digitalisieren

Vereinbarung zur Datenverarbeitung

Geschrieben: Januar 10, 2023

Wirksam: 10. Januar 2023 - 4. Juli 2023

Sie können die letzte Vereinbarung einsehen hier.

Diese Datenverarbeitungsvereinbarung mit EU-Standardvertragsklauseln (Auftragsverarbeiter), (die “DPA”) ist Teil der Allgemeinen Geschäftsbedingungen für Kunden, die Sie unter https://digify.com/legal.html, Es sei denn, der Kunde hat einen ersetzenden schriftlichen Enterprise-Master-Service-Vertrag zwischen Digify Inc. (zusammen das “Unternehmen”) und dem Kunden abgeschlossen, der diesen Bedingungen zustimmt (der “Vertrag”).

  1. Einzelheiten der Verarbeitung. Die Einzelheiten der Rolle des Unternehmens als Verarbeiter personenbezogener Daten im Rahmen der Vereinbarung sind nachstehend aufgeführt:

    1. Gegenstand der Verarbeitung personenbezogener Daten: Die Erbringung der Dienstleistungen durch das Unternehmen für den Kunden.
    2. Dauer der Verarbeitung personenbezogener Daten: Die Laufzeit und jeder Zeitraum nach der Laufzeit bis zur Löschung der Kundendaten durch das Unternehmen.
    3. Art und Zweck der Verarbeitung personenbezogener Daten: Um den Kunden in die Lage zu versetzen, die Dienstleistungen zu erhalten und das Unternehmen in die Lage zu versetzen, die Dienstleistungen zu erbringen und andere Verpflichtungen zu erfüllen, wie im Vertrag festgelegt.
    4. Kategorien von Persönlichen Daten: Soweit die Kundendaten personenbezogene Daten enthalten, kann es sich dabei um Informationen zur Identifizierung von Endnutzern und Organisationsdaten sowie um Dokumente, Bilder und andere Inhalte oder Daten in elektronischer Form handeln, die von Endnutzern über die Dienste gespeichert oder übertragen werden.
    5. Betroffene Personen: Soweit die Kundendaten personenbezogene Daten enthalten, können sie die Endnutzer des Kunden sowie alle Personen betreffen, die mit diesen Endnutzern zusammenarbeiten oder sich mit ihnen austauschen.

  2. Anwendung. Diese DPA gilt wie folgt:
    1. die EU-Standardvertragsklauseln gelten für die durch die Dienste verarbeiteten Daten, wie dieser Begriff in der Vereinbarung definiert ist, sowie für künftige Änderungen der Dienste; und
    2. der “GDPR-Zusatz”, der als Anlage B beigefügt ist, gilt nur in dem Umfang, der durch das EU-Datenschutzrecht vorgeschrieben ist, und tritt am 25. Mai 2018 in Kraft.

  3. Wirkung der DPA. Wenn eine Bestimmung in dieser DPA im Widerspruch zu einer Bestimmung in der Vereinbarung steht, hat diese DPA Vorrang. Die Vereinbarung bleibt in vollem Umfang in Kraft und unverändert, sofern sie nicht durch diese DPA geändert wird. Diese DPA und die EU-Standardvertragsklauseln enden automatisch mit Ablauf oder Beendigung der Vereinbarung.

Beilage A

Beschluss K(2010)593 der Kommission

EU-Standardvertragsklauseln (Auftragsverarbeiter)

für die Zwecke von Artikel 26 Absatz 2 der Richtlinie 95/46/EG für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern, die kein angemessenes Datenschutzniveau gewährleisten

Name der datenexportierenden Organisation: Der Kunde, der eine Partei der Digify-Dienstleistungsvereinbarung mit Digify Inc. ist

(der “Datenexporteur”)

Und

Name der datenimportierenden Organisation: Digify, Inc.

Anschrift: 350 Townsend Street #746, San Francisco, CA 94107 USA

(der “Datenimporteur”)

jeweils eine “Partei”; zusammen “die Parteien”,

SIND über die folgenden Vertragsklauseln (die Klauseln) ÜBEREINGEKOMMEN, um angemessene Garantien in Bezug auf den Schutz der Privatsphäre und der Grundrechte und -freiheiten natürlicher Personen für die Übermittlung der in Anlage 1 aufgeführten personenbezogenen Daten durch den Datenexporteur an den Datenimporteur zu schaffen.

Klausel 1

Definitionen

  1. “Die Begriffe ”personenbezogene Daten“, ”besondere Kategorien von Daten“, ”Verarbeitung“, ”für die Verarbeitung Verantwortlicher“, ”Auftragsverarbeiter“, ”betroffene Person“ und ”Kontrollstelle" haben die gleiche Bedeutung wie in der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr;
  2. “der Datenexporteur” ist der für die Verarbeitung Verantwortliche, der die personenbezogenen Daten übermittelt;
  3. “Datenimporteur” ist der Auftragsverarbeiter, der sich bereit erklärt, vom Datenexporteur personenbezogene Daten zu erhalten, die nach der Übermittlung gemäß seinen Anweisungen und den Bestimmungen der Klauseln in seinem Namen verarbeitet werden sollen, und der keinem System eines Drittlandes unterliegt, das einen angemessenen Schutz im Sinne von Artikel 25 Absatz 1 der Richtlinie 95/46/EG gewährleistet;
  4. “Unterauftragsverarbeiter” ist jeder vom Datenimporteur oder von einem anderen Unterauftragsverarbeiter des Datenimporteurs beauftragte Auftragsverarbeiter, der sich bereit erklärt, vom Datenimporteur oder von einem anderen Unterauftragsverarbeiter des Datenimporteurs personenbezogene Daten zu erhalten, die ausschließlich für Verarbeitungstätigkeiten bestimmt sind, die nach der Übermittlung im Auftrag des Datenexporteurs gemäß seinen Anweisungen, den Bestimmungen der Klauseln und den Bestimmungen des schriftlichen Untervertrags durchgeführt werden;
  5. “das geltende Datenschutzrecht” die Rechtsvorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihres Rechts auf Schutz der Privatsphäre bei der Verarbeitung personenbezogener Daten, die für einen für die Verarbeitung Verantwortlichen in dem Mitgliedstaat gelten, in dem der Datenexporteur niedergelassen ist;
  6. “technische und organisatorische Sicherheitsmaßnahmen”: Maßnahmen zum Schutz personenbezogener Daten gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung von Daten über ein Netz umfasst, sowie gegen jede andere Form der unrechtmäßigen Verarbeitung.

Klausel 2

Einzelheiten der Überweisung

Die Einzelheiten der Übermittlung, insbesondere die besonderen Kategorien personenbezogener Daten, sind in Anhang 1 aufgeführt, der Bestandteil der Klauseln ist.

Klausel 3

Drittbegünstigungsklausel

  1. Die betroffene Person kann diese Klausel, Klausel 4 Buchstaben b) bis i), Klausel 5 Buchstaben a) bis e) und g) bis j), Klausel 6 Absätze 1 und 2, Klausel 7, Klausel 8 Absatz 2 und die Klauseln 9 bis 12 als Drittbegünstigter gegenüber dem Datenexporteur geltend machen.
  2. Die betroffene Person kann diese Klausel, Klausel 5 Buchstaben a bis e und g, Klausel 6, Klausel 7, Klausel 8 Absatz 2 und die Klauseln 9 bis 12 gegenüber dem Datenimporteur geltend machen, wenn der Datenexporteur faktisch oder rechtlich nicht mehr existiert, es sei denn, eine Nachfolgeeinrichtung hat die gesamten rechtlichen Verpflichtungen des Datenexporteurs vertraglich oder von Rechts wegen übernommen, wodurch sie in die Rechte und Pflichten des Datenexporteurs eintritt; in diesem Fall kann die betroffene Person sie gegenüber dieser Einrichtung geltend machen.
  3. Die betroffene Person kann diese Klausel, Klausel 5 Buchstaben a) bis e) und g), Klausel 6, Klausel 7, Klausel 8 Absatz 2 und die Klauseln 9 bis 12 gegenüber dem Unterauftragsverarbeiter geltend machen, wenn sowohl der Datenexporteur als auch der Datenimporteur faktisch oder rechtlich nicht mehr existieren oder zahlungsunfähig geworden sind, es sei denn, eine Nachfolgeeinrichtung hat die gesamten rechtlichen Verpflichtungen des Datenexporteurs vertraglich oder kraft Gesetzes übernommen, wodurch sie in die Rechte und Pflichten des Datenexporteurs eintritt; in diesem Fall kann die betroffene Person sie gegenüber dieser Einrichtung geltend machen. Die Haftung des Unterauftragsverarbeiters gegenüber Dritten ist auf seine eigenen Verarbeitungen gemäß den Klauseln beschränkt.
  4. Die Parteien haben keine Einwände dagegen, dass eine betroffene Person durch einen Verband oder eine andere Einrichtung vertreten wird, wenn die betroffene Person dies ausdrücklich wünscht und das nationale Recht dies zulässt.

Klausel 4

Pflichten des Datenexporteurs

Der Datenexporteur erklärt sich damit einverstanden und garantiert dies:

  1. dass die Verarbeitung der personenbezogenen Daten, einschließlich der Übermittlung selbst, im Einklang mit den einschlägigen Bestimmungen des geltenden Datenschutzrechts erfolgt ist und weiterhin erfolgen wird (und gegebenenfalls den zuständigen Behörden des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, gemeldet wurde) und nicht gegen die einschlägigen Bestimmungen dieses Staates verstößt;
  2. dass er den Datenimporteur angewiesen hat und während der gesamten Dauer der Dienstleistungen zur Verarbeitung personenbezogener Daten anweisen wird, die übermittelten personenbezogenen Daten nur im Namen des Datenexporteurs und in Übereinstimmung mit dem geltenden Datenschutzrecht und den Klauseln zu verarbeiten;
  3. dass der Datenimporteur ausreichende Garantien hinsichtlich der in Anlage 2 zu diesem Vertrag genannten technischen und organisatorischen Sicherheitsmaßnahmen bietet;
  4. dass nach Prüfung der Anforderungen des geltenden Datenschutzrechts die Sicherheitsmaßnahmen geeignet sind, personenbezogene Daten gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang - insbesondere wenn die Verarbeitung die Übermittlung von Daten über ein Netz umfasst - und gegen jede andere Form der unrechtmäßigen Verarbeitung zu schützen, und dass diese Maßnahmen unter Berücksichtigung des Stands der Technik und der Kosten ihrer Durchführung ein Schutzniveau gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist;
  5. dass sie die Einhaltung der Sicherheitsmaßnahmen gewährleisten wird;
  6. dass, falls die Übermittlung besondere Datenkategorien betrifft, die betroffene Person vor oder so bald wie möglich nach der Übermittlung darüber informiert wurde oder informiert wird, dass ihre Daten in ein Drittland übermittelt werden könnten, das keinen angemessenen Schutz im Sinne der Richtlinie 95/46/EG bietet;
  7. jede vom Datenimporteur oder einem Unterauftragsverarbeiter erhaltene Meldung gemäß Klausel 5 Buchstabe b und Klausel 8 Absatz 3 an die Datenschutzaufsichtsbehörde weiterzuleiten, wenn der Datenexporteur beschließt, die Übermittlung fortzusetzen oder die Aussetzung aufzuheben;
  8. den betroffenen Personen auf Anfrage eine Kopie der Klauseln, mit Ausnahme von Anhang 2, und eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen sowie eine Kopie jedes Vertrags über Unterverarbeitungsdienste, der gemäß den Klauseln geschlossen werden muss, zur Verfügung zu stellen, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall kann sie diese Geschäftsinformationen entfernen;
  9. dass im Falle einer Unterverarbeitung die Verarbeitungstätigkeit gemäß Klausel 11 von einem Unterauftragsverarbeiter durchgeführt wird, der mindestens das gleiche Maß an Schutz für die personenbezogenen Daten und die Rechte der betroffenen Person bietet wie der Datenimporteur gemäß den Klauseln; und
  10. dass sie die Einhaltung von Klausel 4 Buchstaben a) bis i) sicherstellen wird.

Klausel 5

Pflichten des Datenimporteurs

Der Datenimporteur erklärt sich damit einverstanden und garantiert dies:

  1. die personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dessen Weisungen und den Klauseln zu verarbeiten; kann er dies aus welchen Gründen auch immer nicht leisten, verpflichtet er sich, den Datenexporteur unverzüglich darüber zu informieren, dass er dazu nicht in der Lage ist; in diesem Fall ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder den Vertrag zu kündigen;
  2. dass er keinen Grund zu der Annahme hat, dass die für ihn geltenden Rechtsvorschriften ihn daran hindern, die vom Datenexporteur erhaltenen Anweisungen und seine Verpflichtungen aus dem Vertrag zu erfüllen, und dass er im Falle einer Änderung dieser Rechtsvorschriften, die erhebliche nachteilige Auswirkungen auf die in den Klauseln vorgesehenen Garantien und Verpflichtungen haben könnte, dem Datenexporteur diese Änderung unverzüglich mitteilen wird, sobald er davon Kenntnis hat; in diesem Fall ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder den Vertrag zu kündigen;
  3. dass sie vor der Verarbeitung der übermittelten personenbezogenen Daten die in Anlage 2 genannten technischen und organisatorischen Sicherheitsmaßnahmen getroffen hat;
  4. die sie dem Datenexporteur unverzüglich mitteilen wird:
    1. jedes rechtsverbindliche Ersuchen einer Strafverfolgungsbehörde um Offenlegung der personenbezogenen Daten, sofern dies nicht anderweitig untersagt ist, z. B. durch ein strafrechtliches Verbot zur Wahrung der Vertraulichkeit einer strafrechtlichen Untersuchung;
    2. jeden versehentlichen oder unbefugten Zugriff; und
    3. jedes direkt von den betroffenen Personen erhaltene Ersuchen, ohne auf dieses Ersuchen zu antworten, es sei denn, sie wurde anderweitig dazu ermächtigt;
  5. alle Anfragen des Datenexporteurs in Bezug auf die Verarbeitung der personenbezogenen Daten, die Gegenstand der Übermittlung sind, unverzüglich und ordnungsgemäß zu beantworten und den Rat der Kontrollstelle in Bezug auf die Verarbeitung der übermittelten Daten zu befolgen;
  6. auf Ersuchen des Datenexporteurs seine Datenverarbeitungsanlagen einer Prüfung der unter die Klauseln fallenden Verarbeitungstätigkeiten zu unterziehen, die vom Datenexporteur oder einer Kontrollstelle durchgeführt wird, die sich aus unabhängigen Mitgliedern zusammensetzt, die über die erforderlichen beruflichen Qualifikationen verfügen und zur Vertraulichkeit verpflichtet sind; diese Stelle wird vom Datenexporteur gegebenenfalls im Einvernehmen mit der Kontrollstelle ausgewählt;
  7. der betroffenen Person auf Anfrage eine Kopie der Klauseln oder eines bestehenden Vertrags über die Unterverarbeitung zur Verfügung zu stellen, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall kann er diese Geschäftsinformationen entfernen, mit Ausnahme von Anhang 2, der in den Fällen, in denen die betroffene Person keine Kopie vom Datenexporteur erhalten kann, durch eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen ersetzt wird;
  8. dass sie im Falle einer Unterverarbeitung den Datenexporteur zuvor informiert und dessen schriftliche Zustimmung eingeholt hat;
  9. dass die Verarbeitung durch den Unterauftragsverarbeiter im Einklang mit Ziffer 11 durchgeführt wird;
  10. dem Datenexporteur unverzüglich eine Kopie jedes Unterauftragsverarbeitungsvertrags zu übermitteln, den er gemäß den Klauseln abschließt.

Klausel 6

Haftung

  1. Die Parteien vereinbaren, dass jede betroffene Person, die infolge einer Verletzung der in Klausel 3 oder in Klausel 11 genannten Verpflichtungen durch eine Partei oder einen Unterauftragsverarbeiter einen Schaden erlitten hat, Anspruch auf Ersatz des erlittenen Schadens durch den Datenexporteur hat.
  2. Ist eine betroffene Person nicht in der Lage, einen Schadensersatzanspruch gemäß Absatz 1 gegen den Datenexporteur geltend zu machen, der sich aus einem Verstoß des Datenimporteurs oder seines Unterauftragsverarbeiters gegen eine der in Klausel 3 oder in Klausel 11 genannten Verpflichtungen ergibt, weil der Datenexporteur faktisch oder rechtlich nicht mehr existiert oder zahlungsunfähig geworden ist, erklärt sich der Datenimporteur damit einverstanden, dass die betroffene Person den Datenimporteur so in Anspruch nehmen kann, als wäre er der Datenexporteur, es sei denn, ein Nachfolgeunternehmen hat die gesamten rechtlichen Verpflichtungen des Datenexporteurs vertraglich oder von Rechts wegen übernommen; in diesem Fall kann die betroffene Person ihre Rechte gegenüber diesem Unternehmen geltend machen. Der Datenimporteur kann sich nicht darauf berufen, dass ein Unterauftragsverarbeiter gegen seine Verpflichtungen verstoßen hat, um sich seiner eigenen Haftung zu entziehen.
  3. Ist eine betroffene Person nicht in der Lage, einen Anspruch gegen den Datenexporteur oder den Datenimporteur gemäß den Absätzen 1 und 2 geltend zu machen, der sich aus einem Verstoß des Unterauftragsverarbeiters gegen eine der in Klausel 3 oder in Klausel 11 genannten Verpflichtungen ergibt, weil sowohl der Datenexporteur als auch der Datenimporteur faktisch oder rechtlich nicht mehr existieren oder insolvent sind, der Unterauftragsverarbeiter erklärt sich damit einverstanden, dass die betroffene Person den Unterauftragsverarbeiter in Bezug auf seine eigenen Verarbeitungen gemäß den Klauseln so in Anspruch nehmen kann, als wäre er der Datenexporteur oder der Datenimporteur, es sei denn, ein Nachfolgeunternehmen hat die gesamten rechtlichen Verpflichtungen des Datenexporteurs oder des Datenimporteurs vertraglich oder von Rechts wegen übernommen; in diesem Fall kann die betroffene Person ihre Rechte gegenüber diesem Unternehmen geltend machen. Die Haftung des Unterauftragsverarbeiters ist auf seine eigenen Verarbeitungsvorgänge gemäß den Klauseln beschränkt.

Klausel 7

Mediation und Gerichtsbarkeit

  1. Der Datenimporteur erklärt sich damit einverstanden, dass der Datenimporteur die Entscheidung der betroffenen Person akzeptiert, wenn die betroffene Person ihm gegenüber Rechte als Drittbegünstigter geltend macht und/oder Schadensersatz gemäß den Klauseln verlangt:
    1. den Streitfall der Schlichtung durch eine unabhängige Person oder gegebenenfalls durch die Aufsichtsbehörde zu unterziehen;
    2. den Streitfall an die Gerichte des Mitgliedstaats zu verweisen, in dem der Datenexporteur niedergelassen ist.

  2. Die Parteien sind sich darüber einig, dass die von der betroffenen Person getroffene Wahl ihre materiell- und verfahrensrechtlichen Rechte, Rechtsbehelfe nach anderen Bestimmungen des nationalen oder internationalen Rechts einzulegen, nicht beeinträchtigt.

Klausel 8

Zusammenarbeit mit den Aufsichtsbehörden

  1. Der Datenexporteur verpflichtet sich, eine Kopie dieses Vertrags bei der Aufsichtsbehörde zu hinterlegen, wenn diese dies verlangt oder wenn eine solche Hinterlegung nach dem geltenden Datenschutzrecht erforderlich ist.
  2. Die Parteien vereinbaren, dass die Aufsichtsbehörde das Recht hat, den Datenimporteur und jeden Unterauftragsverarbeiter einer Prüfung zu unterziehen, die denselben Umfang hat und denselben Bedingungen unterliegt, wie sie für eine Prüfung des Datenexporteurs nach dem geltenden Datenschutzrecht gelten würden.
  3. Der Datenimporteur informiert den Datenexporteur unverzüglich über das Bestehen von Rechtsvorschriften, die auf ihn oder einen Unterauftragsverarbeiter anwendbar sind und die Durchführung eines Audits beim Datenimporteur oder einem Unterauftragsverarbeiter gemäß Absatz 2 verhindern. In einem solchen Fall ist der Datenexporteur berechtigt, die in Klausel 5 Buchstabe b vorgesehenen Maßnahmen zu ergreifen.

Klausel 9

Geltendes Recht

Die Klauseln unterliegen dem Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.

Klausel 10

Änderung des Vertrages

Die Parteien verpflichten sich, die Klauseln nicht zu ändern oder zu modifizieren. Dies schließt nicht aus, dass die Parteien bei Bedarf Klauseln zu geschäftsbezogenen Fragen hinzufügen, sofern sie nicht im Widerspruch zu den Klauseln stehen.

Klausel 11

Weiterverarbeitung

  1. Der Datenimporteur darf seine im Auftrag des Datenexporteurs gemäß den Klauseln durchgeführten Verarbeitungen nicht ohne vorherige schriftliche Zustimmung des Datenexporteurs an Unterauftragnehmer vergeben. Vergibt der Datenimporteur seine Verpflichtungen gemäß den Klauseln mit Zustimmung des Datenexporteurs an Unterauftragnehmer, so darf er dies nur im Wege einer schriftlichen Vereinbarung mit dem Unterauftragsverarbeiter tun, die dem Unterauftragsverarbeiter dieselben Verpflichtungen auferlegt, die dem Datenimporteur gemäß den Klauseln auferlegt sind. Kommt der Unterauftragsverarbeiter seinen Datenschutzverpflichtungen gemäß einer solchen schriftlichen Vereinbarung nicht nach, so bleibt der Datenimporteur dem Datenexporteur gegenüber in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters gemäß dieser Vereinbarung haftbar.
  2. Der vorherige schriftliche Vertrag zwischen dem Datenimporteur und dem Unterauftragsverarbeiter sieht auch eine Drittbegünstigungsklausel gemäß Klausel 3 für den Fall vor, dass die betroffene Person nicht in der Lage ist, den in Klausel 6 Absatz 1 genannten Schadensersatzanspruch gegen den Datenexporteur oder den Datenimporteur geltend zu machen, weil diese faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig geworden sind und kein Nachfolgeunternehmen die gesamten rechtlichen Verpflichtungen des Datenexporteurs oder des Datenimporteurs vertraglich oder von Rechts wegen übernommen hat. Die Haftung des Unterauftragsverarbeiters gegenüber Dritten ist auf seine eigenen Verarbeitungen gemäß den Klauseln beschränkt.
  3. (2) Die Bestimmungen über die Datenschutzaspekte bei der Unterverarbeitung des in Absatz 1 genannten Vertrags unterliegen dem Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.
  4. Der Datenexporteur führt ein Verzeichnis der gemäß den Klauseln geschlossenen und vom Datenimporteur gemäß Klausel 5 Buchstabe j) gemeldeten Unterverarbeitungsverträge, das mindestens einmal jährlich zu aktualisieren ist. Die Liste ist der Datenschutzaufsichtsbehörde des Datenexporteurs zur Verfügung zu stellen.

Klausel 12

Verpflichtungen nach Beendigung der Verarbeitung personenbezogener Daten

  1. Die Parteien vereinbaren, dass der Datenimporteur und der Unterauftragsverarbeiter bei Beendigung der Erbringung von Datenverarbeitungsdienstleistungen nach Wahl des Datenexporteurs alle übermittelten personenbezogenen Daten und die Kopien davon an den Datenexporteur zurückgeben oder alle personenbezogenen Daten vernichten und dies dem Datenexporteur gegenüber bescheinigen, es sei denn, der Datenimporteur ist aufgrund von Rechtsvorschriften daran gehindert, alle oder einen Teil der übermittelten personenbezogenen Daten zurückzugeben oder zu vernichten. In diesem Fall garantiert der Datenimporteur, dass er die Vertraulichkeit der übermittelten personenbezogenen Daten gewährleisten und die übermittelten personenbezogenen Daten nicht mehr aktiv verarbeiten wird.
  2. Der Datenimporteur und der Unterauftragsverarbeiter garantieren, dass sie auf Verlangen des Datenexporteurs und/oder der Kontrollstelle ihre Datenverarbeitungsanlagen für ein Audit der in Absatz 1 genannten Maßnahmen zur Verfügung stellen werden.

Zusätzliche Bestimmungen

  1. Unterverarbeitungen. Der Datenimporteur kann andere Unternehmen damit beauftragen, in begrenztem Umfang Teile der Dienste (einschließlich Unterstützungsleistungen) im Namen des Datenimporteurs zu erbringen, und der Datenexporteur willigt ein, dass der Datenimporteur die Verarbeitung personenbezogener Daten an solche Unterauftragsverarbeiter, wie in den Klauseln beschrieben, weitergibt. Der Datenimporteur stellt sicher, dass jeder Unterauftragsverarbeiter nur dann auf personenbezogene Daten zugreift und diese verwendet, um die Dienste zu erbringen, wenn dies in einer schriftlichen Vereinbarung zwischen dem Datenimporteur und dem Unterauftragsverarbeiter festgelegt ist. Der Datenexporteur erkennt an, dass alle für den Datenimporteur nach den Klauseln geltenden Anforderungen in Bezug auf Vereinbarungen mit Unterauftragsverarbeitern in vollem Umfang erfüllt werden, sofern die Unterverarbeitungsvereinbarung zwischen dem Datenimporteur und dem Unterauftragsverarbeiter mindestens das nach dem Abkommen erforderliche Datenschutzniveau gewährleistet.
  2. Haftung. Die Klauseln unterliegen den Haftungsbeschränkungen und -ausschlüssen, die im Abschnitt “Haftungsbeschränkung” des Rahmenvertrags für Dienstleistungen oder der Allgemeinen Geschäftsbedingungen enthalten sind, so dass die Gesamthaftung des Datenimporteurs und von Digify Pte Ltd insgesamt die im Vertrag festgelegten Beschränkungen nicht überschreitet. Der Datenexporteur ist nicht berechtigt, sowohl vom Datenimporteur als auch von Digify Pte Ltd in Bezug auf denselben Verlust Schadenersatz zu verlangen.

Anhang 1 zu den EU-Standardvertragsklauseln

Dieser Anhang ist Teil der Klauseln.

Datenexporteur

Der Datenexporteur ist der Kunde des Abkommens in der durch die DSGVO geänderten Fassung.

Datenimporteur

Der Datenimporteur ist Digify, Inc. (“Unternehmen”), ein Anbieter von Dokumentensicherheitsdiensten für Unternehmen. Das Unternehmen bietet eine Website, Software und mobile Anwendungen an, mit denen Dateien nach dem Versand gesichert, geschützt und nachverfolgt werden können. Auf den Dienst des Unternehmens kann auch über Anwendungsprogrammierschnittstellen (APIs) zugegriffen werden.

Daten Subjekte

Die übermittelten personenbezogenen Daten betreffen die Endnutzer des Datenexporteurs und der verbundenen Unternehmen des Datenexporteurs, einschließlich der Mitarbeiter, Berater und Auftragnehmer des Datenexporteurs, sowie alle Personen, die mit diesen Endnutzern zusammenarbeiten oder mit ihnen die vom Datenimporteur erbrachten Dienstleistungen nutzen.

Kategorien von Daten

Bei den übermittelten personenbezogenen Daten handelt es sich um Informationen zur Identifizierung von Endnutzern und um Organisationsdaten sowie um Dokumente, Bilder und andere Inhalte oder Daten in elektronischer Form, die von Endnutzern über die Dienste von Data Importer gespeichert oder übermittelt werden.

Verarbeitung der Vorgänge

Die übermittelten personenbezogenen Daten werden den folgenden grundlegenden Verarbeitungstätigkeiten unterzogen (bitte angeben):

Umfang der Verarbeitung.

Der Umfang und die Zwecke der Verarbeitung der personenbezogenen Daten des Datenexporteurs sind in der DSGVO, der diese Klauseln beigefügt sind, sowie in der Vereinbarung zwischen Datenexporteur und Datenimporteur beschrieben.

Dauer der Bearbeitung.

Die Frist für die Datenverarbeitung ist die in der jeweiligen Vereinbarung festgelegte Frist.

Löschung oder Rückgabe von Daten.

Nach Ablauf oder Beendigung des Vertrags erklärt sich der Datenimporteur bereit, die personenbezogenen Daten des Datenexporteurs aus dem Dienst des Datenimporteurs gemäß den Vertragsbedingungen zu löschen oder zurückzugeben.

Zugang zu Daten.

Der Datenexporteur kann einen Administrator benennen, der die Möglichkeit hat, auf die personenbezogenen Daten des Datenexporteurs in Übereinstimmung mit dem Vertrag zuzugreifen. Darüber hinaus hat ein einzelner Endnutzer von Data Exporter die Möglichkeit, auf alle personenbezogenen Daten dieses Endnutzers zuzugreifen, die mit dem spezifischen Konto verbunden sind, über das dieser Endnutzer auf den Dienst zugreift und ihn in Übereinstimmung mit der Funktionalität des Dienstes, der Vereinbarung und der Vereinbarung zwischen dem Unternehmen und dem einzelnen Data Exporter-Endnutzer nutzt.

Weiterverarbeitung.

Der Datenimporteur kann andere Unternehmen damit beauftragen, Teile des Dienstes im Namen des Datenimporteurs zu erbringen. Der Datenimporteur stellt sicher, dass solche Unterauftragsverarbeiter nur auf personenbezogene Daten des Datenexporteurs zugreifen und diese verwenden, um die Dienstleistung in Übereinstimmung mit dem Vertrag zu erbringen.

Anhang 2 zu den EU-Standardvertragsklauseln

Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, die der Datenimporteur in Übereinstimmung mit

Klauseln 4(d) und 5(c) (oder beigefügtes Dokument/Rechtsvorschrift):

Datenschutz Kontakt

Der Datenschutzbeauftragte des Datenimporteurs ist unter contact@digify.com zu erreichen.

Sicherheitsmaßnahmen

Der Datenimporteur hat angemessene administrative, technische und physische Sicherheitsvorkehrungen zum Schutz personenbezogener Daten getroffen und wird diese beibehalten.

  1. Zugangskontrollen. Der Datenimporteur ergreift geeignete Maßnahmen, um zu verhindern, dass Unbefugte Zugang zu den Datenverarbeitungsanlagen erhalten.
  2. Zugriffskontrolle auf Daten. Der Datenimporteur verpflichtet sich, dass die zur Nutzung des Datenverarbeitungssystems berechtigten Personen nur im Rahmen und im Umfang der jeweiligen Zugriffsberechtigung auf die personenbezogenen Daten des Kunden zugreifen.
  3. Benutzerkontrolle. Der Datenimporteur wird geeignete Maßnahmen ergreifen, um zu verhindern, dass seine Datenverarbeitungssysteme von Unbefugten genutzt werden können. Darüber hinaus wird Data Importer geeignete Maßnahmen ergreifen, um ein unbefugtes Lesen, Kopieren oder Löschen der gespeicherten Daten zu verhindern.
  4. Kontrolle der Übermittlung. Der Datenimporteur sichert die personenbezogenen Daten des Kunden, die durch die Nutzung des Dienstes des Auftragsverarbeiters verarbeitet werden.
  5. Organisatorische Kontrolle. Der Datenimporteur wird seine interne Organisation so gestalten, dass sie den Anforderungen der Datenschutzgesetzgebung entspricht.
  6. Weisungsgebundene Kontrolle. Die vom Datenexporteur an den Datenimporteur übermittelten personenbezogenen Daten des Kunden dürfen nur gemäß den Anweisungen des für die Verarbeitung Verantwortlichen verarbeitet werden.

Der Datenimporteur kann diese Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren, jedoch unter der Voraussetzung, dass der Datenimporteur den Datenexporteur benachrichtigt, wenn der Datenimporteur die Sicherheitsmaßnahmen in einer Weise aktualisiert, die die darin beschriebenen administrativen, technischen oder physischen Sicherheitsmerkmale wesentlich beeinträchtigt.

Beilage B

Digify GDPR-Zusatz

1. Einsatz von Unterauftragsverarbeitern durch das Unternehmen. Der Kunde erklärt sich damit einverstanden, dass das Unternehmen Unterauftragnehmer, einschließlich Unterauftragsverarbeiter, mit der Erbringung der Dienstleistungen beauftragt. Wenn ein Unterauftragsverarbeiter personenbezogene Daten verarbeitet, die den EU-Datenschutzgesetzen unterliegen, stellt das Unternehmen sicher, dass der Unterauftragsverarbeiter vertraglichen Verpflichtungen in Bezug auf personenbezogene Daten unterliegt, die den Anforderungen der EU-Datenschutzgesetze genügen.Die Unterauftragsverarbeiter des Unternehmens sind hier aufgeführt und können von Zeit zu Zeit unter https://digify.com/legal.html:

Name des Unternehmens Unternehmensstandort Funktion
Amazon Web Services, Inc. Vereinigte Staaten von Amerika Infrastruktur
Chargebee, Inc. Vereinigte Staaten von Amerika Rechnungsstellung
Facebook, Inc. Vereinigte Staaten von Amerika Marketing
Google LLC Vereinigte Staaten von Amerika Marketing
Intercom, Inc. Vereinigte Staaten von Amerika Kundenbetreuung
LinkedIn Gesellschaft Vereinigte Staaten von Amerika Marketing
Mailchimp Vereinigte Staaten von Amerika E-Mail-Dienst
Microsoft Gesellschaft Vereinigte Staaten von Amerika Marketing
PayPal-Beteiligungen Vereinigte Staaten von Amerika Rechnungsstellung
Pipedrive, Inc. Vereinigte Staaten von Amerika Vertrieb und Support
Stripe, Inc. Vereinigte Staaten von Amerika Rechnungsstellung
Wootric, Inc. Vereinigte Staaten von Amerika Kundenbetreuung
Zapier, Inc. Vereinigte Staaten von Amerika Information Parser

Das Unternehmen haftet für alle Handlungen oder Unterlassungen seiner Unterauftragnehmer oder Unterauftragsverarbeiter und für alle an diese vergebenen Verpflichtungen. Wenn der Kunde mit einer Änderung nicht einverstanden ist, wird er dem Unternehmen innerhalb von sechzig Tagen nach Erhalt der Änderungsmitteilung durch das Unternehmen oder, falls der Kunde den Erhalt einer solchen Mitteilung nicht abonniert hat, innerhalb von sechzig Tagen nach Veröffentlichung der Änderung durch das Unternehmen eine Mitteilung über seine Einwände an contact@digify.com zukommen lassen, in der die Bedenken des Kunden angemessen begründet werden. Das Unternehmen unternimmt dann alle wirtschaftlich vertretbaren Anstrengungen, um die Einwände des Kunden zu prüfen und innerhalb von dreißig Tagen nach Erhalt der Einwände des Kunden zu beantworten. Die Antwort des Unternehmens auf den Einspruch des Kunden enthält zumindest angemessene Vorkehrungen, die der Kunde oder das Unternehmen treffen können, um zu verhindern, dass ein neuer Unterauftragsverarbeiter als Verarbeiter von Kundendaten agiert, wenn der Kunde die Dienste in Anspruch nimmt. Reagiert das Unternehmen nicht wie oben beschrieben auf einen Einwand des Kunden oder kann es dem Einwand des Kunden nicht in angemessener Weise Rechnung tragen, kann der Kunde den Vertrag kündigen, indem er das Unternehmen schriftlich benachrichtigt: (a) innerhalb von dreißig Tagen nach Erhalt einer Antwort des Unternehmens, die diesem Abschnitt nicht entspricht; oder (b) falls das Unternehmen nicht antwortet, innerhalb von dreißig Tagen nach dem Datum, an dem die Antwort des Unternehmens fällig war.

2. Sicherheitsvorfälle. Das Unternehmen wird den Kunden unverzüglich und ohne unangemessene Verzögerung benachrichtigen, wenn ein Sicherheitsvorfall eintritt, sofern das geltende Recht diese Benachrichtigung zulässt. Das Unternehmen ist berechtigt, den Umfang der Offenlegung einzuschränken oder diese zu unterlassen, soweit dies vernünftigerweise erforderlich ist, um die Integrität der Sicherheit des Unternehmens, eine laufende Untersuchung oder die Daten eines Kunden oder Endnutzers nicht zu gefährden. Ein “Sicherheitsvorfall” ist jede tatsächliche unbefugte Offenlegung von oder jeder unbefugte Zugriff auf Kundendaten oder eine Beeinträchtigung der Systeme des Unternehmens, die nach Einschätzung des Unternehmens mit hinreichender Wahrscheinlichkeit zu einer solchen Offenlegung oder einem solchen Zugriff führt und durch ein Versagen der Sicherheitsmaßnahmen des Unternehmens verursacht wird, mit Ausnahme einer unbefugten Offenlegung oder eines unbefugten Zugriffs, der durch den Kunden oder seine Endbenutzer verursacht wird, einschließlich des Versagens des Kunden oder seiner Endbenutzer, Geräte oder Konten angemessen zu sichern. https://digify.com/terms.html

Andere Vereinbarungen:

Allgemeine Geschäftsbedingungen für Benutzer

Datenschutzbestimmungen

Vereinbarung zur Datenverarbeitung

SaaS-Abonnementvertrag

Gesetz zur modernen Sklaverei

Politik zur Bekämpfung von Bestechung und Korruption (ABC)

Referral Partner Vereinbarung