesetze; die UK-DSGVO und den britischen Data Protection Act 2018; das Schweizer Bundesgesetz über den Datenschutz (DSG, einschließlich des revidierten DSG); das brasilianische Datenschutzgesetz (LGPD); Indiens Digital Personal Data Protection Act (DPDP Act) und Durchführungsbestimmungen (soweit in Kraft und anwendbar); US-amerikanische staatliche Datenschutzgesetze, die Verträge mit Auftragsverarbeitern/Dienstleistern regeln (einschließlich des CCPA/CPRA und materiell ähnlicher staatlicher Gesetze); sowie alle sonstigen anwendbaren Datenschutz- und Privatsphäreschutzgesetze und bindenden Leitlinien/Entscheidungen zuständiger Behörden.
„Datenschutzbeauftragter (DSB)” bezeichnet den von Ideals bestellten Datenschutzbeauftragten, erreichbar unter privacy@idealscorp.com.
„EU-personenbezogene Daten” bezeichnet personenbezogene Daten, die der EU-DSGVO unterliegen.
„US-amerikanische staatliche Datenschutzgesetze” bezeichnet, soweit anwendbar, das kalifornische CCPA/CPRA und materiell ähnliche US-amerikanische staatliche Datenschutzgesetze (z. B. CPA, VCDPA, CTDPA, UCPA), soweit sie auf die Dienste Anwendung finden.
„Personenbezogene Daten” bezeichnet Informationen über eine natürliche Person, die (a) zur Identifizierung, Kontaktaufnahme oder Auffindung einer bestimmten natürlichen Person verwendet werden können, einschließlich Daten, die der Auftraggeber in den VDR hochzuladen wählt; (b) mit anderen Informationen kombiniert werden können, die zur Identifizierung, Kontaktaufnahme oder Auffindung einer bestimmten natürlichen Person verwendet werden können; oder (c) als „personenbezogene Daten” oder „persönliche Informationen” durch anwendbare Gesetze oder Vorschriften zur Erhebung, Nutzung, Speicherung oder Offenlegung von Informationen über eine identifizierbare natürliche Person definiert werden.
„Geeignete Übermittlungsmechanismen” bezeichnet, soweit anwendbar: (i) die von der Kommission mit Beschluss (EU) 2021/914 verabschiedeten EU-Standardvertragsklauseln (Modul 2 – Verantwortlicher zu Auftragsverarbeiter); (ii) den britischen International Data Transfer Addendum (oder IDTA, soweit anwendbar); (iii) den EDÖB-Anhang für die Schweiz; und (iv) gegebenenfalls den EU-US-Datenschutzrahmen (Data Privacy Framework), die britische Erweiterung des EU-US-Datenschutzrahmens und den Schweizer-US-Datenschutzrahmen, sofern der jeweilige Datenimporteur eine gültige Zertifizierung aufrechterhält.
„Datenschutzrahmen” bezeichnet den EU-US Data Privacy Framework (DPF) sowie gegebenenfalls die britische Erweiterung des EU-US-DPF und den Schweizer-US-DPF, verwaltet vom US-Handelsministerium.
„Verletzung des Schutzes personenbezogener Daten” bezeichnet jede versehentliche oder rechtswidrige Vernichtung, jeden Verlust, jede Veränderung, unbefugte Offenlegung oder unbefugten Zugang zu personenbezogenen Daten des Auftraggebers.
„Verarbeitung” und seine Ableitungen bezeichnen jeden Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten oder Gesamtheiten personenbezogener Daten, der oder die mit oder ohne Hilfe automatisierter Verfahren ausgeführt wird, wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
„Unterauftragsverarbeiter” bezeichnet jede Einheit, die Verarbeitungsdienstleistungen für Ideals erbringt, um Ideals’ Verarbeitung im Auftrag des Auftraggebers zu fördern.
„Aufsichtsbehörde” bezeichnet jede zuständige EU-Aufsichtsbehörde, die britische ICO, den Schweizer EDÖB, die brasilianische ANPD oder eine andere zuständige Behörde, soweit anwendbar.
2. ART, UMFANG UND ZWECK DER DATENVERARBEITUNG
Jede Partei verpflichtet sich, personenbezogene Daten, die im Rahmen der Vereinbarung empfangen werden, einschließlich personenbezogener Daten natürlicher Personen, die in die in den VDR hochgeladenen Unterlagen aufgenommen wurden, sowie andere personenbezogene Daten des Verantwortlichen, ausschließlich für die in der Vereinbarung festgelegten Zwecke zu verarbeiten.
Darüber hinaus wird Ideals den Auftraggeber informieren, wenn es der Ansicht ist, dass eine vom Auftraggeber erhaltene Weisung gegen die Datenschutzanforderungen verstößt, damit der Auftraggeber diese Weisung überprüfen und gegebenenfalls ändern kann.
3. EINHALTUNG DER GESETZE
Die Parteien erfüllen jeweils ihre Verpflichtungen aus allen anwendbaren Datenschutzanforderungen.
4. PFLICHTEN DES AUFTRAGGEBERS
Der Auftraggeber verpflichtet sich:
4.1 Ideals Weisungen zu erteilen und die Zwecke sowie die allgemeinen Mittel der Verarbeitung personenbezogener Daten des Auftraggebers durch Ideals gemäß der Vereinbarung festzulegen; und
4.2 seinen Schutz-, Sicherheits- und sonstigen Pflichten in Bezug auf personenbezogene Daten des Auftraggebers, die den Datenschutzanforderungen für Verantwortliche vorgeschrieben sind, nachzukommen, indem er:
A. ein Verfahren zur Wahrnehmung der Rechte der natürlichen Personen einrichtet und aufrechterhält, deren personenbezogene Daten im Auftrag des Auftraggebers verarbeitet werden;
B. nur Daten hochlädt und verarbeitet, zu deren Hochladen in den VDR er berechtigt ist; und
C. die Einhaltung dieser Vereinbarung durch sein Personal oder durch Dritte sicherstellt, die im Namen des Auftraggebers auf personenbezogene Daten des Auftraggebers zugreifen oder diese nutzen.
5. PFLICHTEN VON IDEALS
5.1 Verarbeitungsanforderungen. Ideals wird:
A. Personenbezogene Daten des Auftraggebers (i) ausschließlich zum Zweck der Bereitstellung, Unterstützung und Verbesserung der Dienste von Ideals (einschließlich der Bereitstellung von Erkenntnissen und anderen Berichten) verarbeiten, unter Anwendung geeigneter technischer und organisatorischer Sicherheitsmaßnahmen, die in dieser DVA und Anhang II aufgeführt sind; und (ii) in Übereinstimmung mit den vom Auftraggeber erhaltenen Weisungen. Ideals wird die personenbezogenen Daten des Auftraggebers nicht für andere Zwecke nutzen oder verarbeiten. Alle Tätigkeiten im Zusammenhang mit der Verbesserung der Dienste, der Gewinnung von Erkenntnissen oder anderen Berichten werden ausschließlich an anonymisierten Daten durchgeführt, die nicht mehr als personenbezogene Daten im Sinne der DSGVO, der UK-DSGVO oder des DSG (und gleichwertiger Konzepte nach anderen anwendbaren Gesetzen) gelten.
B. wirtschaftlich angemessene Schritte unternehmen, um sicherzustellen, dass die im Auftrag von Ideals tätigen Personen die Bedingungen der Vereinbarung einhalten und verpflichtet sind, die Vertraulichkeit der personenbezogenen Daten des Auftraggebers einzuhalten und zu respektieren;
C. wenn Ideals beabsichtigt, Unterauftragsverarbeiter einzusetzen, um seinen Pflichten gemäß der Vereinbarung nachzukommen oder alle oder Teile der Verarbeitungstätigkeiten an solche Unterauftragsverarbeiter zu delegieren, gegenüber dem Auftraggeber für die Handlungen und Unterlassungen dieser Unterauftragsverarbeiter in Bezug auf den Datenschutz haftbar bleiben, wenn diese gemäß den Weisungen von Ideals handeln;
D. dem Auftraggeber auf schriftlichen Antrag eine Zusammenfassung der Datenschutz- und Sicherheitsrichtlinien von Ideals zur Verfügung zu stellen;
E. wenn Ideals personenbezogene Daten von natürlichen Personen als eigenständiger Verantwortlicher erhebt (z. B. für Kontoverwaltung, Abrechnung, Sicherheit, Compliance, Betrugsprävention und/oder andere Geschäftsvorgänge, die nicht im Auftrag des Auftraggebers durchgeführt werden), für diese Verarbeitung als Verantwortlicher (oder gleichwertige Rolle) zu gelten, und diese DVA auf eine solche Verarbeitung keine Anwendung findet;
F. DSB. Ideals unterhält einen bestellten Datenschutzbeauftragten und stellt dem Auftraggeber und den zuständigen Behörden auf Anfrage die Kontaktdaten zur Verfügung.
5.2 Unterstützung des Auftraggebers. Ideals leistet dem Auftraggeber angemessene Unterstützung bei:
A. Anträgen von betroffenen Personen des Auftraggebers bezüglich des Zugangs zu, der Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Sperrung oder Vernichtung von personenbezogenen Daten des Auftraggebers, die Ideals für den Auftraggeber verarbeitet. Sendet eine betroffene Person einen solchen Antrag direkt an Ideals, wird Ideals diesen Antrag unverzüglich an den Auftraggeber weiterleiten;
B. der Untersuchung von Verletzungen des Schutzes personenbezogener Daten und der Benachrichtigung der Aufsichtsbehörde und der betroffenen Personen des Auftraggebers über solche Verletzungen; Ideals benachrichtigt in jedem Fall den Auftraggeber über jede Verletzung des Schutzes personenbezogener Daten ohne unangemessene Verzögerung, nachdem Ideals davon Kenntnis erlangt hat, und stellt ausreichende Informationen und Unterstützung bereit, damit der Auftraggeber seinen eigenen gesetzlichen Verpflichtungen nachkommen kann;
C. der Vorbereitung von Datenschutz-Folgenabschätzungen und, soweit erforderlich, der Durchführung von Konsultationen mit einer Aufsichtsbehörde, wo angemessen.
5.3 Vorgeschriebene Verarbeitung.
Falls Ideals durch Datenschutzanforderungen oder anderes anwendbares Recht verpflichtet ist, personenbezogene Daten des Auftraggebers aus einem anderen Grund als der Erbringung der in der Vereinbarung beschriebenen Dienste zu verarbeiten, informiert Ideals den Auftraggeber im Voraus über diese Anforderung, sofern Ideals nicht gesetzlich daran gehindert ist, den Auftraggeber über eine solche Verarbeitung zu informieren (z. B. aufgrund von Geheimhaltungspflichten nach anwendbarem Recht).
6. SICHERHEIT
6.1 Ideals hat angemessene administrative, technische und physische Sicherheitsmaßnahmen implementiert (einschließlich in Bezug auf Personal, Einrichtungen, Hardware und Software, Speicherung und Netzwerke, Zugriffskontrollen, Überwachung und Protokollierung, Erkennung von Schwachstellen und Sicherheitsverletzungen, Reaktion auf Sicherheitsvorfälle sowie Verschlüsselung der personenbezogenen Daten des Auftraggebers während der Übertragung und im Ruhezustand) zum Schutz vor unbefugtem oder versehentlichem Zugang, Verlust, Veränderung, Offenlegung oder Vernichtung von personenbezogenen Daten des Auftraggebers;
6.2 Ideals ist verantwortlich für die Angemessenheit der Sicherheits-, Datenschutz- und Vertraulichkeitssicherungen aller Ideals-Mitarbeiter in Bezug auf personenbezogene Daten des Auftraggebers und haftet für jedes Versäumnis solcher Mitarbeiter, die Bedingungen dieser DVA einzuhalten;
6.3 Ideals hat angemessene Schritte unternommen, um sicherzustellen, dass alle Ideals-Mitarbeiter die Sicherheit, den Datenschutz und die Vertraulichkeit der personenbezogenen Daten des Auftraggebers entsprechend den Anforderungen dieser DVA schützen; und
6.4 Die Liste der von Ideals implementierten technischen und organisatorischen Maßnahmen ist in dieser DVA und Anhang II aufgeführt.
6.5 Ideals erklärt, dass die von Ideals zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet sind oder einer entsprechenden gesetzlichen Vertraulichkeitspflicht unterliegen.
7. PRÜFUNG
7.1 Prüfung und Sicherheitsgewissheit des Auftraggebers. Höchstens einmal innerhalb eines 12-Monats-Zeitraums (oder aus begründetem Anlass nach einer verifizierten Verletzung des Schutzes personenbezogener Daten) kann der Auftraggeber die Einhaltung dieser DVA durch Ideals prüfen. Ideals stellt zunächst seine aktuellen Berichte Dritter (z. B. ISO/IEC-27001-Zertifikat, SOC 2 Typ II), Zusammenfassungen von Penetrationstests und zugehörige Dokumentation zur Verfügung. Falls diese Materialien die Einhaltung nicht angemessen belegen, kann der Auftraggeber unter NDA eine gezielte Prüfung durchführen, mit einer schriftlichen Ankündigungsfrist von 30 Tagen, während der normalen Geschäftszeiten, ohne Zugang zu Daten anderer Kunden oder proprietären Prüfwerkzeugen von Ideals.
7.2 Behördliche Prüfungen. Ideals arbeitet bei Prüfungen oder Anfragen zuständiger Aufsichtsbehörden mit.
7.3 Kosten. Der Auftraggeber erstattet Ideals die angemessenen Auslagen, die direkt einer vom Auftraggeber initiierten Vor-Ort-Prüfung zuzurechnen sind.
8. DATENÜBERMITTLUNGEN
8.1 Die Parteien stützen sich auf geeignete Übermittlungsmechanismen für jede Übermittlung personenbezogener Daten des Auftraggebers in ein Land, das kein angemessenes Schutzniveau gewährleistet. Wenn Ideals eine gültige Zertifizierung nach dem Data Privacy Framework aufrechterhält, vereinbaren die Parteien, dass der Datenschutzrahmen als rechtmäßiger Übermittlungsmechanismus für die betreffenden personenbezogenen Daten gilt. Falls zu irgendeinem Zeitpunkt die Zertifizierung von Ideals ausläuft, widerrufen wird oder der betreffende Rahmen für ungültig erklärt wird oder anderweitig nicht verfügbar ist, gelten die in diese DVA einbezogenen Standardvertragsklauseln/UK-Anhang/Schweizer Anhang automatisch als Ausweichmechanismus, ohne dass weitere Maßnahmen der Parteien erforderlich sind.
8.2 EU/EWR-Übermittlungen (EU-Standardvertragsklauseln). Für Übermittlungen von EU-personenbezogenen Daten an Ideals zur Verarbeitung durch Ideals in einem Land außerhalb der EU/des EWR oder einem Land mit Angemessenheitsbeschluss beziehen die Parteien durch Verweis die EU-Standardvertragsklauseln (Verantwortlicher zu Auftragsverarbeiter, Modul 2), verabschiedet mit Beschluss (EU) 2021/914, ergänzt durch die Anhänge I–III dieser DVA, ein. Der Text der EU-Standardvertragsklauseln ist als Anlage I beigefügt (oder durch Verweis einbezogen, wenn dem Vereinbarungspaket beigefügt).
8.3 UK-Übermittlungen (UK Addendum / IDTA). Für beschränkte Übermittlungen nach der UK-DSGVO beziehen die Parteien durch Verweis den britischen International Data Transfer Addendum zu den EU-Standardvertragsklauseln (oder das IDTA, falls im Bestelldokument vereinbart), ergänzt durch die Tabellen in Anlage II, ein.
8.4 Schweizer Übermittlungen (Schweizer Anhang). Für Übermittlungen, die dem Schweizer DSG unterliegen, in ein Land ohne angemessenen Schutz beziehen die Parteien durch Verweis den EDÖB-Anhang ein, der in Anlage III dargelegt ist und durch die entsprechenden Anhänge dieser DVA ergänzt wird.
8.5 Ergänzende Maßnahmen. Ideals implementiert und unterhält geeignete technische und organisatorische Maßnahmen (einschließlich starker Verschlüsselung während der Übertragung und im Ruhezustand, Zugriffskontrollen und strenge Zugangsprotokolle), um den Anforderungen anwendbarer Datentransfer-Folgenabschätzungen gerecht zu werden.
8.6 Vom Auftraggeber initiierter Support-Zugang als Weisung. Wenn der Auftraggeber den Support-Zugang aktiviert oder schriftlich/per Ticket anfordert, gilt diese Maßnahme als dokumentierte Weisung für (i) den eingeschränkten Fernzugriff durch das Support-Personal von Ideals und (ii) jede grenzüberschreitende Übermittlung, die für die Erbringung dieses Supports notwendigerweise erforderlich ist. Umfang und Dauer sind auf das spezifische Ticket/die spezifische Sitzung beschränkt und werden in Prüfprotokollen festgehalten.
9. DATENRÜCKGABE UND LÖSCHUNG
Auf angemessenen schriftlichen Antrag des Auftraggebers an privacy@idealscorp.com (oder wie in der Ideals-VDR-Vereinbarung definiert) gibt Ideals nach Wahl des Auftraggebers alle personenbezogenen Daten des Auftraggebers und Kopien dieser Daten zurück oder vernichtet sie sicher und bestätigt auf Anfrage die Fertigstellung, sofern Datenschutzanforderungen Ideals nicht daran hindern, alle oder einen Teil der personenbezogenen Daten des Auftraggebers zurückzugeben oder zu vernichten. Wenn die Aufbewahrung gesetzlich vorgeschrieben ist, beschränkt Ideals die Verarbeitung auf den minimal erforderlichen Zweck und die minimal erforderliche Dauer.
10. DRITTANBIETER-DATENVERARBEITER
10.1 Der Auftraggeber nimmt zur Kenntnis, dass Ideals im Rahmen der Erbringung der Dienste personenbezogene Daten des Auftraggebers an Unterauftragsverarbeiter übermitteln und anderweitig mit diesen interagieren kann.
10.2 Die Liste der Unterauftragsverarbeiter ist in Anhang III zu dieser DVA aufgeführt.
11. ANWENDBARES RECHT, ZUSTÄNDIGKEIT UND GERICHTSSTAND
Diese DVA unterliegt dem in der Ideals-VDR-Vereinbarung festgelegten anwendbaren Recht und den Streitbeilegungsbestimmungen und ist gemäß diesen auszulegen, mit der Maßgabe, dass:
(a) dieser Abschnitt die Auswahl des anwendbaren Rechts/Gerichtsstands gemäß Klausel 17/18 der EU-Standardvertragsklauseln nicht ändert; und
(b) für UK-Übermittlungen der UK Addendum/das IDTA gilt, soweit anwendbar; und
(c) für Schweizer Übermittlungen der Schweizer Anhang gilt, soweit anwendbar.
12. LAUFZEIT
Diese DVA bleibt in Kraft, solange die Ideals-VDR-Vereinbarung gültig ist.
ANLAGE 0
A. Referenzen zu zuständigen Aufsichtsbehörden (informativ)
EU/EWR: zuständige Aufsichtsbehörde gemäß DSGVO (Niederlassung des Auftraggebers / Hauptniederlassung).
UK: ICO (soweit die UK-DSGVO gilt).
Schweiz: EDÖB (soweit das Schweizer DSG gilt).
Brasilien: ANPD (soweit das LGPD gilt).
Kalifornien: CPPA (soweit das CCPA gilt).
Indien: zuständige Behörde/Stelle (gemäß geltendem Recht).
Diese Anlage dient nur zu Informationszwecken und ändert oder ersetzt nicht die zuständige Aufsichtsbehörde, die gemäß den EU-Standardvertragsklauseln bestimmt wurde. Für die Zwecke der EU-Standardvertragsklauseln (Klausel 13) wird die zuständige Aufsichtsbehörde ausschließlich gemäß der DSGVO bestimmt und in Anhang I(C) ausgewiesen.
ANLAGE I
STANDARDVERTRAGSKLAUSELN
ABSCHNITT I
Klausel 1 – Zweck und Anwendungsbereich
(a) Zweck dieser Standardvertragsklauseln ist die Einhaltung der Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) bei der Übermittlung personenbezogener Daten in ein Drittland.
(b) Die Parteien: (i) die natürlichen oder juristischen Person(en), Behörden, Einrichtungen oder andere Stelle(n), die personenbezogene Daten übermitteln, wie in Anhang I.A aufgeführt (nachfolgend jeweils „Datenexporteur”), und (ii) die Einheit(en) in einem Drittland, die personenbezogene Daten vom Datenexporteur empfangen, unmittelbar oder mittelbar über eine andere Partei dieser Klauseln, wie in Anhang I.A aufgeführt (nachfolgend jeweils „Datenimporteur”), haben diese Standardvertragsklauseln (nachfolgend „Klauseln”) vereinbart.
(c) Diese Klauseln gelten für die Übermittlung personenbezogener Daten gemäß Anhang I.B.
(d) Der Anhang zu diesen Klauseln, der die darin genannten Anlagen enthält, ist Bestandteil dieser Klauseln.
Klausel 2 – Wirkung und Unveränderlichkeit der Klauseln
(a) Diese Klauseln legen geeignete Garantien, einschließlich durchsetzbarer Rechte der betroffenen Personen und wirksamer Rechtsbehelfe, gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 sowie hinsichtlich der Datenübermittlungen von Verantwortlichen zu Auftragsverarbeitern und/oder von Auftragsverarbeitern zu Auftragsverarbeitern Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679 fest, sofern sie nicht geändert werden, außer um Informationen im Anhang hinzuzufügen oder zu aktualisieren.
(b) Diese Klauseln berühren nicht die Pflichten, denen der Datenexporteur aufgrund der Verordnung (EU) 2016/679 (DSGVO) unterliegt.
Klausel 3 – Drittbegünstigte
(a) Betroffene Personen können diese Klauseln als Drittbegünstigte gegenüber dem Datenexporteur und/oder dem Datenimporteur geltend machen und durchsetzen, mit folgenden Ausnahmen: (i) Klausel 1, 2, 3, 6, 7; (ii) Klausel 8 – 8.1(b), 8.9(a), (c), (d) und (e); (iii) Klausel 9 – 9(a), (c), (d) und (e); (iv) Klausel 12 – 12(a), (d) und (f); (v) Klausel 13; (vi) Klausel 15.1(c), (d) und (e); (vii) Klausel 16(e); (viii) Klausel 18 – 18(a) und (b).
(b) Absatz (a) berührt nicht die Rechte betroffener Personen nach der Verordnung (EU) 2016/679.
Klausel 4 – Auslegung
(a) Verwenden diese Klauseln Begriffe, die in der Verordnung (EU) 2016/679 definiert sind, haben diese Begriffe dieselbe Bedeutung wie in dieser Verordnung.
(b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 zu lesen und auszulegen.
(c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die mit den in der Verordnung (EU) 2016/679 vorgesehenen Rechten und Pflichten in Konflikt steht.
Klausel 5 – Rangverhältnis
Bei einem Widerspruch zwischen diesen Klauseln und den Bestimmungen entsprechender Vereinbarungen zwischen den Parteien, die zum Zeitpunkt der Vereinbarung oder des Abschlusses dieser Klauseln bestehen oder danach geschlossen werden, haben diese Klauseln Vorrang.
Klausel 6 – Beschreibung der Übermittlung(en)
Die Einzelheiten der Übermittlung(en), insbesondere die Kategorien personenbezogener Daten, die übermittelt werden, und der Zweck bzw. die Zwecke, für die sie übermittelt werden, sind in Anhang I.B angegeben.
Klausel 7 – Andockklausel
(a) Eine Einheit, die keine Partei dieser Klauseln ist, kann mit Zustimmung der Parteien diesen Klauseln jederzeit als Datenexporteur oder Datenimporteur beitreten, indem sie den Anhang ausfüllt und Anhang I.A unterzeichnet.
(b) Sobald die Einheit den Anhang ausgefüllt und Anhang I.A unterzeichnet hat, wird sie Partei dieser Klauseln und hat die Rechte und Pflichten eines Datenexporteurs oder Datenimporteurs gemäß ihrer Bezeichnung in Anhang I.A.
(c) Die beitretende Einheit hat keine Rechte oder Pflichten aus diesen Klauseln für den Zeitraum vor ihrem Beitritt als Partei.
ABSCHNITT II – PFLICHTEN DER PARTEIEN
Klausel 8 – Datenschutzgarantien
Der Datenexporteur erklärt, dass er angemessene Anstrengungen unternommen hat, um festzustellen, dass der Datenimporteur durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen in der Lage ist, seinen Pflichten aus diesen Klauseln nachzukommen.
8.1 Weisungen
(a) Der Datenimporteur verarbeitet die personenbezogenen Daten nur auf der Grundlage dokumentierter Weisungen des Datenexporteurs. Der Datenexporteur kann solche Weisungen während der gesamten Vertragslaufzeit erteilen.
(b) Der Datenimporteur informiert den Datenexporteur unverzüglich, wenn er diese Weisungen nicht befolgen kann.
8.2 Zweckbindung
Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den/die spezifischen Zweck(e) der Übermittlung, wie in Anhang I.B angegeben, sofern keine weiteren Weisungen des Datenexporteurs vorliegen.
8.3 Transparenz
Auf Anfrage stellt der Datenexporteur der betroffenen Person kostenlos eine Kopie dieser Klauseln, einschließlich des von den Parteien ausgefüllten Anhangs, zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich der in Anhang II beschriebenen Maßnahmen und personenbezogener Daten, notwendig ist, kann der Datenexporteur Teile des Anhangtextes vor der Weitergabe schwärzen, muss aber eine sinnvolle Zusammenfassung bereitstellen, wenn die betroffene Person andernfalls den Inhalt nicht verstehen oder ihre Rechte ausüben könnte.
8.4 Richtigkeit
Wenn der Datenimporteur erkennt, dass die von ihm empfangenen personenbezogenen Daten unrichtig sind oder unaktuell geworden sind, unterrichtet er den Datenexporteur unverzüglich. In diesem Fall arbeitet der Datenimporteur mit dem Datenexporteur zusammen, um die Daten zu löschen oder zu berichtigen.
8.5 Verarbeitungsdauer und Löschung oder Rückgabe von Daten
Die Verarbeitung durch den Datenimporteur findet nur für die in Anhang I.B angegebene Dauer statt. Nach Ende der Bereitstellung der Verarbeitungsdienstleistungen löscht der Datenimporteur nach Wahl des Datenexporteurs alle im Auftrag des Datenexporteurs verarbeiteten personenbezogenen Daten und bestätigt dem Datenexporteur diese Löschung, oder er gibt dem Datenexporteur alle im Auftrag verarbeiteten personenbezogenen Daten zurück und löscht vorhandene Kopien.
8.6 Sicherheit der Verarbeitung
(a) Der Datenimporteur und während der Übermittlung auch der Datenexporteur treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einer Verletzung der Datensicherheit, die zu einer versehentlichen oder unrechtmäßigen Vernichtung, einem Verlust, einer Veränderung oder unbefugten Offenlegung von bzw. einem unbefugten Zugang zu diesen Daten führt (nachfolgend „Verletzung des Schutzes personenbezogener Daten”). Der Datenimporteur setzt dabei mindestens die in Anhang II aufgeführten technischen und organisatorischen Maßnahmen um.
(b) Der Datenimporteur gewährt Mitgliedern seines Personals nur insoweit Zugang zu den personenbezogenen Daten, als dies unbedingt erforderlich ist. Er stellt sicher, dass zur Verarbeitung der personenbezogenen Daten befugte Personen zur Vertraulichkeit verpflichtet sind oder einer gesetzlichen Vertraulichkeitspflicht unterliegen.
(c) Im Falle einer den vom Datenimporteur verarbeiteten personenbezogenen Daten betreffenden Verletzung des Schutzes personenbezogener Daten ergreift der Datenimporteur geeignete Maßnahmen, um die Verletzung zu beheben, einschließlich Maßnahmen zur Abschwächung ihrer nachteiligen Auswirkungen. Der Datenimporteur teilt dem Datenexporteur die Verletzung auch ohne unangemessene Verzögerung mit, nachdem er von ihr Kenntnis erlangt hat.
(d) Der Datenimporteur arbeitet mit dem Datenexporteur zusammen und unterstützt ihn, damit dieser seinen Verpflichtungen aus der Verordnung (EU) 2016/679 nachkommen kann, insbesondere bei der Benachrichtigung der zuständigen Aufsichtsbehörde und der betroffenen Personen.
8.7 Sensible Daten
Umfasst die Übermittlung personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person oder Daten über strafrechtliche Verurteilungen und Straftaten (nachfolgend „sensible Daten”), wendet der Datenimporteur die in Anhang I.B beschriebenen spezifischen Einschränkungen und/oder zusätzlichen Garantien an.
8.8 Weiterübermittlungen
Der Datenimporteur legt die personenbezogenen Daten nur auf der Grundlage dokumentierter Weisungen des Datenexporteurs einem Dritten offen. Darüber hinaus dürfen die Daten nur an einen Dritten außerhalb der Europäischen Union im selben Land wie der Datenimporteur oder in einem anderen Drittland weitergegeben werden, wenn der Dritte an diese Klauseln gebunden ist oder zustimmt, an sie gebunden zu sein, oder einer der in dieser Klausel genannten Ausnahmen erfüllt ist.
8.9 Dokumentation und Compliance
(a) Der Datenimporteur befasst sich unverzüglich und angemessen mit Anfragen des Datenexporteurs, die sich auf die Verarbeitung im Rahmen dieser Klauseln beziehen.
(b) Die Parteien müssen in der Lage sein, die Einhaltung dieser Klauseln nachzuweisen.
(c) Der Datenimporteur stellt dem Datenexporteur alle zur Nachweisführung der Erfüllung der in diesen Klauseln dargelegten Verpflichtungen erforderlichen Informationen zur Verfügung und ermöglicht auf Anfrage Überprüfungen der unter diese Klauseln fallenden Verarbeitungstätigkeiten und trägt dazu bei.
(d) Der Datenexporteur kann die Überprüfung selbst durchführen oder einen unabhängigen Prüfer damit beauftragen.
(e) Die Parteien stellen die in den Absätzen (b) und (c) genannten Informationen, einschließlich der Ergebnisse von Überprüfungen, der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung.
Klausel 9 – Einsatz von Unterauftragsverarbeitern
(a) ALLGEMEINE SCHRIFTLICHE GENEHMIGUNG: Der Datenimporteur hat die allgemeine Genehmigung des Datenexporteurs zur Einschaltung von Unterauftragsverarbeitern aus einer vereinbarten Liste. Der Datenimporteur unterrichtet den Datenexporteur mindestens 30 Tage im Voraus schriftlich über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern.
(b) Schaltet der Datenimporteur einen Unterauftragsverarbeiter ein, so tut er dies im Wege eines schriftlichen Vertrags, der im Wesentlichen dieselben Datenschutzverpflichtungen vorsieht wie diejenigen, die für den Datenimporteur im Rahmen dieser Klauseln gelten.
(c) Der Datenimporteur stellt dem Datenexporteur auf Anfrage eine Kopie dieses Unterauftragsverarbeitungsvertrags zur Verfügung.
(d) Der Datenimporteur bleibt dem Datenexporteur gegenüber uneingeschränkt für die Erfüllung der Pflichten des Unterauftragsverarbeiters verantwortlich.
(e) Der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Datenexporteur im Fall des faktischen Verschwindens oder der Insolvenz des Datenimporteurs das Recht hat, den Unterauftragsverarbeitungsvertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.
Klausel 10 – Rechte betroffener Personen
(a) Der Datenimporteur setzt den Datenexporteur unverzüglich über jeden Antrag in Kenntnis, den er von einer betroffenen Person erhalten hat. Er beantwortet diesen Antrag nicht selbst, es sei denn, der Datenexporteur hat ihn dazu ermächtigt.
(b) Der Datenimporteur unterstützt den Datenexporteur bei der Erfüllung seiner Pflichten zur Beantwortung der Anträge betroffener Personen auf Wahrnehmung ihrer Rechte gemäß der Verordnung (EU) 2016/679.
(c) Der Datenimporteur hält sich bei der Erfüllung seiner Pflichten aus den Absätzen (a) und (b) an die Weisungen des Datenexporteurs.
Klausel 11 – Rechtsbehelfe
(a) Der Datenimporteur informiert betroffene Personen in einem transparenten und leicht zugänglichen Format, durch individuelle Benachrichtigung oder auf seiner Website, über eine zur Entgegennahme von Beschwerden befugte Kontaktstelle.
(b) Im Falle eines Rechtsstreits zwischen einer betroffenen Person und einer der Parteien bezüglich der Einhaltung dieser Klauseln unternimmt diese Partei ihre größtmöglichen Anstrengungen, um den Rechtsstreit gütlich zu lösen.
(c) Beruft sich die betroffene Person auf ein Drittbegünstigtenrecht gemäß Klausel 3, akzeptiert der Datenimporteur die Entscheidung der betroffenen Person.
(d) Die Parteien akzeptieren, dass die betroffene Person durch eine gemeinnützige Einrichtung, Organisation oder Vereinigung unter den in Artikel 80 Absatz 1 der Verordnung (EU) 2016/679 festgelegten Bedingungen vertreten werden kann.
(e) Der Datenimporteur hält sich an eine Entscheidung, die nach dem anwendbaren EU-Recht oder dem Recht eines Mitgliedstaats bindend ist.
(f) Der Datenimporteur erklärt sich damit einverstanden, dass die von der betroffenen Person getroffene Wahl ihre materiellen und verfahrensrechtlichen Rechte auf Rechtsbehelfe gemäß den anwendbaren Gesetzen nicht beeinträchtigt.
Klausel 12 – Haftung
(a) Jede Partei haftet der anderen Partei/den anderen Parteien gegenüber für Schäden, die sie der anderen Partei/den anderen Parteien durch eine Verletzung dieser Klauseln verursacht.
(b) Der Datenimporteur haftet der betroffenen Person gegenüber, und die betroffene Person hat Anspruch auf Entschädigung für alle materiellen oder immateriellen Schäden, die der Datenimporteur oder sein Unterauftragsverarbeiter der betroffenen Person durch Verletzung der Drittbegünstigtenrechte aus diesen Klauseln verursacht.
(c) Unbeschadet des Absatzes (b) haftet der Datenexporteur der betroffenen Person gegenüber für alle materiellen oder immateriellen Schäden, die der Datenexporteur oder der Datenimporteur (oder sein Unterauftragsverarbeiter) der betroffenen Person durch Verletzung der Drittbegünstigtenrechte aus diesen Klauseln verursacht.
(d) Die Parteien vereinbaren, dass der Datenexporteur, wenn er gemäß Absatz (c) für Schäden haftet, die vom Datenimporteur (oder seinem Unterauftragsverarbeiter) verursacht wurden, Anspruch auf Rückgriff gegenüber dem Datenimporteur in Höhe des dem Datenimporteur zuzurechnenden Anteils der Entschädigung hat.
(e) Wenn mehr als eine Partei für Schäden verantwortlich ist, die der betroffenen Person durch eine Verletzung dieser Klauseln entstanden sind, haften alle verantwortlichen Parteien gesamtschuldnerisch.
(f) Die Parteien vereinbaren, dass eine Partei, wenn sie gemäß Absatz (e) haftet, Anspruch auf Rückgriff gegenüber der/den anderen Partei(en) in Höhe des ihr/ihnen zuzurechnenden Anteils der Entschädigung hat.
(g) Der Datenimporteur kann das Verhalten eines Unterauftragsverarbeiters nicht zur Entlastung von seiner eigenen Haftung anführen.
Klausel 13 – Aufsicht
(a) Die für die Gewährleistung der Einhaltung der Verordnung (EU) 2016/679 durch den Datenexporteur hinsichtlich der Datenübermittlung zuständige Aufsichtsbehörde, wie in Anhang I.C ausgewiesen, fungiert als zuständige Aufsichtsbehörde.
(b) Der Datenimporteur erklärt sich damit einverstanden, der Gerichtsbarkeit der zuständigen Aufsichtsbehörde zu unterwerfen und mit ihr bei allen Verfahren zusammenzuarbeiten, die darauf abzielen, die Einhaltung dieser Klauseln sicherzustellen.
ABSCHNITT III – LOKALE GESETZE UND PFLICHTEN BEI ZUGANG DURCH BEHÖRDEN
Klausel 14 – Lokale Gesetze und Praktiken, die die Einhaltung der Klauseln beeinflussen
(a) Die Parteien erklären, dass sie keinen Grund zur Annahme haben, dass die im Bestimmungsdrittland für die Verarbeitung der personenbezogenen Daten durch den Datenimporteur geltenden Gesetze und Praktiken, einschließlich der Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen zur Genehmigung des Zugangs durch Behörden, den Datenimporteur daran hindern, seinen Pflichten aus diesen Klauseln nachzukommen.
(b) Die Parteien erklären, dass sie bei der Abgabe der Garantie gemäß Absatz (a) insbesondere folgende Elemente berücksichtigt haben: (i) die besonderen Umstände der Übermittlung; (ii) die Gesetze und Praktiken des Bestimmungsdrittlandes; (iii) alle einschlägigen vertraglichen, technischen oder organisatorischen Garantien.
(c) Der Datenimporteur erklärt, dass er bei der Bewertung nach Absatz (b) alle zumutbaren Anstrengungen unternommen hat, dem Datenexporteur relevante Informationen zur Verfügung zu stellen.
(d) Die Parteien vereinbaren, die Bewertung nach Absatz (b) zu dokumentieren und der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
(e) Der Datenimporteur erklärt sich damit einverstanden, den Datenexporteur unverzüglich zu unterrichten, wenn er nach Vereinbarung dieser Klauseln und während der Vertragslaufzeit Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterliegen wird, die nicht den Anforderungen gemäß Absatz (a) entsprechen.
(f) Nach einer Benachrichtigung gemäß Absatz (e) oder wenn der Datenexporteur anderweitig Grund zu der Annahme hat, dass der Datenimporteur seinen Pflichten aus diesen Klauseln nicht mehr nachkommen kann, ermittelt der Datenexporteur unverzüglich geeignete Maßnahmen. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Ansicht ist, dass keine geeigneten Garantien für die Übermittlung sichergestellt werden können.
Klausel 15 – Pflichten des Datenimporteurs bei Zugang durch Behörden
15.1 Benachrichtigung
(a) Der Datenimporteur erklärt sich damit einverstanden, den Datenexporteur und, wenn möglich, die betroffene Person unverzüglich zu unterrichten, wenn er (i) ein rechtlich bindendes Ersuchen einer Behörde des Bestimmungslandes um Offenlegung der gemäß diesen Klauseln übermittelten personenbezogenen Daten erhält; oder (ii) von einem direkten Zugang von Behörden zu gemäß diesen Klauseln übermittelten personenbezogenen Daten Kenntnis erlangt.
(b) Wenn der Datenimporteur nach dem Recht des Bestimmungslandes daran gehindert ist, den Datenexporteur und/oder die betroffene Person zu unterrichten, erklärt sich der Datenimporteur damit einverstanden, alle zumutbaren Anstrengungen zu unternehmen, um eine Aufhebung des Verbots zu erwirken.
(c) Soweit nach dem Recht des Bestimmungslandes zulässig, erklärt sich der Datenimporteur damit einverstanden, dem Datenexporteur in regelmäßigen Abständen so viele relevante Informationen wie möglich über die eingegangenen Ersuchen zu übermitteln.
(d) Der Datenimporteur erklärt sich damit einverstanden, die Informationen gemäß den Absätzen (a) bis (c) für die Dauer des Vertrags aufzubewahren und der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
15.2 Überprüfung der Rechtmäßigkeit und Datensparsamkeit
(a) Der Datenimporteur erklärt sich damit einverstanden, die Rechtmäßigkeit des Offenlegungsersuchens zu überprüfen und das Ersuchen anzufechten, wenn er nach sorgfältiger Prüfung zu dem Schluss gelangt, dass es hinreichende Gründe für die Annahme gibt, dass das Ersuchen nach dem Recht des Bestimmungslandes, anwendbaren Verpflichtungen aus dem Völkerrecht und den Grundsätzen der internationalen Zusammenarbeit rechtswidrig ist.
(b) Der Datenimporteur erklärt sich damit einverstanden, seine rechtliche Beurteilung und etwaige Anfechtungen des Offenlegungsersuchens zu dokumentieren.
(c) Der Datenimporteur erklärt sich damit einverstanden, bei der Beantwortung eines Offenlegungsersuchens auf der Grundlage einer vernünftigen Auslegung des Ersuchens so wenig Informationen wie möglich bereitzustellen.
ABSCHNITT IV – SCHLUSSBESTIMMUNGEN
Klausel 16 – Nichteinhaltung der Klauseln und Kündigung
(a) Der Datenimporteur setzt den Datenexporteur unverzüglich in Kenntnis, wenn er aus irgendeinem Grund nicht in der Lage ist, diese Klauseln einzuhalten.
(b) Verstößt der Datenimporteur gegen diese Klauseln oder ist er nicht in der Lage, diese einzuhalten, setzt der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aus, bis die Einhaltung wieder sichergestellt oder der Vertrag gekündigt ist.
(c) Der Datenexporteur ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten im Rahmen dieser Klauseln betrifft, wenn: (i) der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Absatz (b) ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wird; (ii) der Datenimporteur gegen diese Klauseln wesentlich oder dauerhaft verstößt; oder (iii) der Datenimporteur einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer Aufsichtsbehörde bezüglich seiner Pflichten aus diesen Klauseln nicht nachkommt.
(d) Die vor der Kündigung des Vertrags gemäß Absatz (c) übermittelten personenbezogenen Daten werden nach Wahl des Datenexporteurs unverzüglich an diesen zurückgegeben oder vollständig gelöscht.
(e) Jede Partei kann ihre Zustimmung, durch diese Klauseln gebunden zu sein, widerrufen, wenn (i) die Europäische Kommission einen Beschluss gemäß Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 erlässt, der die Übermittlung personenbezogener Daten abdeckt, auf die diese Klauseln Anwendung finden; oder (ii) die Verordnung (EU) 2016/679 Teil des Rechtsrahmens des Landes wird, in das die personenbezogenen Daten übermittelt werden.
Klausel 17 – Anwendbares Recht
Diese Klauseln unterliegen dem Recht des Staates, in dem der Datenexporteur niedergelassen ist. Wenn dieses Recht keine Drittbegünstigtenrechte vorsieht, unterliegen sie dem Recht des EU-Mitgliedstaats, der Drittbegünstigtenrechte vorsieht. Die Parteien vereinbaren, dass dies das Recht von Malta ist.
Klausel 18 – Gerichtsstandswahl und Zuständigkeit
(a) Streitigkeiten aus diesen Klauseln werden von Gerichten eines EU-Mitgliedstaats entschieden.
(b) Die Parteien vereinbaren, dass dies die Gerichte von Malta sind.
(c) Eine betroffene Person kann auch Klage gegen den Datenexporteur und/oder den Datenimporteur vor den Gerichten des Mitgliedstaats erheben, in dem sie ihren gewöhnlichen Aufenthalt hat.
(d) Die Parteien erklären sich damit einverstanden, sich der Gerichtsbarkeit dieser Gerichte zu unterwerfen.
ANLAGE II
BRITISCHER INTERNATIONAL DATA TRANSFER ADDENDUM ZU DEN EU-STANDARDVERTRAGSKLAUSELN
Dieser UK Addendum („Addendum”) ist Bestandteil der als Anlage 1 zur Datenverarbeitungsvereinbarung (DVA) beigefügten Standardvertragsklauseln (SVK).
Dieser Addendum gilt für die Übermittlung personenbezogener Daten aus dem Vereinigten Königreich in ein Land außerhalb des Vereinigten Königreichs, das keinen Angemessenheitsbeschluss der britischen Regierung erhalten hat.
Teil 1: Tabellen
Tabelle 1: Parteien
| Startdatum | Das Datum, an dem die erste beschränkte Übermittlung von personenbezogenen Daten des Auftraggebers im Rahmen dieses Addendums stattfindet. |
| Parteien | Exporteur: Wie in Anhang I.A der in diese Vereinbarung einbezogenen SVK angegeben. |
| Importeur: Wie in Anhang I.A der in diese Vereinbarung einbezogenen SVK angegeben. |
Tabelle 2: Ausgewählte SVK, Module und ausgewählte Klauseln
| Modul | In Betrieb | Klausel 7 | Klausel 11 | Klausel 9a | Zeitraum 9a | Datenkombination |
| 1 | ||||||
| 2 | X | Einbezogen | Einbezogen | Allgemeine Genehmigung | 30 Tage | Nein |
| 3 | ||||||
| 4 |
Tabelle 3: Anhangsinformationen
| Anhang 1A – Liste der Parteien | Wie in Anhang I.A der SVK angegeben. |
| Anhang 1B – Beschreibung der Übermittlung | Wie in Anhang I.B der SVK angegeben. |
| Anhang II – TOM | Wie in Anhang II der SVK angegeben. |
| Anhang III – Unterauftragsverarbeiter | Wie in Anhang III der SVK angegeben. |
Tabelle 4: Beendigung dieses Addendums bei Änderung des genehmigten Addendums
| Welche Parteien können dieses Addendum gemäß Abschnitt 19 beenden? | X keine Partei |
Teil 2: Zwingend vorgeschriebene Klauseln
Teil 2: Zwingend vorgeschriebene Klauseln des genehmigten Addendums, nämlich die vom ICO herausgegebene Vorlage Addendum B.1.0, die gemäß § 119A des Data Protection Act 2018 am 2. Februar 2022 dem Parlament vorgelegt wurde, in der gemäß Abschnitt 18 dieser zwingenden Klauseln überarbeiteten Fassung.
ANLAGE III
SCHWEIZER ANHANG (DSG) ZU DEN EU-STANDARDVERTRAGSKLAUSELN
Parteien: Dieser Schweizer Anhang (der „Schweizer Anhang”) wird zwischen den Parteien der EU-Standardvertragsklauseln, verabschiedet mit Beschluss (EU) 2021/914 (die „EU-SVK”), die in die Vereinbarung einbezogen sind, wie folgt geschlossen:
- Datenexporteur (Schweiz): Verantwortlicher
- Datenimporteur: Auftragsverarbeiter
1) Zweck und Anwendungsbereich
1.1 Dieser Schweizer Anhang passt die EU-SVK für Übermittlungen personenbezogener Daten, die dem Schweizer Bundesgesetz über den Datenschutz (DSG, einschließlich des revidierten DSG) unterliegen, aus der Schweiz in ein Land ohne angemessenes Schutzniveau an.
2) Auslegungsanpassungen
2.1 Verweise auf die „DSGVO” sind, soweit angemessen, als Verweise auf das DSG und seine Durchführungsbestimmungen zu lesen.
2.2 Verweise auf einen „EU-Mitgliedstaat” und „Mitgliedstaat” sind so auszulegen, dass sie die Schweiz einschließen, soweit dies für die Wahrnehmung von Drittrechten durch Schweizer Betroffene erforderlich ist.
2.3 Verweise auf eine „Aufsichtsbehörde” sind bei ausschließlich Schweizer Übermittlungen als Verweise auf den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) auszulegen.
2.4 „Personenbezogene Daten”, „betroffene Person”, „Verarbeitung” und andere DSGVO-Begriffe sind konsistent mit den entsprechenden Konzepten des DSG auszulegen, wenn das DSG Anwendung findet.
2.5 Dieser Schweizer Anhang ändert den Text der EU-SVK nicht, außer wie hierin ausdrücklich angegeben.
3) Zuständige Behörde (Anhang I(C) zu den EU-SVK)
3.1 Bei ausschließlich dem DSG unterliegenden Daten gilt als zuständige Aufsichtsbehörde der EDÖB; bei sowohl dem DSG als auch der DSGVO unterliegenden Übermittlungen gelten der EDÖB und die zuständige EU-Aufsichtsbehörde.
4) Anwendbares Recht und Gerichtsstand (Klauseln 17 & 18 der EU-SVK)
4.1 Ausschließlich Schweizer Übermittlungen: Klausel 17: Schweizer Recht. Klausel 18: Gerichte von Luzern, Schweiz.
4.2 Parallele EU+Schweizer Übermittlungen: Klauseln 17 und 18 bleiben wie für die DSGVO unter den EU-SVK ausgewählt.
5) Weiterübermittlungen und Drittbegünstigtenrechte
5.1 Wo die EU-SVK auf Rechte betroffener Personen zur Durchsetzung der Klauseln verweisen, gelten diese Rechte als Rechte Schweizer Betroffener nach dem DSG einschließend.
5.2 Verweise in den EU-SVK, die Schweizer Betroffene anderweitig ausschließen könnten, sind nicht so auszulegen.
6) Lokale Gesetze und Zugang durch Behörden (Klauseln 14–15)
6.1 Die Parteien führen die erforderliche Bewertung unter Bezugnahme auf das DSG (für ausschließlich Schweizer Übermittlungen) und auf das DSG sowie die DSGVO (für parallele EU+Schweizer Übermittlungen) durch.
6.2 Der Datenimporteur stellt dem Exporteur die zur Durchführung der Bewertung im DSG-Kontext vernünftigerweise erforderlichen Informationen bereit.
7) Anhänge und Ausfüllmechanismen
7.1 Die Anhänge I–III zu den EU-SVK (in der zwischen den Parteien ausgefüllten Fassung) sind durch Verweis in diesen Schweizer Anhang einbezogen.
7.2 Soweit dieser Schweizer Anhang eine Änderung von Anhang I(C) oder der Auswahl in den Klauseln 17–18 erfordert, gelten diese Auswahlen als entsprechend der Abschnitte 3.1 und 4.1 geändert.
8) Rangverhältnis
8.1 Im Falle von Unvereinbarkeiten zwischen diesem Schweizer Anhang und den EU-SVK hat dieser Schweizer Anhang Vorrang, soweit dies zur Einhaltung des DSG erforderlich ist.
8.2 Im Falle von Unvereinbarkeiten zwischen diesem Schweizer Anhang und der Vereinbarung/DVA hat dieser Schweizer Anhang für DSG-Übermittlungen Vorrang.
ANHANG
ANHANG I ZU DEN STANDARDVERTRAGSKLAUSELN
A. LISTE DER PARTEIEN
Datenimporteur – AUFTRAGSVERARBEITER
Das jeweilige Vertragsunternehmen von Ideals, wie in der VDR-Vereinbarung identifiziert.
Kontakt: privacy@idealscorp.com
Relevante Tätigkeiten: Erbringung der Dienste gemäß der Ideals-VDR-Vereinbarung
Datenexporteur – VERANTWORTLICHER
Das jeweilige Vertragsunternehmen des Auftraggebers und die in der VDR-Vereinbarung angegebenen Kontaktdaten.
Relevante Tätigkeiten: Erbringung der Dienste gemäß der Ideals-VDR-Vereinbarung
B. BESCHREIBUNG DER ÜBERMITTLUNG
Kategorien betroffener Personen, deren personenbezogene Daten übermittelt werden: Alle natürlichen Personen, deren Informationen in den in den VDR hochgeladenen Dokumenten enthalten sind.
Kategorien übermittelter personenbezogener Daten: Alle im VDR hochgeladenen Kategorien personenbezogener Daten.
Sensible Daten (falls zutreffend) und Einschränkungen/Schutzmaßnahmen: Vom Auftraggeber bestimmt auf der Grundlage des hochgeladenen Inhalts. Ideals wendet die in Anhang II beschriebenen Schutzmaßnahmen an.
Häufigkeit der Übermittlung: Fortlaufend.
Art der Verarbeitung: Erbringung der Dienste gemäß der Ideals-VDR-Vereinbarung.
Zweck(e) der Datenübermittlung und weiteren Verarbeitung: Erbringung der Dienste gemäß der Ideals-VDR-Vereinbarung.
Aufbewahrungsfrist: Wie in der Ideals-VDR-Vereinbarung festgelegt.
Bei Übermittlungen an (Unter-)Auftragsverarbeiter: Erbringung der Dienste gemäß der Ideals-VDR-Vereinbarung.
C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE
Die zuständige Aufsichtsbehörde gemäß Klausel 13 ist die Aufsichtsbehörde, die für den Datenexporteur gemäß der Verordnung (EU) 2016/679 (DSGVO) zuständig ist, bestimmt auf der Grundlage der Niederlassung, der Hauptniederlassung oder anderer anwendbarer Kriterien des Datenexporteurs nach der DSGVO.
ANHANG II
Technische und organisatorische Maßnahmen (TOM)
Die Ideals-Unternehmensgruppe implementiert diese technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten, die in Übereinstimmung mit der Datenschutz-Grundverordnung, den lokalen Datenschutzgesetzen, etwaigen untergeordneten Rechtsvorschriften und Datenschutzgesetzen verarbeitet werden.
Die Ideals-Unternehmensgruppe erstellt und pflegt folgende Sicherheits- und Datenschutzdokumentation:
- Datenverarbeitungsvereinbarung (DVA)
- Technische und organisatorische Maßnahmen (TOM)
- Geheimhaltungsvereinbarung (NDA)
- Unterauftragsverarbeitervertrag (sofern erforderlich)
- EU-Standardvertragsklauseln (Beschluss (EU) 2021/914) (Modul 2)
1. Vertraulichkeit
| Technische Maßnahmen | Organisatorische Maßnahmen |
| Identitäts- & Zugangsdurchsetzung. SSO + adaptiver MFA für alle Mitarbeiter-/Admin-Zugänge; Mindestpassphrasenstärke ≥ 12 Zeichen oder gleichwertig; Kontosperrung nach aufeinanderfolgenden Fehlversuchen; Sitzungshärtung. Rollenbasierte Zugriffskontrolle (RBAC) & Least Privilege. Feinkörnige Rollen; zeitlich begrenzte und protokollierte privilegierte Zugriffe. Mandantenisolierung & Logische Trennung. Mandantenspezifische Datenbereiche; ACLs auf Dienstseite zur Verhinderung mandantenübergreifenden Zugriffs. Netzwerksicherheit. Segmentierung (VPCs/Subnetze/Sicherheitsgruppen), WAF, IDS/IPS, Netzwerküberwachung, Rate-Limiting und Egress-Kontrollen. Endpunktsicherheit. Festplattenvollverschlüsselung, EDR/Anti-Malware, Host-Firewalls, USB-/Port-Kontrollrichtlinien. Kryptografie. Datenverschlüsselung im Ruhezustand; TLS 1.3 für alle externen und internen Dienstverbindungen; Pseudonymisierung/Tokenisierung wo möglich. Schlüsselverwaltung. Schlüssel in dedizierten KMS/Key Vaults; Rotation und Zugangsprotokolle. DLP. DLP-Regeln auf Endpunkten und Kollaborationswerkzeugen. Digitale Signaturen. Genehmigte E-Signaturmechanismen; Validierungsprotokollierung. | Zugangsverwaltung. Dokumentierte Zugangs- & Rollenrichtlinien; Joiner-Mover-Leaver-Prozess; regelmäßige Zugangsprüfungen. Vertraulichkeitsverpflichtungen. Mitarbeiter- und Auftragnehmer-NDAs; Hintergrundprüfungen. Drittanbieter-Sorgfaltspflicht. Risikobasierte Überprüfung von Auftragnehmern/Unterauftragsverarbeitern. Informationshandhabung. Datenklassifizierungs- & Handhabungsrichtlinie; sichere Medienhandhabung und Entsorgungsverfahren. |
2. Integrität
| Technische Maßnahmen | Organisatorische Maßnahmen |
| Sicherer Transport & Schnittstellen. TLS 1.2+; HSTS; sichere Cipher-Suites; API-Authentifizierung mit signierten Tokens. Prüfbarkeit. Unveränderliche/prüfbare Protokolle; NTP-Zeitsynchronisierung. Anwendungs- & Datenkontrolle. Serverseitige Validierung; referenzielle Integrität; Prüfsummen/Hashes; Versionierung. Sitzungskontrollen. Erzwungene Timeouts und Re-Authentifizierung. Schwachstellen- & Patch-Management. Kontinuierliches Schwachstellen-Scanning; SLA-basiertes Patching; CIS-Konfigurationsbaselines. | Änderungs- & Release-Management. Formales Änderungsmanagement; Genehmigungen; Aufgabentrennung; Rollback-Tests. Sicherer SDLC. Bedrohungsmodellierung; Code-Reviews; Abhängigkeitsprüfung; Secrets-Management. Richtlinien & Verfahren. Informationssicherheitsrichtlinie; Datenschutzrichtlinie. |
3. Verfügbarkeit und Belastbarkeit
| Technische Maßnahmen | Organisatorische Maßnahmen |
| Redundanz & Fehlertoleranz. Multi-AZ-Deployments; Load-Balancing; Auto-Skalierung. Backups & Wiederherstellung. Automatisierte, regelmäßige Backups; Unveränderlichkeit; Wiederherstellungstests. Überwachung & Alarmierung. Zentralisiertes Logging/SIEM; Health-Checks; Kapazitätsüberwachung. Härtung gegen Störungen. DDoS-Schutz; Rate-Limiting; Circuit-Breaker. | BCP/DRP. Dokumentierte Business-Continuity- und Notfallwiederherstellungspläne mit RTO/RPO. Backup-Governance. Backup-Zeitplanrichtlinie; Aufbewahrung; Verschlüsselung. Incident-Response. Definierter IR-Plan; Playbooks; Post-Incident-Reviews. |
4. Verfahren zur regelmäßigen Überprüfung und Bewertung
| Technische Maßnahmen | Organisatorische Maßnahmen |
| Sicherheitstests. Jährliche unabhängige Penetrationstests; kontinuierliches Bug-Bounty/Responsible Disclosure; SAST/DAST/Cloud-Scanning. Kontroll-Telemetrie. Sicherheitsmetriken; Kontroll-Dashboards; automatisierte Compliance-Prüfungen. | Managementsystem & Assurance. ISO/IEC 27001 ISMS; SOC 2 Typ II-Audits. Governance & Dokumentation. Zentrale Richtlinien-/TOM-Ablage; Verantwortlichkeitszuweisungen. Schulung & Sensibilisierung. Regelmäßige Datenschutz- und Sicherheitsschulungen (rollenbasiert); Phishing-Simulationen. Regelmäßige Überprüfung. Mindestens jährliche TOM-Wirksamkeitsprüfung. |
5. Datenschutz-Governance und Datenlebenszykluskontrollen
| Technische Maßnahmen | Organisatorische Maßnahmen |
| Datensparsamkeit & Maskierung. Feldebenen-Minimierung; Maskierung/Pseudonymisierung für Nicht-Produktivumgebungen. Aufbewahrungs- & Löschungsautomatisierung. Richtliniengesteuerte Aufbewahrung mit automatisierten Löschaufgaben. | DSFA/TIA. Risikobasierte Datenschutz-Folgenabschätzungen; Verarbeitungsverzeichnis (VVT). Unterauftragsverarbeiterverwaltung. Vertragliche DVAs/SVK; Transfer Impact Assessments; laufende Überwachung. Betroffenenrechtsanfragen. Definierte Verfahren und SLAs; Identitätsverifizierungsschritte. |
ANHANG III
Ideals beauftragt Amazon Web Services-Unternehmen („AWS”) als Unterauftragsverarbeiter für Cloud-Hosting- und Infrastrukturdienstleistungen. Alle Datenverarbeitungen werden vom AWS-Unternehmen durchgeführt, das dem vom Auftraggeber bei der Einrichtung des Datenraums ausgewählten Standort entspricht.
Die derzeit verfügbaren Serverstandorte umfassen Deutschland, Frankreich, Spanien, das Vereinigte Königreich, die Vereinigten Staaten, Brasilien, China, Singapur, Indien, Japan und Australien und können sich ändern, wenn Ideals sein regionales Angebot aktualisiert.
Der Ort der Datenverarbeitung wird ohne vorherige schriftliche Zustimmung des Auftraggebers nicht geändert.
Optionale erweiterte Volltextübersetzungsfunktion – DeepL
Aktiviert der Auftraggeber die optionale erweiterte Volltextübersetzungsfunktion von Ideals, kann Ideals die DeepL SE als Unterauftragsverarbeiter zu dem beschränkten Zweck beauftragen, über diese Funktion übermittelte Dokumentinhalte zu übersetzen.
Diese Funktion ist optional und standardmäßig nicht aktiviert. Die Verarbeitung durch DeepL kann in der Europäischen Union, den Vereinigten Staaten oder Japan erfolgen und kann daher vom primären Hosting-Standort des Datenraums abweichen.
Ideals aktiviert diese Funktion nicht, soweit dies im Widerspruch zu den anwendbaren vertraglichen Verpflichtungen des Auftraggebers, zu aktivierten regionalen Beschränkungen oder zu sonstigen dokumentierten rechtlichen Anforderungen steht, die Ideals bekannt sind. DeepL wird ausschließlich zur Durchführung der angeforderten Übersetzung und nicht für das allgemeine Hosting von Diensten beauftragt. Der Auftraggeber bleibt dafür verantwortlich, über die Nutzung der optionalen erweiterten Volltextübersetzungsfunktion zu entscheiden.
Addendum I
CCPA/CPRA und Bedingungen der US-amerikanischen staatlichen Datenschutzgesetze
1. Rolle. Ideals handelt als „Dienstleister” und/oder „Auftragsverarbeiter” in Bezug auf personenbezogene Daten des Auftraggebers.
2. Einschränkungen. Ideals darf personenbezogene Daten des Auftraggebers nicht:
(a) verkaufen oder weitergeben;
(b) aufbewahren, verwenden oder offenlegen für andere Zwecke als die in der Vereinbarung festgelegten geschäftlichen Zwecke;
(c) mit personenbezogenen Daten aus anderen Quellen zusammenführen, außer soweit gesetzlich erlaubt, um die Dienste zu erbringen; oder
(d) außerhalb der direkten Geschäftsbeziehung mit dem Auftraggeber verwenden.