EMERGENETICS-DATENVERARBEITUNGSVERTRAGSANHANG

Language:

English | Español | Italiano | Français | Français Canadien | Deutsch | Nederlands | Română | العربية | 繁體中文 | 简体中文

DIESER EMERGENETICS-DATENVERARBEITUNGSVERTRAGSANHANG (nachfolgend der „Vertragsanhang“) wird von und zwischen der Gesellschaft The Browning Group International, Inc., die ihre Geschäfte unter dem Namen Emergenetics International unter Einschluss aller verbundenen Gesellschaften führt, zu denen unter anderem die STEP, LLC, die Emergenetics Europe Limited und die Emergenetics Caelan & Sage PTE Ltd gehören, (gemeinschaftlich die „Emergenetics“ oder „wir“ [einschließlich aller grammatikalischen Formen]) und Ihnen (nachfolgend der „Kunde“ oder „Partner“, je nachdem, wie unten definiert) geschlossen [einzeln jeweils eine „Partei“ und gemeinschaftlich die „Parteien“]). Dieser Vertragsanhang regelt die Verarbeitung Ihrer personenbezogenen Daten auf der Emergenetics-Plattform. Wenn Sie die Bedingungen dieses Vertragsanhangs im Namen einer Körperschaft annehmen, erklären und versichern Sie gegenüber Emergenetics, dass Sie befugt sind, diese Körperschaft und ihre verbundenen Unternehmen (sofern vorhanden) an die Bedingungen dieses Vertragsanhangs zu binden. Dieser Vertragsanhang tritt zu dem Zeitpunkt in Kraft, zu dem Sie ihm zustimmen, indem Sie die Emergenetics-Nutzungsvereinbarung annehmen (nachfolgend das „Vertragsanhangsdatum“).

VERTRAGSGRÜNDE

IN ANBETRACHT DESSEN, dass Emergenetics und Sie eine Vereinbarung über Dienstleistungen (nachfolgend die „Dienstleistungsvereinbarung“) geschlossen haben, die die Verarbeitung personenbezogener Daten (wie nachstehend definiert) von Datensubjekten (wie nachstehend definiert) betrifft, wobei dieParteien diese Dienstleistungsvereinbarung nun wie hierin ausgeführt zu ändern wünschen;

IN ANBETRACHT DESSEN, dass Sie im Zuge der Erbringung ihrer Dienstleistungen im Rahmen der Dienstleistungsvereinbarung als Datenverantwortlicher bestimmte personenbezogene Daten von Datensubjekten verarbeiten;

IN ANBETRACHT DESSEN, dass Emergenetics als Datenverantwortlicher verlangt, dass Sie und alle nachfolgenden Empfänger von personenbezogenen Daten, die im Rahmen der Arbeit mit Emergenetics, personenbezogene Daten verarbeiten, alle erforderlichen Maßnahmen ergreifen, um solche Informationen in Einklang mit der Datenschutz-Grundverordnung (DSGVO) der EU und anderer anwendbarer Gesetze und Verordnungen zu handhaben;

IN ANBETRACHT DESSEN, dass in den Fällen, in denen beide Parteien gemeinsam die Zwecke und Mittel der Verarbeitung festlegen, sie als gemeinsame Datenverantwortliche handeln; und

IN ANBETRACHT DESSEN, dass die Vertragsparteien in diesen Vertragsanhang eintreten, um die Datenschutzgrundsätze und -standards einzuhalten, die von der DSGVO und anderen anwendbaren Gesetzen und Vorschriften in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen der Dienstleistungsvereinbarung vorgeschrieben sind;

VEREINBAREN DIE PARTEIEN NUN unter Berücksichtigung der in diesem Vertragsanhang enthaltenen gegenseitigen Übereinkünfte und im Austausch anderer angemessener und wertvoller Gegenleistungen, deren Erhalt und Hinlänglichkeit beide Vertragsparteien anerkennen, das Folgende:

DEFINITIONEN

Begriffe, die in diesem Vertragsanhang verwendet, aber nicht definiert werden, haben diejenige Bedeutung, die ihnen unter Umständen im Dienstleistungsvertrag zugewiesen wurde.

Für die Zwecke dieses Vertragsanhangs haben die folgenden Begriffe die nachstehenden Bedeutungen, wenn sie in den Bestimmungen dieses Addendums verwendet werden:

AGB

Die Parteien vereinbaren Folgendes:

  1. Datum des Inkrafttretens. Die Bestimmungen dieses Vertragsanhangs treten am Vertragsanhangsdatum oder am 25. Mai 2018 (je nachdem, was später liegt) in Kraft (nachfolgend das „Wirksamkeitsdatum“) und gelten zeitlich parallel für die Dauer der Dienstleistungsvereinbarung.
  2. UmfangDieser Vertragsanhang dient als Rahmen für die Verarbeitung personenbezogener Daten im Rahmen der Dienstleistungsvereinbarung (einzeln oder gemeinsam und je nachdem, was anwendbar ist) sowie für den Austausch personenbezogener Daten zwischen den Parteien als Datenverantwortliche und er regelt die Grundsätze und Verfahren, die die Vertragsparteien einzuhalten haben, sowie die Verantwortlichkeiten der Parteien.
  3. AnwendbarkeitDieser Vertragsanhang gilt nicht für die Verarbeitung personenbezogener Daten, sofern diese Verarbeitung nicht durch anwendbare Gesetze geregelt ist.
  4. Zusicherungen und Garantien als Datenverantwortliche. Jede Partei erklärt, garantiert und sichert das Folgende zu:
      0
    1. In Bezug auf die Verarbeitung personenbezogener Daten im Rahmen der Dienstleistungsvereinbarung ist jede Partei ein Datenverantwortlicher im Sinne dieses Vertragsanhangs und der DSGVO;
    2. Alle personenbezogenen Daten wurden und werden gemäß der DSGVO erhoben, übertragen und anderweitig verarbeitet;
    3. Jede der Parteien wird nur dann eine Übermittlung personenbezogener Daten vornehmen, wenn eine solche Übertragungen den zwingenden Anforderungen der anwendbaren Gesetze unterliegt (und keine gesetzliche Befreiung oder Ausnahmeregelung gilt) und dies wird in Übereinstimmung mit allen relevanten Bestimmungen der anwendbaren Gesetze geschehen;
    4. Jede der Parteien wird der jeweils anderen Partei auf deren Ersuchen Kopien aller einschlägigen Datenschutzgesetze oder Verweise auf diese Gesetze zur Verfügung stellen (soweit anwendbar und ausschließlich Rechtsberatung).
  5. Zusagen und Garantien als gemeinsame Datenverantwortliche.Jede Partei garantiert und sichert das Folgende zu, wenn sie zusammen mit der anderen Partei als gemeinsame Datenverantwortliche agiert:
    1. Sie wird ihre jeweiligen Verantwortlichkeiten für die Einhaltung ihrer Verpflichtungen nach den anwendbaren Gesetzen festlegen;
    2. Sie wird ihre jeweilige Verantwortung gegenüber den betroffenen Datensubjekten festlegen, wobei sie die Umstände jeder spezifischen Verarbeitungssituation berücksichtigen wird, und sie wird diese Informationen erforderlichenfalls an die jeweils andere Datenverantwortliche im Kontext der gemeinsamen Datenverantwortung ordnungsgemäß übermitteln;
    3. In Anbetracht der Tatsache, dass (wie in der DSGVO festgelegt) die Datensubjekte unabhängig von den zwischen den Parteien vereinbarten Bestimmungen ihre Rechte im Rahmen der DSGVO in Bezug auf und gegen jede der Datenverantwortlichen ausüben können, verpflichtet sich jede der Datenverantwortlichen im Kontext der gemeinsamen Datenverantwortung proaktiv und ohne Aufforderung der jeweils anderen Datenverantwortlichen im Kontext der gemeinsamen Datenverantwortung alle erforderlichen Informationen und jede erforderliche Unterstützung zukommen lassen, einschließlich, aber nicht beschränkt auf, die Weiterleitungen der Anfragen von Datensubjekten, mit denen diese ihrer Rechte gemäß Kapitel III der DSGVO ausüben. Wenn einer der Datenverantwortlichen ihren Verpflichtung aus dieser Bestimmung nicht nachgekommen ist, haftet er in vollem Umfang für die Antwort oder das Unterbleiben einer Antwort auf die jeweilige Anfrage eines Datensubjekts, mit der das jeweilige Datensubjekt seine Rechte ausgeübt hat; und
    4. Wenn ein Kompetenzkonflikt in Bezug auf eine bestimmte Gruppe von Verarbeitungsvorgängen im Kontext der gemeinsamen Datenverantwortung auftritt, ist jede der Datenverantwortlichen verpflichtet, in gutem Glauben mit der anderen Datenverantwortlichen zu kommunizieren und zusammenzuarbeiten, um diesen Konflikt in einvernehmlicher Weise zu lösen, wobei zuvörderst die Interessen und Rechte der jeweiligen Datensubjekte und zweitens das beiderseitige der Parteien zu respektieren sind, um eine gesamtschuldnerische Haftung zu vermeiden, wenn die Parteien es wegen eines ungelösten Kompetenzkonflikts versäumen, die Rechte eines Datensubjekts zu respektieren.
  6. Aufzeichnungen über Verarbeitungsaktivitäten. Jede Datenverantwortliche verpflichtet sich, gemäß Artikel 30 der DSGVO Aufzeichnungen über die Verarbeitungsvorgänge von personenbezogener Daten unter ihrer Verantwortung zu führen.
  7. Verarbeitung personenbezogener Daten. Im Kontext dieses Vertragsanhangs gelten die Parteien als gemeinsame Datenverantwortliche für die personenbezogenen Daten der Datensubjekte. Kunden und Partner kontrollieren gemeinsam die personenbezogenen Daten, die durch die Emergenetics-Plattform von Emergenetics verarbeitet wurden. Die Verarbeitung personenbezogener Daten durch die einzelne Datenverantwortliche im Rahmen dieses Vertragsanhangs unterliegt folgenden Bestimmungen:
    1. Die Verarbeitung beschränkt sich auf diejenigen Dienstleistungen und Aufgaben, die in der Dienstleistungsvereinbarung für Dienstleistungen und für Folgeaufträgen oder für Arbeitsanweisungen oder -aufträgen zwischen den Parteien beschrieben sind.
    2. Jede der Datenverantwortlichen wird sicherstellen, dass die Verarbeitung personenbezogener Daten für die in der Dienstleistungsvereinbarung genannten Zwecke ausschließlich auf rechtlich zulässiger Grundlage erfolgt, wie gemäß Artikel 6 und Artikel 9 der Datenschutz-Grundverordnung oder gemäß den entsprechenden Bestimmungen anderer anwendbarer Gesetze festlegt ist, je nach Lage des Falles.
    3. Die jeweiligen Datenverantwortlichen müssen sicherstellen, dass sich die Personen, die sie zur Verarbeitung der personenbezogenen Daten autorisiert haben, zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen.
  8. Sicherheitsmaßnahmen. Beide Parteien werden angemessene technische und organisatorische Sicherheitsmaßnahmen ergreifen, um zu gewährleisten und nachzuweisen, dass die Verarbeitung im Einklang mit der Datenschutz-Grundverordnung erfolgt, wie gemäß Artikel 24 der Datenschutz-Grundverordnung verlangt.
  9. Anfragen von Datensubjekten. Jede Vertragspartei ist verantwortlich für die Beantwortung von Anfragen von Datensubjekten, mit denen diese ihre Rechte gemäß Kapitel III der DSGVO oder gemäß den entsprechenden Bestimmungen anderer anwendbarer Gesetze ausüben, in Bezug auf die von dieser Partei verarbeiteten personenbezogenen Daten. Jede Partei wird eine geeignete Kontaktstelle für Anfragen von Datensubjekten innerhalb ihrer jeweiligen Organisation benennen. Jede Partei wird Aufzeichnungen über die Anfragen von Datensubjekten führen, mit denen diese ihre Rechte ausgeübt haben, sowie über die getroffenen Entscheidungen und über alle Informationen, die ausgetauscht wurden. In denjenigen Situationen, in denen die Parteien gemeinsame Datenverantwortliche sind, werden die Parteien einander jegliche derartigen Anfragen von Datensubjekten mitteilen, die ihnen zugehen. Vor dem Löschen personenbezogener Daten oder der Einschränkung der Verarbeitung als Reaktion auf eine Anfrage eines Datensubjekts wird jede Partei die Zustimmung der jeweils anderen Partei ersuchen, die von dieser anderen Partei nicht unbillig verweigert werden darf, um die Möglichkeit zu vermeiden, dass die Handlungen einer Partei dazu führen, dass die andere Partei gegen diesen Vertragsanhang oder gegen jedwedes geltende Recht verstößt. Die Parteien verpflichten sich, wenn erforderlich einander unverzüglich und angemessen zu unterstützen, damit sie den Anfragen der Datensubjekte nachkommen können. Jede der Parteien wird sicherstellen, dass ihre einschlägigen Datenschutzerklärungen, sofern zutreffend, gemäß den Anforderungen der Datenschutz-Grundverordnung und anderer anzuwendender Gesetze veröffentlicht werden und dass zwischen den Datenschutzerklärungen der Parteien keine Konflikte bestehen, die zu Verwirrung oder Irreführung der Datensubjekte führen würden. Insbesondere stellt jede Vertragspartei sicher, dass ihre einschlägigen Datenschutzerklärungen, wo zutreffend, genaue Kontaktinformationen enthalten, an die die betroffenen Datensubjekte der jeweiligen Vertragspartei Anfragen zur Ausübung ihrer Rechte gemäß der Datenschutz-Grundverordnung und gemäß anderen anwendbaren Gesetzen richten können.
  10. Sicherheit bei der Verarbeitung und Mitteilungen über die Verletzung personenbezogener Daten. Die Parteien stimmen zu, technische und organisatorische Sicherheitsmaßnahmen zu treffen und aufrechtzuerhalten, um sicherzustellen, dass das Sicherheitsniveau bei der durch sie vorgenommenen Verarbeitung von personenbezogenen Daten den Risiken gerecht wird (wie gemäß Artikeln 32 bis 36 der DSGVO gefordert), wobei die Art der Verarbeitung und die Art der Informationen, die jeder Partei zur Verfügung stehen, berücksichtigt wird. Jede Partei teilt der Aufsichtsbehörde, die für die jeweiligen Datensubjekte verantwortlich ist, eine Verletzung personenbezogener Daten mit (wie gemäß den Artikeln 33 und 34 der DSGVO oder den entsprechenden Bestimmungen anderer anzuwendender Gesetze verlangt, je nach Fall) und sie wird der jeweils anderen Partei angemessene Unterstützung zukommen lassen, soweit erforderlich.
  11. DatenverarbeiterEine jeweilige Partei darf nur dann einen Datenverarbeiter zur Verarbeitung personenbezogener Daten in ihrem Auftrag beauftragen, wenn dieser Datenverarbeiter durch einen schriftlichen Vertrag oder durch eine andere Rechtshandlung nach dem Recht der Europäischen Union oder nach dem Recht der Mitgliedstaaten ausreichende Garantien bietet, mit denen er sich an die gleichen Datenschutzverpflichtungen bindet, die in diesem Vertragsanhang oder in der DSGVO ausgeführt sind. Zu diesen Verpflichtungen gehört insbesondere die Anforderung, dass der Datenverarbeiter geeignete technische und organisatorische Sicherheitsmaßnahmen in einer Weise einführt, dass die Verarbeitung die Anforderungen der DSGVO erfüllt, einschließlich, aber nicht beschränkt auf die anwendbaren Anforderungen der Artikel 28, 29, und 30 der DSGVO, und dass die Verarbeitung den Schutz der Rechte der Datensubjekte gewährleistet. Kommt der Datenverarbeiter seinen Datenschutzverpflichtungen nicht nach, bleibt die betreffende Partei gegenüber den Datensubjekten in vollem Umfang für die Erfüllung der Verpflichtungen des Datenverarbeiters verantwortlich.
  12. Unerlaubte Übertragung. Emergenetics (als „Datenexporteur“) und der Kunde (als „Datenimporteur“) schließen hiermit zu dem Vertragsanhangsdatum die Standardvertragsklauseln (wie in Anhang A dargelegt) ab, die durch die vorliegende Bezugnahme in den Vertrag aufgenommen werden und als integraler Bestandteil dieses Vertragsanhangs gelten. Es wird angenommen, dass die Parteien die Standardvertragsklauseln in ihrer Gesamtheit, einschließlich der Anhänge, zum Wirksamkeitsdatum akzeptiert, ausgeführt und unterzeichnet haben.
  13. Im Hinblick auf eine unerlaubte Übertragung seitens Emergenetics gegenüber den Kunden im Rahmen dieses Vertragsanhangs gilt einer der folgenden Übertragungsmechanismen in der folgenden Rangfolge:
    1. die Standardvertragsklauseln; oder
    2. jede andere gesetzliche Grundlage, wie sie in anwendbaren Gesetzen festgelegt ist, je nach Fall.
    In den Fällen, in denen die Standardvertragsklauseln Anwendung finden und ein Widerspruch zwischen den Bedingungen des Vertragsanhangs und den Bestimmungen der Standardvertragsklauseln besteht, gelten die Bestimmungen der Standardvertragsklauseln.
  14. HaftungUnbeschadet jeder Form der direkten Haftung einer Partei oder eines Datenverarbeiters gegenüber Datensubjekten haftet jede Partei gegenüber der jeweils anderen, nicht säumigen Partei für Schäden, die die säumige Partei der nicht säumigen Partei durch einen Verstoß gegen ihre Pflichten aus diesem Vertragsanhang verursacht hat.
  15. 15. StreitigkeitenIm Falle einer Streitigkeit oder eines Anspruchs eines Datensubjekts oder einer Datenschutzbehörde des EWR oder des Vereinigten Königreichs bezüglich der Verarbeitung personenbezogener Daten gegen eine oder beide Parteien informieren sich die Parteien gegenseitig über solche Streitigkeiten oder Ansprüche und sie werden zusammenarbeiten, um sie rechtzeitig und einvernehmlich zu regeln.
  16. Kontaktstellen für Datenschutzanfragen:

    Emergenetics:

    E-Mail: privacy@emergenetics.com

    Name: Brad Hoffman

    Titel: Geschäftsführer

    Der Kunde stellt die Kontaktdaten seines Ansprechpartners für Datenschutzanfragen im Formular unter https://plus.emergenetics.com/#/privacyInfo und https://esp.emergenetics.com/user/profile/privacyInfo (verfügbar nach Log-in) zur Verfügung. Der Kunde garantiert, dass er all diese Informationen unverzüglich aktualisieren wird und dass er all diese Informationen vollständig und aktuell halten wird.
  17. Keine weitere Änderung. Sofern in diesem Addendum nicht ausdrücklich anders vorgesehen, beabsichtigen die Vertragsparteien weder die Dienstleistungsvereinbarung noch ein anderes von den Parteien unterzeichnetes oder anderweitig abgeschlossenes Dokuments zu ändern oder zu abzuändern.
  18. Hauptvertrag. Die Bedingungen der Dienstleistungsvereinbarung , zusammen mit etwaigen Vertragsergänzungen oder Zusatzvereinbarungen, die zu einem Zeitpunkt vor diesem Vertragsanhang durchgeführt wurden, bleiben erhalten und behalten ihre volle Gültigkeit. In dem Fall, das jedwede Bedingungen dieses Vertragsanhangs im Widerspruch zu den Bedingungen stehen, die in der Dienstleistungsvereinbarung enthalten sind, haben die Bestimmungen dieses Vertragsanhangs Vorrang, soweit der Vertragsgegenstand dieses Vertragsanhangs betroffen ist.
  19. Vertraulichkeit. Dieser Nachtrag enthält vertrauliche Informationen. Jede Partei stimmt dem Folgenden zu:
    1. Diesen Zusatz nicht an Dritte weiterzugeben, mit Ausnahme von (1) Rechtsberatern oder Datenschutzberatern, die eine Vertraulichkeitsvereinbarung geschlossen haben oder die gesetzlich zur Verschwiegenheit verpflichtet sind; (2) wie in diesem Vertragsanhang erlaubt oder vernünftigerweise erwartet; oder (3) wie von der DSGVO oder anderen anwendbaren Gesetzen gefordert (jeweils eine „erlaubte Offenlegung“); und
    2. Mindestens die gleiche Sorgfalt auszuüben, die jede Partei im Allgemeinen verwendet, um ihre eigenen Informationen ähnlicher Art zu schützen, um dieses Addendum vor einem Besitz, einer Verwendung oder einer Offenlegung zu schützen, die keine erlaubte Offenlegung ist, aber in keinem Fall weniger als ein vernünftigerweise zu erwartendes Maß an Sorgfalt.

Anhang A

Entscheidung der Kommission K (2004) 5721

STANDARDVERTRAG II

Standardvertragsklauseln für die Übermittlung personenbezogener Daten aus der Gemeinschaft in Drittländer (Übermittlung zwischen für die Datenverarbeitung Verantwortlichen)

Datenübertragungsvereinbarung
zwischen

The Browning Group International, Inc.
2 Inverness Dr East
Suite 189
Centennial, CO, 80112
USA

im Folgenden „Datenexporteur“

und

dem Kunden, wie im Emergenetics-Datenverarbeitungsvertragsanhang (nachfolgend der „Vertragsanhang“) oben definiert

nachfolgend „Datenimporteur“
jeweils eine „Partei“; gemeinschaftlich die „Parteien“.

Definitionen

Für die Zwecke der Vereinbarung haben die folgenden Begriffe die ihnen nachstehend zugewiesene Bedeutung:

  1. „Personenbezogene Daten“, „besondere Kategorien von Daten/sensiblen Daten“, „verarbeiten/Verarbeitung“, „für die Verarbeitung Verantwortliche“, „Auftragsverarbeiter“, „Datensubjekt“ und „Kontrollstelle“ haben dieselbe Bedeutung wie in der Richtlinie 95/46/EG vom 24. Oktober 1995 (wobei „die Kontrollstelle“ die zuständige Datenschutzbehörde in dem Gebiet bedeutet, in dem der Datenexporteur niedergelassen ist);
  2. „Datenexporteur“ ist der für die Verarbeitung Verantwortliche, der die personenbezogenen Daten übermittelt;
  3. „Datenimporteur“ ist der für die Verarbeitung Verantwortliche, der sich bereit erklärt, von dem Datenexporteur personenbezogene Daten zur weiteren Verarbeitung gemäß den vorliegenden Vertragsbestimmungen erhalten, und der keinem System eines Drittlandes unterliegt, das einen angemessenen Schutz gewährleistet;
  4. „Vertragsbestimmungen“ sind diese Vertragsklauseln, bei denen es sich um ein unabhängiges Dokument handelt, das keine kommerziellen Geschäftsbedingungen enthält, wobei diese von den Parteien im Rahmen separater Handelsvereinbarungen festgelegt wurden.

Die Einzelheiten der Übermittlung (sowie die erfassten personenbezogenen Daten) sind in Anhang B aufgeführt, der ein integraler Bestandteil der Vertragsbestimmungen ist.

  1. Pflichten des Datenexporteurs

    Der Datenexporteur garantiert und verpflichtet sich zu Folgendem:

    1. Die personenbezogenen Daten wurden gemäß den für den Datenexporteur geltenden Gesetzen erhoben, verarbeitet und übertragen.
    2. Der Datenexporteur hat angemessene Anstrengungen unternommen, um sicherzustellen, dass der Datenimporteur in der Lage ist, seinen rechtlichen Verpflichtungen gemäß diesen Vertragsbestimmungen nachzukommen.
    3. Der Datenexporteur stellt dem Datenimporteur auf Anfrage Kopien der einschlägigen Datenschutzgesetze oder Verweise auf diese Gesetze des Landes zur Verfügung, in dem der Datenexporteur beheimatet ist (wo anwendbar und ausschließlich Rechtsberatung).
    4. Der Datenexporteur wird auf Anfragen von Datensubjekten und der Kontrollstellen in Bezug auf die Verarbeitung personenbezogener Daten durch den Datenimporteur antworten, es sei denn, die Parteien haben vereinbart, dass der Datenimporteur darauf antwortet. In diesem Fall wird der Datenexporteur dennoch in zumutbar möglichem Umfang und mit Informationen, die er sich zumutbarerweise beschaffen kann, antworten, wenn der Datenimporteur nicht bereit oder nicht in der Lage ist, zu antworten. Antworten werden innerhalb einer angemessenen Zeit erfolgen.
    5. Der Datenexporteur stellt den Datensubjekten, die Drittbegünstigte gemäß Klausel III sind, auf Anfrage eine Kopie der Vertragsbestimmungen zur Verfügung, es sei denn, die Klauseln enthalten vertrauliche Informationen; in diesem Fall kann er solche Informationen entfernen. Werden die Informationen entfernt, ist der Datenexporteur verpflichtet, die Datensubjekte schriftlich über den Grund für die Löschung und über ihr Recht informieren, die Kontrollstelle auf die Entfernung aufmerksam zu machen. Der Datenexporteur muss jedoch eine Entscheidung der Kontrollstelle über den Zugang der Datensubjekte zum vollständigen Text der Vertragsbestimmungen respektieren, sofern sich die Datensubjekte bereit erklärt haben, die Vertraulichkeit der entfernten vertraulichen Informationen zu wahren. Der Datenexporteur übermittelt der Kontrollstelle erforderlichenfalls eine Kopie der Vertragsbestimmungen.

  2. Pflichten des Datenimporteurs

    Der Datenimporteur garantiert und verpflichtet sich zu Folgendem:

    1. Der Datenimporteuer wird angemessene technische und organisatorische Maßnahmen ergreifen, um die personenbezogenen Daten vor zufälliger oder unrechtmäßiger Zerstörung oder vor versehentlichem Verlust, Veränderung, unbefugter Weitergabe oder unbefugtem Zugriff zu schützen, und er bietet ein Sicherheitsniveau, das im Verhältnis zum Risiko der Verarbeitung und zu der Art der Daten angemessen ist, die es zu schützen gilt.
    2. Der Datenimporteur wird Verfahren einrichten, die sicherstellen, dass Dritte, denen er Zugang zu den personenbezogenen Daten gewährt (einschließlich Auftragsverarbeitern), die Vertraulichkeit und Sicherheit der personenbezogenen Daten wahren und aufrechterhalten. Jede Person, die unter der Anweisung des Datenimporteurs handelt (einschließlich der Auftragsverarbeiter), ist verpflichtet, die personenbezogenen Daten ausschließlich gemäß Anweisung des Datenimporteurs zu verarbeiten. Diese Bestimmung gilt nicht für Personen, die aufgrund von Gesetzen oder Vorschriften berechtigt oder dazu verpflichtet sind, Zugang zu den personenbezogenen Daten zu erhalten.
    3. Zum Zeitpunkt des Inkrafttretens dieser Klauseln hat der Datenimporteur keinen Grund zu der Annahme, dass lokale Gesetze bestehen, die die in diesen Vertragsbestimmungen vorgesehenen Garantien erheblich beeinträchtigen würden, und er wird den Datenexporteur informieren, wenn er Kenntnis von solchen Gesetze erlangt, woraufhin der Datenexporteur eine Mitteilung an die Kontrollstellen senden wird, falls erforderlich.
    4. Der Datenimporteuer wird die personenbezogenen Daten zu den in Anhang B beschriebenen Zwecken verarbeiten und er versichert, die rechtliche Befugnis zu haben, die Garantien zu erteilen und Verpflichtungen zu übernehmen, die in diesen Vertragsbestimmungen ausgeführt sind.
    5. Der Datenimporteur wird dem Datenexporteur eine Kontaktstelle innerhalb seiner Organisation nennen, die befugt ist, auf Anfragen bezüglich der Verarbeitung personenbezogener Daten zu antworten, und wird mit dem Datenexporteur, dem Datensubjekt und den Kontrollstellen zusammenarbeiten, um auf jegliche Anfragen innerhalb einer angemessenen Frist zu reagieren. Im Falle einer rechtlichen Auflösung des Datenexporteurs oder im Falle einer Vereinbarung der Parteien übernimmt der Datenimporteur die Verantwortung für die Einhaltung der Bestimmungen von Klausel I (e).
    6. Auf Ersuchen des Datenexporteurs wird der Datenimporteur dem Datenexporteur Belege zur Verfügung, aus denen ersichtlich wird, dass er über ausreichende Finanzmittel verfügt, um seine Verantwortlichkeiten gemäß Klausel III (die auch einen Versicherungsschutz umfassen können) zu erfüllen.
    7. Auf begründeten Antrag des Datenexporteurs übermittelt der Datenimporteur seine Datenverarbeitungsanlagen, Datendateien und Unterlagen, die für die Verarbeitung benötigt werden, dem Datenexporteur (oder unabhängigen oder unparteiischen Inspektionsagenten oder Auditoren, die durch den Datenexporteur ausgewählt werden und die der Datenimporteur nicht ungebührlicherweise ablehnen soll) zur Überprüfung, Prüfung und/oder Zertifizierung der Einhaltung der Zusagen und Verpflichtungen in diesen Vertragsbestimmungen, wobei die Überprüfung, Prüfung und/oder Zertifizierung mit angemessener Frist anzukündigen ist und während üblicher Geschäftszeiten zu erfolgen hat. Die Anforderung unterliegt ggf. erforderlichen Zustimmungen oder Genehmigungen durch eine Regulierungs- oder Aufsichtsbehörde im Land des Datenimporteurs, wobei der Datenimporteur Anstrengungen unternehmen wird, um eine solche Zustimmung oder Genehmigung in angemessener Zeit zu erhalten.
    8. Der Datenimporteur wird die personenbezogenen Daten nach eigenem Ermessen gemäß einer der folgenden Methoden verarbeiten:
      1. Den Datenschutzgesetze des Landes, in dem der Datenexporteur niedergelassen ist, oder
      2. Den einschlägigen Bestimmungen [1]einer jedweden Entscheidung der Kommission gemäß Artikel 25 Absatz 6 der Richtlinie 95/46/EG, wenn der Datenimporteur die einschlägigen Bestimmungen einer solchen Genehmigung oder Entscheidung einhält und in einem Land ansässig ist, für das eine solche Genehmigung oder Entscheidung gilt, aber von einer solchen Genehmigung oder Entscheidung für die Übermittlung der personenbezogenen Daten nicht erfasst wird,[2] oder
      3. Den Grundsätzen der Datenverarbeitung gemäß Anhang A.

      Der Datenimporteur hat anzugeben, welche Option er wählt: Abschnitt II (h) (iii);
    9. Der Datenimporteur wird die personenbezogenen Daten nicht an einen außerhalb des Europäischen Wirtschaftsraums (EWR) ansässigen Datenverantwortlichen weitergeben oder übermitteln, es sei denn, er teilt dies dem Datenexporteur mit, und
      1. der für die Verarbeitung Verantwortliche als Dritter verarbeitet die personenbezogenen Daten gemäß einer Entscheidung der Kommission, in der festgestellt wurde, dass ein Drittland einen angemessenen Schutz bietet, oder
      2. der für die Verarbeitung Verantwortliche als Dritter wird zu einem Unterzeichner dieser Klauseln oder eines anderen von einer zuständigen Behörde in der EU genehmigten Datenübertragungsvertrags, oder
      3. den Datensubjekten wurde die Möglichkeit gegeben, Einspruch zu erheben, nachdem sie über die Zwecke der Übermittlung, die Empfängerkategorien und die Tatsache informiert wurden, dass die Länder, in die die Daten exportiert werden, unterschiedliche Datenschutzstandards haben, oder
      4. im Hinblick auf die Weitergabe sensibler Daten haben die Datensubjekte ihre eindeutige Zustimmung zur Weitergabe gegeben.

  3. Haftung und Rechte Dritter


    1. Jede Partei haftet gegenüber den anderen Parteien für Schäden, die sie durch einen Verstoß gegen diese Klauseln verursacht. Die Haftung der Parteien beschränkt sich auf den tatsächlich entstandenen Schaden. Strafschadensersatz (das heißt, Schadenersatz, der eine Partei für ein besonders misszubilligendes Verhalten bestrafen soll) ist ausdrücklich ausgeschlossen. Jede Partei haftet gegenüber den Datensubjekten für Schäden, die sie aufgrund einer Verletzung von Rechten Dritter gemäß diesen Vertragsbestimmungen verursacht. Die Haftung des Datenexporteurs nach den geltenden Datenschutzgesetzen bleibt unberührt.
    2. Die Parteien sind sich darüber einig, dass ein Datensubjekt das Recht hat, als Drittbegünstiger diese Klausel und die Klauseln I (b), I (d), I (e), II (a), II (c), II (d ), II (e), II (h), II (i), III (a), V, VI (d) und VII gegen den Datenimporteur oder den Datenexporteur für die jeweilige Verletzung ihrer vertraglichen Verpflichtungen in Bezug auf auf die personenbezogenen Daten des Datensubjekts durchzusetzen, und die Parteien akzeptieren die Zuständigkeit der Gerichte im Niederlassungsland des Datenexporteurs für diese Zwecke. Wenn ein Datensubjekt einen Anspruch wegen einer Verletzung durch den Datenimporteur geltend macht, so ist das Datensubjekt verpflichtet, zunächst den Datenexporteur aufzufordern, geeignete Maßnahmen zu ergreifen, um ihre Rechte gegenüber dem Datenimporteur durchzusetzen. Wenn der Datenexporteur nicht innerhalb einer angemessenen Frist (normalerweise binnen eines Monats) eine solche Maßnahme ergreift, kann das Datensubjekt ihre Rechte gegenüber dem Datenimporteur unmittelbar geltend machen. Ein Datensubjekt ist berechtigt, unmittelbar gegen einen Datenexporteur vorzugehen, der keine angemessenen Anstrengungen unternommen hat, um zu überprüfen, ob der Datenimporteur seinen rechtlichen Verpflichtungen gemäß diesen Vertragsbestimmungen nachkommen kann (der Datenexporteur steht unter der Beweislast nachzuweisen, dass er angemessene Anstrengungen unternommen hat).

  4. Anwendbares Recht für die Vertragsbestimmungen


    Diese Vertragsbestimmungen richten sich nach dem Recht des Landes, in dem der Datenexporteur niedergelassen ist, mit Ausnahme der Gesetze und Vorschriften zur Verarbeitung personenbezogener Daten durch den Datenimporteur nach Klausel II (h), die nur dann Anwendung finden, wenn der Datenimporteur dies gemäß dieser Klausel gewählt hat.

  5. Beilegung von Streitigkeiten mit Datensubjekten oder Kontrollstellen


    1. Im Falle einer Streitigkeit oder eines Anspruchs, der von einem Datensubjekt oder der Kontrollstelle bezüglich der Verarbeitung personenbezogener Daten gegen eine oder beide Parteien erhoben wird, informieren sich die Parteien gegenseitig über solche Streitigkeiten oder über solche Ansprüche und sie werden miteinander zusammenarbeiten, um die Streitigkeiten oder Ansprüche einvernehmlich und innerhalb einer angemessenen Frist zu erledigen.
    2. Die Parteien erklären sich damit einverstanden, auf ein allgemein zugängliches, unverbindliches Mediationsverfahren zu reagieren, das von einem Datensubjekt oder Kontrollstelle eingeleitet wurde. Wenn sie sich an dem Verfahren beteiligen, können die Parteien dies aus der Ferne tun (z. B. per Telefon oder auf andere elektronische Weise). Die Parteien vereinbaren des Weiteren, zu erwägen, an anderen Schlichtungs- oder sonstigen Streitbeilegungsverfahren teilzunehmen, die für Datenschutzstreitigkeiten entwickelt wurden.
    3. Jede Partei ist verpflichtet, sich an eine Entscheidung eines zuständigen Gerichts im Niederlassungsstaat des Datenexporteurs oder an eine rechtskräftige und nicht anfechtbare Entscheidung einer Kontrollstelle zu halten.

  6. Beendigung


    1. Falls der Datenimporteur gegen seine Verpflichtungen aus diesen Vertragsbestimmungen verstößt, kann der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur vorübergehend aussetzen, bis der Verstoß behoben oder der Vertrag gekündigt wurde.
    2. Für den Fall, dass:
      1. Die Übermittlung personenbezogener Daten an den Datenimporteur vom Datenexporteur gemäß Absatz (a) für mehr als einen Monat vorübergehend ausgesetzt wurde;
      2. Die Einhaltung dieser Vertragsbedingungen durch den Datenimporteur einen Verstoß gegen seine gesetzlichen oder aufsichtsrechtlichen Verpflichtungen im Land des Datenimporteurs darstellen würde;
      3. Der Datenimporteur wesentlich und fortlaufend die Garantien oder Zusagen verletzt, zu denen er sich nach diesen Vertragsbestimmungen verpflichtet hat;
      4. Eine rechtskräftige Entscheidung eines zuständigen Gerichts im Niederlassungsstaat des Datenexporteurs oder eine Entscheidung einer Kontrollstelle ergeht, mit der festgestellt wird, dass der Datenimporteur oder der Datenexporteur gegen die Vertragsbestimmungen verstoßen hat; oder
      5. ein Antrag auf Zwangsverwaltung oder Abwicklung des Datenimporteurs (ob in dessen persönlicher oder geschäftlicher Eigenschaft) gestellt wird, und sofern dieser Antrag nicht innerhalb der geltenden Frist nach anwendbarem Recht abgewiesen wird; eine Abwicklungsanordnung erlassen wird; ein Begünstigter für jedwede Vermögenswerte ernannt wird; ein Zwangsverwalter ernannt wird in dem Fall, dass es sich bei dem Datenimporteur um eine Einzelperson handelt; ein Vergleich seitens des Datenimporteurs eingeleitet wird; oder ein anderes vergleichbares Ereignis in jedweder Rechtsordnung auftritt;

      so ist der Datenexporteur berechtigt, diese Vereinbarung unbeschadet anderer Rechte gegenüber dem Datenimporteur zu kündigen, wobei in diesem Fall wird die Kontrollstellen zu informieren sind, wenn dies erforderlich wird. In den unter (i), (ii) oder (iv) genannten Fällen kann der Datenimporteur diese Vereinbarung ebenfalls kündigen.
    3. Jede Partei kann diese Vereinbarung kündigen, wenn (i) die Europäische Kommission gemäß Artikel 25 Absatz 6 der Richtlinie 95/46/EG (oder gemäß einer demgegenüber vorrangigen Rechtsquelle) eine Entscheidung dahingehend erlässt, dass ein Land (oder ein Teil dieses Landes), in das die Daten seitens des Datenimporteurs übertragen und dort verarbeitet werden, ein angemessenes Datenschutzniveau bietet; oder (ii) die Richtlinie 95/46/EG (oder eine demgegenüber vorrangige Rechtsquelle) in diesem Land unmittelbar anwendbar wird.
    4. Die Parteien sind sich darüber einig, dass eine Beendigung dieser Vereinbarung zu jedweder Zeit, ungeachtet der Umstände und gleich aus welchem ​​Grund (außer bei Kündigung nach Klausel VI c) die Parteien nicht von den Verpflichtungen und/oder von den Vertragsbestimmungen hinsichtlich der Verarbeitung übermittelter personenbezogenen Daten entbindet.

  7. Änderung dieser Vertragsbestimmungen


    Die Parteien dürfen diese Vertragsbestimmungen nicht ändern, außer um die Informationen in Anhang B zu aktualisieren, wobei in diesem Fall die Kontrollstellen zu informieren sind, falls erforderlich. Dies schließt nicht aus, dass die Parteien bei Bedarf zusätzliche kommerzielle Vertragsbestimmungen hinzufügen dürfen.

  8. Beschreibung der Übertragung


    Die Einzelheiten der Übermittlung und der personenbezogenen Daten sind in Anhang B aufgeführt. Die Parteien sind sich darüber einig, dass Anhang B vertrauliche Geschäftsinformationen enthalten kann, die sie nicht an Dritte weitergeben werden, außer wenn gesetzlich vorgeschrieben oder als Antwort auf das Verlangen einer zuständigen Aufsichts- oder Regierungsbehörde oder wenn gemäß Klausel I (e) gefordert. Die Parteien können zusätzliche Vertragsanhänge erstellen, um zusätzliche Datenübertragungen abzudecken, wobei diese den Kontrollstellen vorzulegen sind, wenn erforderlich. Anhang B kann als Alternative so modifiziert werden, dass er mehrere Datenübertragungen abdeckt.

ANHANG A

DATENVERARBEITUNGSGRUNDSÄTZE

  1. Zweckbindung: Personenbezogene Daten dürfen nur für die in Anhang B beschriebenen oder später vom Datensubjekt autorisierten Zwecke verarbeitet, weiterverwendet oder weitergegeben werden.
  2. Datenqualität und Verhältnismäßigkeit: Personenbezogene Daten müssen korrekt sein und, wenn nötig, aktualisiert werden. Die personenbezogenen Daten müssen angemessen und relevant und dürfen nicht unverhältnismäßig im Hinblick auf die Zwecke sein, für die sie übertragen und weiterverarbeitet werden.
  3. Transparenz: Die Datensubjekte müssen mit Informationen versorgt werden, die für eine ordnungsgemäße Verarbeitung erforderlich sind (z. B. Informationen über die Zwecke der Verarbeitung und über die Übertragung), sofern diese Informationen nicht bereits vom Datenexporteur übermittelt wurden.
  4. Sicherheit und Vertraulichkeit: Von dem für die Verarbeitung Verantwortlichen müssen bei der Verarbeitung technische und organisatorische Sicherheitsmaßnahmen getroffen werden, die zum Schutz gegen die Risiken angemessen sind, etwa vor zufälliger oder unrechtmäßiger Zerstörung oder versehentlichem Verlust, Veränderung, unbefugter Weitergabe oder unbefugtem Zugriff. Jede Person, die nach Anweisung des für die Verarbeitung Verantwortlichen handelt (einschließlich der Auftragsverarbeiter), darf die Daten nur gemäß den Anweisungen des für die Verarbeitung Verantwortlichen verarbeiten.
  5. Rechte auf Zugang, Berichtigung, Löschung und Widerspruch: Gemäß Artikel 12 der Richtlinie 95/46/EG müssen einem Datensubjekt entweder direkt oder über einen Dritten die personenbezogenen Informationen zur Verfügung gestellt werden, die eine Organisation über sie hält, mit Ausnahme von Anfragen, die offenkundig missbräuchlich sind (etwa in unverhältnismäßigen Zeitabständen oder in unverhältnismäßiger Menge erfolgen oder eine repetitive oder systematische Natur aufweisen), und ausgenommen Anfragen, für die gemäß den Gesetzen des Niederlassungslandes des Datenexporteurs kein Zugriff gewährt werden muss. Unter der vorherigen Zustimmung der Kontrollstelle muss ebenfalls kein Zugang gewährt werden, wenn dadurch die Interessen des Datenimporteurs oder anderer Organisationen, die mit dem Datenimporteur Geschäfte machen, ernsthaft gefährdet werden würden und wenn diese Interessen nicht durch das Interesse der Datensubjekte an ihren grundlegenden Rechten und Freiheiten Interessen aufgehoben werden. Die Quellen der personenbezogenen Daten müssen nicht offengelegt werden, wenn dies nicht mit vertretbarem Aufwand möglich ist oder wenn die Rechte anderer Personen als das Datensubjekt verletzt werden würden. Den Datensubjekten muss das Recht eingeräumt werden, die personenbezogenen Daten über sie berichtigen, ändern oder löschen zu lassen, wenn sie falsch sind oder entgegen diesen Grundsätzen verarbeitet wurden oder werden. Wenn berechtigte Zweifel an der Legitimität des Antrags bestehen, kann die Organisation weitere Begründungen vor der Berichtigung, Änderung oder Löschung verlangen. Die Mitteilung einer Berichtigung, Änderung oder Löschung an Dritte, an die die Daten weitergegeben wurden, muss nicht erfolgen, wenn dies einen unverhältnismäßigen Aufwand erfordert. Einem Datensubjekt ist ferner das Recht einzuräumen, der Verarbeitung der ihn betreffenden personenbezogenen Daten zu widersprechen, wenn in der jeweiligen Situation wichtige und legitime Gründe vorliegen. Die Beweislast im Falle einer Verweigerung des Antrags liegt beim Datenimporteur und das Datensubjekt hat jederzeit das Recht, eine solche Verweigerung vor der Kontrollstelle anzufechten.
  6. Sensible Daten: Der Datenimporteur ergreift zusätzliche Maßnahmen (z. B. in Bezug auf die Sicherheit), die erforderlich sind, um solche sensiblen Daten gemäß seinen Verpflichtungen aus Klausel II zu schützen.
  7. Daten, die für Marketingzwecke verwendet werden: Wenn Daten für Direktmarketingzwecke verarbeitet werden, sollten wirksame Verfahren bestehen, die es dem Datensubjekt jederzeit ermöglichen, der Verwendung seiner Daten für solche Zwecke zu widersprechen.
  8. Automatisierte Entscheidungen: Unter „automatisierter Entscheidung“ wird im vorliegenden Sinne eine Entscheidung des Datenexporteurs oder des Datenimporteurs verstanden, die Rechtswirkungen gegenüber einem Datensubjekt entfaltet oder erhebliche Auswirkungen auf das Datensubjekt hat und die ausschließlich auf der automatisierten Verarbeitung personenbezogener Daten beruht, die ausgewertet werden sollen, um bestimmte persönliche Aspekte über das Datensubjekt zu evaluieren, wie z. B. die Arbeitsleistung, Kreditwürdigkeit, Zuverlässigkeit, das Verhalten usw. Der Datenimporteur wird keine automatisierten Entscheidungen in Bezug auf Datensubjekte durchführen, es sei denn:
      1. Solche Entscheidungen werden vom Datenimporteur getroffen, wenn er mit dem Datensubjekt einen Vertrag abschließt oder diesen Vertrag durchführt, und
      2. das Datensubjekt erhält die Gelegenheit, die Ergebnisse einer relevanten automatisierten Entscheidung mit einem Vertreter der Parteien, die eine solche Entscheidung treffen, zu erörtern oder sich anderweitig gegenüber diesen Parteien zu äußern,

      2. oder

    2. b) In Fällen, in denen das Gesetz des Datenexporteurs andere Regelungen trifft.

ANHANG B

BESCHREIBUNG DER ÜBERTRAGUNG

>Durch den Abschluss der Standardvertragsklauseln gemäß Abschnitt 12 des Vertragsanhangs wird davon ausgegangen, dass die Parteien diesen Anhang B unterzeichnet haben.

Datensubjekte
Die übermittelten personenbezogenen Daten betreffen folgende Kategorien von Datensubjekten:
Die übermittelten personenbezogenen Daten betreffen in der Regel die Personen, die über die Emergenetics-Plattform bewertet oder evaluiert werden.

Zweck der Übertragung(en)
Die Übertragung erfolgt zu folgendem Zweck:
Um es dem Datenimporteur zu ermöglichen, die Emergenetics-Dienstleistungen im Auftrag des Datenexporteurs anzubieten und/oder bereitzustellen.

Kategorien von Daten
Die übermittelten personenbezogenen Daten betreffen in der Regel die folgenden Datenkategorien:
Zu den personenbezogenen Daten gehören in der Regel biografische Daten, Kontaktdaten, Lern-/Management- und Persönlichkeitsstil-Analyseergebnisse.

Empfänger
Die übermittelten personenbezogenen Daten dürfen nur an die folgenden Empfänger oder an die folgenden Kategorien von Empfängern weitergegeben werden:
Parteien, die solche personenbezogenen Daten benötigen, um die Bereitstellung der Emergenetics-Dienstleistungen zu ermöglichen.

Kontaktstellen für Datenschutzanfragen werden von beiden Parteien gemäß den Bestimmungen des Vertragsanhangs zur Verfügung gestellt.

[1]„Einschlägige Bestimmungen“ sind jene Bestimmungen einer Ermächtigung oder Entscheidung, mit Ausnahme der Vollstreckungsbestimmungen einer Ermächtigung oder Entscheidung (die durch diese Vertragsbestimmungen geregelt werden). [2]Die Bestimmungen des Anhangs A.5 über das Recht auf Zugriff, Berichtigung, Löschung und Widerspruch sind jedoch anzuwenden, wenn diese Option gewählt wird, und haben Vorrang vor vergleichbaren Bestimmungen der gewählten Entscheidung der Kommission.