Datenschutzerklärung
Stand: 09 / 2023
Der Schutz und die Sicherheit Ihrer personenbezogenen Daten ist uns ein besonderes Anliegen, unabhängig davon, ob Sie ein Partner, ein registrierter Kunde oder Nutzer unserer App Ich Möchte (im Folgenden die „App“) oder ein Besucher unserer Webseite https://www.ichmoechte.at (im Folgenden die „Webseite“) sind. Wir verpflichten uns daher, Ihre Privatsphäre zu schützen und Ihre Daten vertraulich zu behandeln. An dieser Stelle informieren wir Sie gerne, welche Ihrer personenbezogenen Daten in Bezug auf Ihren Besuch der Webseite bzw der Nutzung der App erfasst und für welche Zwecke diese genutzt werden.
I.Verantwortlicher
Die Webseite und die App werden von Mert Erdi Özkan, Letzestraße 1 / Top 1, 6800 Feldkirch betrieben, welche auch Verantwortlicher im Sinne der Datenschutz Grundverordnung der EU (im Folgenden die „DSGVO“) ist.
Beim Verantwortlichen ist kein Datenschutzbeauftragter bestellt, weil die gesetzlichen Voraussetzungen für eine verpflichtende Bestellung nicht vorliegen.
Anfragen zum Datenschutz und zur Verwendung Ihrer personenbezogenen Daten können aber an folgende E-Mail-Adresse gesendet werden und werden von uns nach den gesetzlichen Vorgaben behandelt: support@ichmoechte.at
II. Verwendete Daten / Verarbeitungszwecke / Speicherdauer
Im Folgenden werden die Kategorien der von uns verarbeiteten personenbezogenen Daten sowie die durch die Verarbeitung dieser personenbezogenen Daten verfolgten Zwecke beschrieben. Soweit möglich finden Sie hier auch Angaben zur Speicherdauer der jeweiligen Daten.
Nutzung der Webseite und der App
Bei jedem Aufruf der Webseite oder bei Nutzung der App werden Zugriffsdaten in einer Protokolldatei, dem Server-Log gespeichert. Der dabei gespeicherte Datensatz enthält die folgenden Informationen: Datum und Zeit des Abrufs, IP-Adresse, Session ID, Geräte ID, Geräte- und Werbeerkennung, Betriebssystem und entsprechende Version, Hardwaremodell, Mobilfunknetzinformationen, Spracheinstellungen, Systemvorgänge, Systemfehler, Zugriffszeit, Konfigurationseinstellungen, aufgerufene Webseite, Name der Webseite, von der aus die Webseite aufgerufen wurde, Standortinformationen Ihres Mobilgerätes und Informationen über den verwendeten Browser.
Wir werten diese Log-Dateien lediglich im Falle von missbräuchlicher Nutzung der Webseite oder der App aus und behalten uns daher vor, die Log-Dateien solcher Nutzer nachträglich zu prüfen, bei denen der konkrete Verdacht besteht, dass diese unsere Webseite und/oder die App gesetzes- und/oder vertragswidrig nutzen. Im Allgemeinen können wir diese Daten nicht einer bestimmten Person zuordnen. Sollte eine solche Zuordnung möglich sein, verwenden wir diese Daten nur in Fällen, in denen eine entsprechende Rechtsgrundlage gegeben ist (Interessensabwägung im Einzelfall).
Registrierung als Kunde und Nutzung der App und der Webseite
Wenn Sie sich auf unserer Webseite oder in der App registrieren, erfassen wir zum Zweck der Vertragsabwicklung, insbesondere zur Bearbeitung Ihrer Bestellungen, die von Ihnen angegebenen Stammdaten, nämlich Name, Nachname, Firmenname, Umsatzsteuer-ID, Firmen-ID, Anschrift (privat oder geschäftlich) Geburtsdatum, Telefonnummer, E
Mailadresse, Zugangsdaten. Die Angabe Ihres Geburtsdatums ist notwendig, um nachweisen zu können, dass Sie nicht minderjährig sind. Die von Ihnen bereit gestellten Daten sind zur Vertragserfüllung bzw zur Durchführung vorvertraglicher Maßnahmen erforderlich. Ohne diese Daten können Sie unsere App nicht verwenden. Die Angabe Ihrer Telefonnummer ist notwendig, da zwecks Identitätsprüfung ein Bestätigungscode an Ihre Handynummer übermittelt wird, um falsche Angaben und Betrüger vorzubeugen. Weiters sind diese Daten erforderlich um Sie über Service-Updates, Mängel und Fehler und Rabattaktionen zu informieren und im Falle einer fehlerhaften Adressangabe telefonisch mit Ihnen Kontakt aufzunehmen. Die Verarbeitung dieser Daten erfolgt für die Dauer des bestehenden Profils.
Wenn Sie über die App oder die Webseite eine Bestellung tätigen, erfassen wir für diesen Zweck zusätzliche Daten, insbesondere Lieferadressen (Adresse, Postleitzahl, Stadt, Land, geographische Länge und Breite), Zahlungsinformationen (Zahlungsmethode, Kreditkarteninformation) und Standortinformationen von dem von Ihnen verwendeten Mobilgerät, die für die Bestellabwicklung erforderlich sind. Soweit personenbezogene Daten, Bestelldaten und Zahlungsinformationen auch in unserem Rechnungswesen verwendet werden, werden solche Daten auf Grundlage der uns treffenden gesetzlichen Aufbewahrungspflichten bis zum Ende der vorgeschriebenen Fristen (in Österreich grundsätzlich 7 Jahre) gespeichert. Nachdem Sie eine Bestellung tätigen, werden wir die Daten (Bestellhistorie, ausgewählte Lieferanten, bestellte Produkte, Rechnungen, Bestellnummer, Angaben zur Zahlungsart, Lieferadresse, erfolgreiche und stornierte Bestellungen), jeweils zu Ihrem Profil hinzufügen. Weiters werden auch von Ihnen abgegebene Bewertungen an den Lieferanten, unserer Webseite und App von uns verarbeitet und in der App und/oder der Webseite dargestellt. Über Ihr Profil können sie diese Informationen jederzeit einsehen und gewähren Ihnen einen Überblick über die bisher getätigten Bestellungen und Bewertungen. Die Nutzung dieser Daten erfolgt für die Dauer der Kundenbeziehung.
Wenn Sie das Kontaktformular in unserer App oder auf der Webseite nutzen, verarbeiten wir die von Ihnen angegebenen Daten (Name, E-Mail-Adresse, Inhalt Ihrer Anfrage) für die Bearbeitung Ihrer Anfrage. Wenn Ihre Anfrage nicht zu einer Besserung führt, werden diese Daten nach spätestens sechs Monaten wieder gelöscht.
Die im Kontaktformular angegebenen Daten (Name, E-Mail-Adresse, Bestellungen, Auftragsverfolgung, Kontrolle vergangener Bestellungen, Inhalt Ihrer Anfrage) werden von uns aufgrund eines berechtigten Interesses zur Verbesserungen unserer Dienstleistungen, der Produkte und Inhalte und Durchführung von Statistiken zum Erlernen von Kundengewohnheiten und der Interessen der Kunden von uns verarbeitet oder an die Anbieter weitergegeben. Die Nutzung dieser Daten erfolgt für die Dauer des bestehenden Profils. Gegen diese Nutzung besteht die Möglichkeit eines Widerspruches.
Wenn Sie in unserer App die automatischen Benachrichtigungen aktiviert haben, benötigen wir kundenspezifische Informationen (Name, E-Mail-Adresse, Telefonnummer, Geräte-ID) um an Sie gerichtete Nachrichten senden und Sie kontaktieren zu können. Die Nutzung dieser Daten erfolgt bis auf Widerruf der automatischen Benachrichtigungen.
Registrierung als Partner und Nutzung der App und der Webseite
Wenn Sie sich als Partner für die Nutzung unserer Webseite oder der App registrieren, erfassen wir zum Zweck der Vertragsabwicklung, insbesondere zur Weiterleitung Bestellungen, die von Ihnen angegebenen Stammdaten, nämlich Name, Firmenname, Umsatzsteuer-ID , Firmen-ID , Anschrift, Geburtsdatum, Zugangsdaten. Die von Ihnen bereit gestellten Daten sind zur Vertragserfüllung bzw zur Durchführung vorvertraglicher Maßnahmen erforderlich. Ohne diese Daten können Sie unsere App nicht verwenden. Die Verarbeitung dieser Daten erfolgt für die Dauer der bestehenden Vertragsbeziehung.
Soweit personenbezogene Daten auch in unserem Rechnungswesen verwendet werden, werden solche Daten auf Grundlage der uns treffenden gesetzlichen Aufbewahrungspflichten bis zum Ende der vorgeschriebenen Fristen (in Österreich grundsätzlich 7 Jahre) gespeichert.
Nachdem Sie eine Bestellung eines Kunden über die Webseite oder die App annehmen, werden wir die Daten (Bestellhistorie, Kunden, Rechnungen, Bestellnummer, Angaben zur Zahlungsart, Lieferadresse, erfolgreiche und stornierte Bestellungen), jeweils zu Ihrem Profil hinzufügen. Weiters werden auch über Sie abgegebene Bewertungen von uns verarbeitet und in der App und/oder der Webseite dargestellt. Über Ihr Profil können sie diese Informationen jederzeit einsehen und gewähren Ihnen einen Überblick über die bisher getätigten Bestellungen und Bewertungen. Die Nutzung dieser Daten erfolgt für die Dauer der aufrechten Vertragsbeziehung.
Wenn Sie das Kontaktformular in unserer App oder auf der Webseite nutzen, verarbeiten wir die von Ihnen angegebenen Daten (Name, E-Mail-Adresse, Inhalt Ihrer Anfrage) für die Bearbeitung Ihrer Anfrage. Wenn Ihre Anfrage nicht zu einer weitergehenden Verarbeitung führt, werden diese Daten nach spätestens sechs Monaten wieder gelöscht.
III. Empfänger und Empfängerkategorien von Daten
Wenn Sie eine Bestellung tätigen, übermitteln wir die für die Bestellabwicklung notwendigen Daten (Stammdaten, Daten der Bestellung, Lieferadressen, Zahlungsdaten) an unseren jeweiligen Partner, an den die Bestellung gerichtet ist. Diese Datenübermittlung erfolgt zum Zweck der Vertragserfüllung durch unseren Partner.
Je nach gewählter Zahlungsmethode erfolgt auch eine Übermittlung von Daten an Zahlungsdienstleister, die entweder als Auftragsverarbeiter für uns oder unsere Partner oder als eigenständige Verantwortliche tätig werden.
In Zusammenhang mit dem Betrieb der Webseite oder der App werden folgende Auftragsverarbeiter für den Verantwortlichen tätig:
Zahlungsdienstleister: Sofern Kredit- und Bankomatkartenzahlungen angeboten werden, erfolgt die Abwicklung der Zahlung direkt über den Partner.
Infrastruktur-Provider Webseite/App: MUV Bilisim ve Telekominikasyon hizmetleri LTD.STI. (Türkei)
IT-Support: Digital Intelligence LTD. STI. (Türkei)
Neben den konkret angeführten Empfängern können zukünftig auch andere Auftragsverarbeiter im Zusammenhang mit der Bereitstellung und dem Betrieb dieser Webseite herangezogen werden (zB Hosting-Provider, IT-Support-Dienstleister, Zahlungsdienstleistungsanbieter).
IV. Ihre Rechte in Bezug auf die verwendeten Daten
Wenn und soweit wir Sie betreffende personenbezogene Daten verwenden, stehen Ihnen insbesondere die folgenden Rechte in Bezug auf solche Daten zu:
• Recht auf Auskunft (Art 15 DSGVO): Sie können jederzeit Auskunft darüber verlangen, ob und welche Sie betreffenden personenbezogenen Daten durch uns verwendet werden, für welche Zwecke die Verarbeitung erfolgt, woher die Daten stammen, an welche Empfänger die Daten allenfalls übermittelt werden und wie lange solche Daten bei uns gespeichert werden.
• Recht auf Richtigstellung (Art 16 DSGVO): Wenn Sie feststellen, dass Sie betreffende personenbezogene Daten unrichtig sind, können Sie jederzeit die Richtigstellung solcher Daten verlangen. Soweit Daten aus Ihrer Sicht unvollständig sind, können Sie auch eine Ergänzung von Daten verlangen.
• Recht auf Löschung (Art 17 DSGVO): Wenn Sie der Meinung sind, dass die Verwendung Ihrer personenbezogenen Daten nicht mehr notwendig ist oder ohne ausreichende Rechtsgrundlage erfolgt oder aus anderen Gründen unrechtmäßig ist, können Sie die Löschung dieser Daten verlangen.
• Recht auf Einschränkung der Datenverwendung (Art 18 DSGVO): Anstelle der Löschung von Daten können Sie auch die Einschränkung der Datenverwendung verlangen, wenn Daten unrechtmäßig verwendet werden. Ein solche Einschränkung der Datenverwendung können Sie insbesondere auch verlangen, wenn Sie die Richtigkeit von Daten bestreiten oder Widerspruch gegen eine Datenverwendung eingelegt haben.
• Recht auf Datenübertragbarkeit (Art 20 DSGVO): Hinsichtlich der personenbezogenen Daten, die Sie selbst bereitgestellt haben und die auf Basis eines Vertrages oder einer Einwilligung verwendet werden, können Sie verlangen, dass Ihnen diese Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung gestellt werden. Sie können außerdem verlangen, dass diese Daten direkt an einen anderen Verantwortlichen übermittelt werden.
• Rechte auf Beschwerde bei einer Aufsichtsbehörde (Art 77 DSGVO): Wenn Sie der Meinung sind, dass Ihre Rechte in Bezug auf die Sie betreffenden personenbezogenen Daten verletzt wurden, steht Ihnen das Recht zu, Beschwerde bei einer Aufsichtsbehörde zu erheben. Insbesondere können Sie sich an die Aufsichtsbehörde, welche für Ihren Aufenthaltsort, Ihren Arbeitsplatz oder den Ort des vermuteten Verstoßes zuständig ist, wenden. In Österreich ist die zuständige Aufsichtsbehörde die Datenschutzbehörde, Barichgasse 40-42, 1030 Wien.
Gesondert weisen wir Sie auf Ihr Widerspruchsrecht (Art 21 DSGVO) hin: Wenn sich aus Ihrer besonderen Situation Gründe ergeben, die eine Verwendung Ihrer personenbezogener Daten, die wir auf Grundlage einer Interessensabwägung verwenden, unzulässig macht, kommt Ihnen ein Recht auf Widerspruch gegen eine solche Datenverwendung zu. Soweit Ihre personenbezogenen Daten für Direktwerbung verwendet würden, steht Ihnen jedenfalls ein Widerspruchsrecht zu.
Wenn Fragen oder Unklarheiten in Bezug auf Ihre Rechte in Bezug auf Ihre personenbezogene Daten bestehen, können Sie sich jederzeit an unter der folgenden E Mail-Adresse an uns wenden: support@ichmoechte.at
V. Sicherungsmaßnahmen zum Schutz Ihrer Daten
Zum Schutz Ihrer Daten haben wir technische und organisatorische Datensicherheitsmaßnahmen ergriffen, die regelmäßig überprüft und dem technologischen Fortschritt angepasst werden.
Wir weisen allerdings darauf hin, dass es aufgrund der technischen Gegebenheiten des Internets nicht ausgeschlossen werden kann, dass die Regeln des Datenschutzes und der Datensicherheit von anderen Personen oder Organisationen, deren Handeln nicht in unserem Verantwortungsbereich liegt, nicht beachtet werden.
Die auf der Zahlungsseite angeforderten Kreditkarteninformationen des Kunden werden niemals auf den Servern der Website und der mobilen Anwendung oder von Drittanbietern gespeichert, die Dienstleistungen erbringen, um die Sicherheit der Kunden, die auf der Website und/oder der mobilen Anwendung einkaufen, auf höchstem Niveau zu halten. Auf diese Weise wird sichergestellt, dass alle Zahlungstransaktionen zwischen der jeweiligen Bank und dem vom Kunden verwendeten Gerät über die Website und die Schnittstelle der mobilen Anwendung ausgeführt werden. Ihre Kreditkartennummer wird von unserem Online
Kreditkartenantrag verschlüsselt und an Ihre Bank übermittelt und niemals an Dritte weitergegeben.
Ihre Daten werden auf unseren sicheren Servern gespeichert. Sie können mit dem von Ihnen festgelegten Passwort auf die Anwendung zugreifen. Ihr Passwort wird in unserem System als irreversibel verschlüsselt gespeichert. Es liegt in Ihrer Verantwortung, Ihr Passwort sicher aufzubewahren und nicht weiterzugeben. Es kann jedoch nicht garantiert werden, dass die Weitergabe von Informationen über eine öffentliche Internetverbindung zu 100 % sicher ist. Wir verwenden zum Schutz Ihrer Daten eine verschlüsselte Verbindung, Angriffe auf Ihre Internetverbindung während der Datenübertragung erfolgen jedoch auf das eigene Risiko des Kunden. Nachdem Ihre Daten unsere Server erreicht haben, werden von uns alle Arten von Sicherheitsmaßnahmen ergriffen, um sie zu schützen
VI. Verwendung von Cookies
Auf unserer Webseite verwenden wir Cookies, um die Nutzung bestimmter Funktionen der Webseite zu ermöglichen.
Bei Cookies handelt es sich um kleine Textdateien, die auf Ihrem Computer abgelegt werden. Die von uns verwendeten Cookies werden teilweise nach Ende der Browser Sitzung wieder von Ihrer Festplatte gelöscht (Session-Cookies). Andere Cookies verbleiben auf Ihrem Computer und ermöglichen uns, Ihren Computer bei Ihrem nächsten Besuch wiederzuerkennen (Langzeit-Cookies).
Sie können die Speicherung von Cookies durch eine entsprechende Einstellung Ihres Browsers vollständig verhindern. Wir weisen jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Webseite vollumfänglich werden nutzen können.
Sollten Sie die Speicherung unserer Cookies auf Ihrem Computer nicht wünschen, deaktivieren Sie bitte die Speicherung von Cookies in Ihrem Browser für unsere Webseite
oder stellen Sie Ihren Browser so ein, dass Cookies generell nicht auf Ihrem Computer abgelegt werden. Eine Löschung bereits gespeicherter Cookies kann ebenfalls in ihrem Browser vorgenommen werden.
Folgende Kategorien von Cookies werden auf unserer Webseite verwendet: 1. Session-Cookies / Session ID
Um Ihnen das Browsen auf unserer Webseite zu erleichtern, setzen wir gegebenenfalls eine sogenannte Session-ID (Englisch: session identifier, Deutsch: Sitzungs-ID) ein, die jedem Besucher zu Beginn jeder Nutzung unserer Webseite zugeteilt wird. Diese Session-ID dient unserem Server dazu, Sie bzw. Ihren Computer/Browser trotz möglicherweise zwischenzeitlich gewechselter IP-Adresse als denselben Besucher zu erkennen. Durch diese Session ID wird die Zuordnung mehrerer zusammengehöriger Anfragen eines Benutzers zu einer Sitzung ermöglicht.
Speicherdauer: Das von uns verwendete Session ID-Cookie ist nur bis zum Ende einer Sitzung gültig. Mit dem Schließen Ihres Browsers wird es automatisch gelöscht.
2. Langzeit-Cookies
Bestätigung Cookie-Hinweis
Wenn Sie den auf unserer Webseite angezeigten Hinweis mit „OK“ bestätigen, wird die Tatsache dieser Bestätigung in einem gesonderten Cookie abgespeichert. Solange dieses Cookie auf Ihrem Gerät gespeichert ist, wird der Cookie-Hinweis nicht erneut angezeigt. Ein Zugriff auf die entsprechenden Informationen in unserer Datenschutzerklärung ist dennoch möglich.
Google Analytics
Diese Webseite benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet ebenfalls Cookies die unter anderem eine Analyse ermöglichen, wie die Webseite durch Sie genutzt wird. Die durch diese Cookies erzeugten Informationen werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Im Auftrag des Betreibers dieser Webseite wird Google diese Informationen benutzen, um Ihre Nutzung der Webseite auszuwerten, um Reports über die Webseitenaktivitäten zusammenzustellen und um weitere mit der Webseite- und Internetnutzung verbundene Dienstleistungen für den Webseitenbetreiber zu erbringen. Diese Reports und Dienstleistungen werden zur fortlaufenden Verbesserung des Angebots dieser Webseite genutzt.
Sie können die Speicherung von Cookies durch eine entsprechende Einstellung Ihres Browsers verhindern. Wir weisen jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Webseite vollumfänglich werden nutzen können.
Sie können darüber hinaus die Erfassung der durch diese Cookies erzeugten und auf Ihre Nutzung der Webseite bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verfügbare Browser plug-in von Google herunterladen und installieren: http://tools.google.com/dlpage/gaoptout?hl=de. Weitere solche plug-ins werden je nach verwendetem Browser auch von anderen Anbietern zur Verfügung gestellt.
Angesichts der Diskussion um den Einsatz von Analysetools mit vollständigen IP-Adressen möchten wir darauf hinweisen, dass diese Webseite Google Analytics mit der Erweiterung „anonymizeIp“ verwendet und daher die IP-Adressen nur gekürzt weiterverarbeitet werden, um eine direkte Personenbeziehbarkeit auszuschließen. Ihre IP-Adresse wird daher von Google innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum vor der Übertragung gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort erst gekürzt. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt.
3. Cookies von Anbietern von Drittdiensten
Im Rahmen unserer Webseite sind auch Dienste von Drittanbietern verlinkt. Hinsichtlich dieser Dienste erfolgt allenfalls eine Verwendung personenbezogener Daten durch die unten genannten Anbieter, die nicht im Verantwortungsbereich des Anbieters dieser Webseite liegen.
a. Google Maps
Diese Webseite/App nutzt auf einigen Unterseiten Google Maps zur Darstellung interaktiver Karten und zur Erstellung von Anfahrtsbeschreibungen. Google Maps ist ein Kartendienst von Google Inc., 1600 AmphitheatreParkway, Mountain View, California 94043, USA. Durch die Nutzung von Google Maps können Informationen über die Benutzung dieser Webseite einschließlich Ihrer IP-Adresse und der im Rahmen der Routenplanerfunktion eingegebenen (Start-) Adresse an Google in den USA übertragen werden.
Wenn Sie eine Webseite unseres Internetauftritts aufrufen, die Google Maps enthält, baut Ihr Browser eine direkte Verbindung mit den Servern von Google auf. Der Karteninhalt wird von Google direkt an Ihren Browser übermittelt und von diesem in die Webseite eingebunden. Daher haben wir keinen Einfluss auf den Umfang der auf diese Weise von Google erhobenen Daten.
Entsprechend unserem Kenntnisstand sind dies zumindest folgende Daten:
• Datum und Uhrzeit des Besuchs auf der betreffenden Webseite,
• Internetadresse oder URL der aufgerufenen Webseite,
• IP-Adresse,
• im Rahmen der Routenplanung eingegebene (Start-)Anschrift.
Auf die weitere Verarbeitung und Nutzung der Daten durch Google haben wir keinen Einfluss und können daher hierfür keine Verantwortung übernehmen.
Wenn Sie nicht möchten, dass Google über unsere Webseite/App Daten über Sie erhebt, verarbeitet oder nutzt, können Sie in Ihrem Browsereinstellungen JavaScript deaktivieren. In diesem Fall können Sie die Kartenanzeige jedoch nicht nutzen.
Zweck und Umfang der Datenerhebung und die weitere Verarbeitung und Nutzung der Daten durch Google sowie Ihre diesbezüglichen Rechte und Einstellungsmöglichkeiten zum Schutz Ihrer Privatsphäre entnehmen Sie bitte den Datenschutzhinweisen von Google: http://www.google.de/intl/de/policies/privacy/.
b. YouTube
Diese Webseite/App bindet auf einigen Unterseiten Videos von YouTube ein oder stellt Links zu Videos auf YouTube zur Verfügung. YouTube ist ein Videodienst von YouTube, LLC, 901 Cherry Ave., San Bruno, CA 94066, USA, vertreten durch Google Inc. YouTube verwendet Cookies, um Informationen über die Nutzung der Videos zu sammeln. Die auch für YouTube geltende Datenschutzerklärung von Google finden Sie unter http://www.google.de/intl/de/policies/privacy/.
c. Google ADS
Diese Webseite/App benutzt Google Ads, einen Webanalysedienst der Google Inc. („Google“). Google Ads verwendet ebenfalls Cookies die unter anderem eine Analyse ermöglichen, wie die Webseite durch Sie als Kunde genutzt wird. Damit verfolgen wir Ihre Interessen, um Ihnnen Werbung anzuzeigen, die für Sie von Interesse ist. Die durch diese Cookies erzeugten Informationen können auch außerhalb der Europäischen Union an einen Server von Google in den USA übertragen und dort gespeichert. Durch die Nutzung von Google Ads ist ein personenbezogenes Abzielen von Werbung in der Suchmaschine Google möglich. Zudem ist durch dessen Nutzung die Messung von Marketingmaßnahmen möglich.
Entsprechend unserem Kenntnisstand sind dies zumindest folgende Daten:
• Datum und Uhrzeit des Besuchs auf der betreffenden Webseite,
• Internetadresse oder URL der aufgerufenen Webseite,
• IP-Adresse,
• Daten der Website-Nutzung,
• Orderdaten,
• Gerätedaten.
Auf die weitere Verarbeitung und Nutzung der Daten durch Google haben wir keinen Einfluss und können daher hierfür keine Verantwortung übernehmen. Die auch für Google Ads geltende Datenschutzerklärung von Google finden Sie unter http://www.google.de/intl/de/policies/privacy/.
Wenn Sie nicht möchten, dass Google ADS über unsere Webseite/ App Daten über Sie erhebt, verarbeitet oder nutzt, können Sie diese unter https://support.google.com/ads/answer/2662922?hl=de deaktivieren. In diesem Fall kann aber die Funktionalität der Website eingeschränkt werden.
d. Bing ADS
Diese Webseite/App benutzt Bing Ads, ein Werbeprogramm der Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399 USA. Durch diese Nutzung wird von Microsoft auf Ihrem Endgerät ein Cookie gesetzt, wenn Sie über eine Microsoft Bing- Anzeige auf unsere Homepage bzw App gelangt sind. So erkennen wir bzw Microsoft die Gesamtanzahl der Nutzer, die auf eine Bing-Anzeige geklickt haben und so zu unserer Website bzw App weitergeleitet wurden.
Auf der Website/App ist ein Bing UET-Tag vorhanden, welches die Nutzung von einigen nicht-personenbezogenen Daten über die Nutzung der Website ermöglicht. Insbesondere werden hier die Verweildauer und Bereiche auf der Website sowie die Anzeige, über welche Sie auf die Website bzw App gelangt ist weitergeleitet.
Auf die weitere Verarbeitung und Nutzung der Daten durch Bing Ads haben wir keinen Einfluss und können daher hierfür keine Verantwortung übernehmen. Die auch für Bing Ads geltende Datenschutzerklärung finden Sie unter https://privacy.microsoft.com/de de/privacystatement
Wenn Sie nicht möchten, dass Bing Ads über unsere Webseite Daten über Sie erhebt, verarbeitet oder nutzt, können Sie diese unter http://choice.microsoft.com/de-de/opt-out deaktivieren. In diesem Fall kann aber die Funktionalität der Website eingeschränkt werden.
e. Facebook
Diese Website/App verwendet zu Marketingzwecken sogenannte Conversion und Retargeting-Tags des sozialen Netzwerkes Facebook, Facebook, Facebook Inc., 1601 S. California Ave, Palo Alto, CA 94304, USA. Beim Besuch der Website/ App wird seitens Facebook ein Cookie gesetzt. Dadurch wird mittels einer pseudonymen CookieID und auf Basis der vom Kunden besuchten Seiten eine Werbung ermöglicht. Durch diese Nutzung ist eine Erhebung von personenbezogenen Daten zur Analyse des Verhaltens der Kunde auf der Website/ App möglich.
Auf die weitere Verarbeitung und Nutzung der Daten durch Facebook haben wir keinen Einfluss und können daher hierfür keine Verantwortung übernehmen. Die auch für Facebook geltende Datenschutzerklärung finden Sie unter https://www.facebook.com/policy.php.
Wenn Sie nicht möchten, dass Facebook über unsere Webseite/App Daten über Sie erhebt, verarbeitet oder nutzt, können Sie diese unter https://www.facebook.com/about/privacy/ deaktivieren. In diesem Fall kann aber die Funktionalität der Website eingeschränkt werden.
f. Cloudflare
Diese Website/ App benutzt Cloudflare der Firma Cloudflare Inc., 101 Townssend St., San Francisco, CA 94107 USA. Dessen Nutzung ermöglicht uns eine sichere und schnellere Verwendung der Website/ App. Cloudfare ermöglicht einen Informationstransfer zwischen Ihnrem Browser und unserer Website/ App über das Netzwerk von Cloudflare. Dadurch wird der Datenverkehr zwischen Ihnen und unserer Website/ App analysiert. Hierdurch werden Angriffe auf unserer Websit/App erkannt und abgewehrt. Cloudflare blockiert insbesondere Bedrohungen und missbräuchliche Boots.
Cloudflare erfasst insbesondere die IP-Adresse, Kontakt- und Protokollinfos, Leistungsdaten der Websites. Durch das Einsetzen des Cookies ist es möglich einzelne Kunden bzw Partner zu identifizieren und Sicherheitseinstellungen für den Einzelnen anzuwenden. Cloudflare speichert diese Informationen in einem Drittstaat, USA, und somit außerhalb der Europäischen Union.
VII. Änderungen der Datenschutzbestimmungen
Da Gesetzesänderungen oder Änderungen unserer unternehmensinternen Prozesse eine Anpassung dieser Datenschutzbestimmungen erforderlich machen können, die wir uns entsprechend vorbehalten, bitten wir Sie, diese Datenschutzerklärung regelmäßig im Hinblick auf allfällige Änderungen durchzulesen.
7.6.2021 Amtsblatt der Europäischen Union L 199/31
DE
DURCHFÜHRUNGSBESCHLUSS (EU) 2021/914 DER KOMMISSION
vom 4. Juni 2021
über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates
(Text von Bedeutung für den EWR)
DIE EUROPÄISCHE KOMMISSION —
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,
gestützt auf die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (1), insbesondere auf Artikel 28 Absatz 7 und Artikel 46 Absatz 2 Buchstabe c,
in Erwägung nachstehender Gründe:
(1) Technologische Entwicklungen erleichtern den grenzüberschreitenden Datenverkehr, der für den Ausbau der internationalen Zusammenarbeit und des internationalen Handels erforderlich ist. Gleichzeitig muss bei der Übermittlung personenbezogener Daten an Drittländer, einschließlich im Falle von Weiterübermittlungen, sichergestellt werden, dass das durch die Verordnung (EU) 2016/679 gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird (2). Die Bestimmungen über Datenübermittlungen in Kapitel V der Verordnung (EU) 2016/679 sollen den Fortbestand dieses hohen Schutzniveaus bei der Übermittlung personenbezogener Daten an ein Drittland gewährleisten (3).
(2) Gemäß Artikel 46 Absatz 1 der Verordnung (EU) 2016/679 darf ein Verantwortlicher oder ein Auftragsverarbeiter — wenn kein Angemessenheitsbeschluss der Kommission nach Artikel 45 Absatz 3 vorliegt — personenbezogene Daten an ein Drittland nur übermitteln, sofern er geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Solche Garantien können in Standarddatenschutzklauseln bestehen, die von der Kommission gemäß Artikel 46 Absatz 2 Buchstabe c erlassen werden.
(3) Die Rolle von Standardvertragsklauseln beschränkt sich auf die Gewährleistung angemessener Datenschutzgarantien für internationale Datenübermittlungen. Daher steht es dem Verantwortlichen oder dem Auftragsverarbeiter, der die personenbezogenen Daten an ein Drittland übermittelt („Datenexporteur“), und dem die personenbezogenen Daten annehmenden Verantwortlichen oder Auftragsverarbeiter („Datenimporteur“) frei, diese Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu den Standardvertragsklauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden. Die Verantwortlichen und die
Auftragsverarbeiter werden ermutigt, mittels vertraglicher Verpflichtungen, die die Standardvertragsklauseln ergänzen, zusätzliche Garantien zu bieten (4). Der Rückgriff auf die Standardvertragsklauseln erfolgt unbeschadet der vertraglichen Pflichten des Datenexporteurs und/oder des Datenimporteurs, die Einhaltung der geltenden Vorrechte und Befreiungen zu gewährleisten.
(4) Über den Rückgriff auf Standardvertragsklauseln (mit dem Ziel, geeignete Garantien für Datenübermittlungen nach Artikel 46 Absatz 1 der Verordnung (EU) 2016/679 zu bieten) hinaus muss der Datenexporteur seinen allgemeinen Pflichten als Verantwortlicher oder Auftragsverarbeiter gemäß der Verordnung (EU) 2016/679 nachkommen. Diese Pflichten schließen die Pflicht des Verantwortlichen ein, die betroffenen Personen nach Artikel 13 Absatz 1 Buchstabe f und Artikel 14 Absatz 1 Buchstabe f Verordnung (EU) 2016/679 über die beabsichtigte Übermittlung personenbezogener Daten an ein Drittland zu informieren. Im Falle von Datenübermittlungen gemäß Artikel 46 der Verordnung (EU) 2016/679 muss diese Information einen Verweis auf die angemessenen Garantien und die Möglichkeiten, wie eine Kopie von ihnen eingeholt werden kann, oder wo sie verfügbar sind, umfassen.
(1) ABl. L 119 vom 4.5.2016, S. 1.
(2) Artikel 44 der Verordnung (EU) 2016/679.
(3) Siehe auch das Urteil des Gerichtshofs vom 16. Juli 2020, Data Protection Commissioner/Facebook Ireland Ltd und Maximilian Schrems (im Folgenden „Schrems II“), Rechtssache C-311/18, ECLI:EU:C:2020:559, Rn. 93.
(4) Erwägungsgrund 109 der Verordnung (EU) 2016/679.
L 199/32 Amtsblatt der Europäischen Union 7.6.2021
DE
(5) Die Entscheidung 2001/497/EG der Kommission (5) und der Beschluss 2010/87/EU der Kommission (6) enthalten Standardvertragsklauseln, um die Übermittlung personenbezogener Daten von einem in der Union niedergelassenen Verantwortlichen an einen Verantwortlichen oder einen Auftragsverarbeiter zu erleichtern, der in einem Drittland niedergelassen ist, das kein angemessenes Schutzniveau bietet. Diese Entscheidung und dieser Beschluss beruhten auf der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates (7).
(6) Gemäß Artikel 46 Absatz 5 der Verordnung (EU) 2016/679 bleiben die Entscheidung 2001/497/EG und der Beschluss 2010/87/EU so lange in Kraft, bis sie erforderlichenfalls mit einem nach Artikel 46 Absatz 2 besagter Verordnung erlassenen Beschluss der Kommission geändert, ersetzt oder aufgehoben werden. Die Standardvertragsklauseln in dieser Entscheidung bzw. in diesem Beschluss mussten im Lichte der neuen Anforderungen der Verordnung (EU) 2016/679 aktualisiert werden. Darüber hinaus haben sich seit dem Erlass der genannten Entscheidung und des genannten Beschlusses wichtige Entwicklungen in der digitalen Wirtschaft vollzogen, in deren Rahmen neue und komplexere Verarbeitungsvorgänge, an denen häufig mehrere Datenimporteure und Datenexporteure beteiligt sind, lange und komplexe Verarbeitungsketten sowie geänderte Geschäftsbeziehungen allgemein Anwendung finden. Dadurch war eine Modernisierung der Standardvertragsklauseln notwendig, um diese Realitäten besser widerzuspiegeln, indem zusätzliche Verarbeitungs- und Übermittlungsszenarien erfasst werden und ein flexiblerer Ansatz möglich ist, beispielsweise in Bezug auf die Anzahl der Parteien, die dem Vertrag beitreten können.
(7) Unbeschadet der Auslegung des Begriffs der internationalen Datenübermittlung gemäß der Verordnung (EU) 2016/679 können die im Anhang dieses Beschlusses aufgeführten Standardvertragsklauseln von einem Verantwortlichen oder einem Auftragsverarbeiter verwendet werden, um geeignete Garantien im Sinne des Artikels 46 Absatz 1 der Verordnung (EU) 2016/679 für die Übermittlung personenbezogener Daten an einen in einem Drittland niedergelassenen Auftragsverarbeiter oder Verantwortlichen zu gewährleisten. Die Standardvertragsklauseln dürfen nur insoweit für derartige Datenübermittlungen verwendet werden, als die Verarbeitung durch den Datenimporteur nicht in den Anwendungsbereich der Verordnung (EU) 2016/679 fällt. Dies schließt auch die Übermittlung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter ein, soweit die
Verarbeitung Artikel 3 Absatz 2 der Verordnung (EU) 2016/679 unterliegt, da die Datenübermittlung im Zusammenhang damit steht, betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten oder das Verhalten betroffener Personen zu beobachten, soweit dieses in der Union erfolgt.
(8) Angesichts der allgemeinen Angleichung der Verordnung (EU) 2016/679 und der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates (8) sollte es möglich sein, die Standardvertragsklauseln auch im Zusammenhang mit einem Vertrag gemäß Artikel 29 Absatz 4 der Verordnung (EU) 2018/1725 für die Übermittlung personenbezogener Daten an einen Unterauftragsverarbeiter in einem Drittland durch einen Auftragsverarbeiter zu verwenden, bei dem es sich nicht um ein Organ oder eine Einrichtung der Union handelt, der aber an die Verordnung (EU) 2016/679 gebunden ist und personenbezogene Daten im Auftrag eines Organs oder einer Einrichtung der Union gemäß Artikel 29 der Verordnung (EU) 2018/1725 verarbeitet. Sofern der Vertrag dieselben Datenschutzpflichten widerspiegelt, die im Vertrag oder in einem anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Artikel 29 Absatz 3 der Verordnung (EU) 2018/1725 festgelegt sind, insbesondere indem hinreichende Garantien für technische und organisatorische Maßnahmen geboten werden, die eine Verarbeitung im Einklang mit den Anforderungen dieser
Verordnung gewährleisten, wird dadurch die Einhaltung von Artikel 29 Absatz 4 der Verordnung (EU) 2018/1725 sichergestellt. Dies ist insbesondere dann der Fall, wenn sich der Verantwortliche und der Auftragsverarbeiter auf die Standardvertragsklauseln im Durchführungsbeschluss der Kommission über Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates und Artikel 29 Absatz 7 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates (9) stützen.
(9) Umfasst die Verarbeitung Datenübermittlungen von der Verordnung (EU) 2016/679 unterliegenden Verantwortlichen an Auftragsverarbeiter außerhalb des räumlichen Anwendungsbereichs dieser Verordnung oder von der Verordnung (EU) 2016/679 unterliegenden Auftragsverarbeitern an Unterauftragsverarbeiter außerhalb des räumlichen Anwendungs bereichs dieser Verordnung, so sollten die Standardvertragsklauseln im Anhang dieses Beschlusses auch die Erfüllung der Anforderungen in Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 ermöglichen.
(10) In den im Anhang dieses Beschlusses aufgeführten Standardvertragsklauseln werden allgemeine Klauseln mit einem modularen Ansatz kombiniert, um verschiedenen Datenübermittlungsszenarien und der Komplexität moderner Verarbeitungsketten Rechnung zu tragen. Zusätzlich zu den allgemeinen Klauseln sollten Verantwortliche und Auftragsverarbeiter das für ihre Situation geltende Modul auswählen; auf diese Weise können sie ihre Pflichten
(5) Entscheidung 2001/497/EG der Kommission vom 15. Juni 2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG (ABl. L 181 vom 4.7.2001, S. 19).
(6) Beschluss 2010/87/EU der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates (ABl. L 39 vom 12.2.2010, S. 5).
(7) Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31).
(8) Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39); siehe Erwägungsgrund 5.
(9) C(2021) 3701.
7.6.2021 Amtsblatt der Europäischen Union L 199/33
DE
gemäß den Standardvertragsklauseln auf ihre jeweilige Rolle und jeweiligen Verantwortlichkeiten hinsichtlich der betreffenden Datenverarbeitung zuschneiden. Mehr als zwei Parteien sollten sich an die Standardvertragsklauseln halten können. Darüber hinaus sollten weitere Verantwortliche und Auftragsverarbeiter den Standardvertrags klauseln während der gesamten Laufzeit des Vertrags, der diese Klauseln als Bestandteile enthält, als Datenexporteure oder Datenimporteure beitreten dürfen.
(11) Um geeignete Garantien zu bieten, sollten die Standardvertragsklauseln gewährleisten, dass für die auf dieser Grundlage übermittelten personenbezogenen Daten ein Schutzniveau besteht, das dem in der Union garantierten Schutzniveau der Sache nach gleichwertig ist (10). Um die Transparenz der Verarbeitung zu gewährleisten, sollten die betroffenen Personen eine Kopie der Standardvertragsklauseln erhalten und insbesondere über die Kategorien der verarbeiteten personenbezogenen Daten, das Recht auf Erhalt einer Kopie der Standardvertragsklauseln und jede Weiterübermittlung informiert werden. Weiterübermittlungen durch den Datenimporteur an einen Dritten in einem anderen Drittland sollten nur zulässig sein, wenn dieser Dritte den Standardvertragsklauseln beitritt oder wenn der Fortbestand des Schutzes auf andere Weise gewährleistet ist, oder in bestimmten Situationen, zum Beispiel auf der
Grundlage der ausdrücklichen Zustimmung der betroffenen Person nach Inkenntnissetzung.
(12) Von einigen Ausnahmen abgesehen, insbesondere in Bezug auf bestimmte Pflichten, die ausschließlich die Beziehung zwischen dem Datenexporteur und dem Datenimporteur betreffen, sollten betroffene Personen die Standardvert ragsklauseln als Drittbegünstigte geltend machen und erforderlichenfalls durchsetzen können. Daher sollten die Parteien zwar die Möglichkeit haben, das Recht eines der Mitgliedstaaten als geltendes Recht für die Standardvert ragsklauseln zu wählen, doch müssen in diesem Recht Rechte als Drittbegünstigte zulässig sein. Zur Erleichterung des individuellen Rechtsbehelfs sollte der Datenimporteur durch die Standardvertragsklauseln verpflichtet werden, den betroffenen Personen eine Anlaufstelle mitzuteilen und Beschwerden oder Anträge unverzüglich zu bearbeiten. Bei Streitigkeiten zwischen dem Datenimporteur und einer betroffenen Person, die ihre Rechte als Drittbegünstigte geltend macht, sollte die betroffene Person in der Lage sein, bei der zuständigen Aufsichtsbehörde Beschwerde einzulegen oder die Streitigkeit an die zuständigen Gerichte in der EU zu verweisen.
(13) Um eine wirksame Durchsetzung zu gewährleisten, sollte sich der Datenimporteur der Zuständigkeit der betreffenden Behörde und Gerichte unterwerfen und sich zur Befolgung der verbindlichen Entscheidungen nach dem geltenden Recht des Mitgliedstaats verpflichten müssen. Insbesondere sollte sich der Datenimporteur damit einverstanden erklären, Anfragen zu beantworten, sich Prüfungen zu unterziehen und den von der Aufsichtsbehörde getroffenen Maßnahmen, darunter auch Abhilfemaßnahmen und Ausgleichsmaßnahmen, nachzukommen. Darüber hinaus sollte der Datenimporteur die Möglichkeit haben, betroffenen Personen anzubieten, sich an eine unabhängige Streitbeilegungsstelle zu wenden, ohne dass ihnen Kosten entstehen. Im Einklang mit Artikel 80 Absatz 1 der Verordnung (EU) 2016/679 sollte es betroffenen Personen gestattet sein, sich bei Streitigkeiten mit dem Datenimporteur durch Vereinigungen oder andere Einrichtungen vertreten zu lassen, wenn sie dies wünschen.
(14) Die Standardvertragsklauseln sollten Vorschriften über die Haftung zwischen den Parteien und in Bezug auf betroffene Personen sowie Entschädigungsregelungen zwischen den Parteien vorsehen. Wenn der betroffenen Person infolge einer Verletzung der ihr nach den Standardvertragsklauseln zugestandenen Rechte als Drittbegünstigte ein materieller oder immaterieller Schaden entsteht, sollte sie Anspruch auf Entschädigung haben. Eine etwaige Haftung gemäß der Verordnung (EU) 2016/679 sollte davon unberührt bleiben.
(15) Im Falle einer Datenübermittlung an einen Datenimporteur, der als Auftragsverarbeiter oder Unterauftragsver arbeiter fungiert, sollten gemäß Artikel 28 Absatz 3 der Verordnung (EU) 2016/679 spezielle Anforderungen gelten. In den Standardvertragsklauseln sollte vorgesehen werden, den Datenimporteur dazu zu verpflichten, alle erforderlichen Informationen zum Nachweis der Einhaltung der in den Klauseln festgelegten Pflichten zur Verfügung zu stellen und dem Datenexporteur die Prüfung seiner Verarbeitungstätigkeiten zu ermöglichen und zu einer solchen Prüfung beizutragen. Im Hinblick auf die Beauftragung eines Unterauftragsverarbeiters durch den Datenimporteur gemäß Artikel 28 Absätze 2 und 4 der Verordnung (EU) 2016/679 sollten in den Standardvertrags
klauseln speziell das Verfahren für die allgemeine oder gesonderte Genehmigung seitens des Datenexporteurs sowie die Anforderung festgelegt werden, dass ein schriftlicher Vertrag mit dem Unterauftragsverarbeiter zu schließen ist, der das gleiche Schutzniveau wie die Klauseln gewährleistet.
(16) Es ist angebracht, in den Standardvertragsklauseln unterschiedliche Garantien vorzusehen, die den spezifischen Fall abdecken, dass ein in der Union ansässiger Auftragsverarbeiter personenbezogene Daten an seinen in einem Drittland ansässigen Verantwortlichen übermittelt, und die die begrenzten eigenständigen Pflichten der Auftragsver arbeiter gemäß der Verordnung (EU) 2016/679 widerspiegeln. Insbesondere sollte der Auftragsverarbeiter gemäß den Standardvertragsklauseln verpflichtet sein, den Verantwortlichen zu informieren, wenn er dessen Anweisungen nicht befolgen kann, einschließlich in dem Fall, wenn diese Anweisungen gegen das Datenschutzrecht der Union verstoßen; außerdem sollten die Standardvertragsklauseln den Verantwortlichen verpflichten, alle Handlungen zu unterlassen, die den Auftragsverarbeiter daran hindern würden, seinen Pflichten gemäß der Verordnung (EU) 2016/679 nachzukommen. Ferner sollten die Parteien durch die Klauseln verpflichtet werden, sich gegenseitig bei
der Beantwortung von Anfragen und Anträgen zu unterstützen, die von betroffenen Personen gemäß den für den Datenimporteur geltenden lokalen Rechtsvorschriften oder — bei der Datenverarbeitung in der Union — gemäß der
(10) Schrems II, Rn. 96 und 103. Siehe auch Verordnung (EU) 2016/679, Erwägungsgründe 108 und 114. L 199/34 Amtsblatt der Europäischen Union 7.6.2021
DE
Verordnung (EU) 2016/679 gestellt werden. Zusätzliche Anforderungen sollten gelten, um etwaige Auswirkungen der Rechtsvorschriften des Bestimmungsdrittlandes auf die Einhaltung der Klauseln durch den Verantwortlichen zu berücksichtigen, insbesondere in Bezug auf den Umgang mit bindenden Ersuchen von Behörden im Drittland um Offenlegung der übermittelten personenbezogenen Daten, wenn der in der Union ansässige Auftragsverarbeiter die von dem im Drittland ansässigen Verantwortlichen
erhaltenen personenbezogenen Daten mit personenbezogenen Daten kombiniert, die vom Auftragsverarbeiter in der Union erhoben wurden. Dagegen sind solche Anforderungen nicht gerechtfertigt, wenn die Auslagerung lediglich die Verarbeitung und die Rückübertragung der vom Verantwortlichen erhaltenen personenbezogener Daten umfasst und der Verantwortliche in jedem Fall der Gerichtsbarkeit des betreffenden Drittlandes unterliegt und weiterhin unterliegen wird.
(17) Die Parteien sollten in der Lage sein, die Einhaltung der Standardvertragsklauseln nachzuweisen. Insbesondere sollte der Datenimporteur verpflichtet sein, geeignete Nachweise für die unter seiner Verantwortung durchgeführten Verarbeitungstätigkeiten aufzubewahren und den Datenexporteur unverzüglich in Kenntnis zu setzen, wenn er aus welchen Gründen auch immer nicht in der Lage ist, die Klauseln einzuhalten. Der Datenexporteur sollte seinerseits die Datenübermittlung aussetzen und in besonders schweren Fällen das Recht haben, den Vertrag zu kündigen, soweit es um die Verarbeitung personenbezogener Daten gemäß Standardvertragsklauseln geht, wenn der Datenimporteur gegen die Standardvertragsklauseln verstößt oder diese nicht einhalten kann. Wenn sich lokale Rechtsvorschriften auf die Einhaltung der Klauseln auswirken, sollten besondere Vorschriften gelten. Personenbezogene Daten, die vor Beendigung des Vertrags übermittelt wurden, sowie Kopien davon sollten nach Wahl des Datenexporteurs an diesen zurückgegeben oder vollständig vernichtet werden.
(18) Die Standardvertragsklauseln sollten — insbesondere im Lichte der Rechtsprechung des Gerichtshofs (11) — spezifische Garantien vorsehen, um etwaige Auswirkungen der Rechtsvorschriften des Bestimmungsdrittlandes auf die Einhaltung der Klauseln durch den Datenimporteur zu berücksichtigen, speziell in Bezug auf den Umgang mit bindenden Ersuchen von Behörden in diesem Land um Offenlegung der übermittelten personenbezogenen Daten.
(19) Die Übermittlung und Verarbeitung personenbezogener Daten im Rahmen von Standardvertragsklauseln sollten nicht erfolgen, wenn die Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes den Datenimporteur an der Einhaltung der Klauseln hindern. In diesem Zusammenhang sollten Rechtsvorschriften und Gepflogenheiten, die den Wesensgehalt der Grundrechte und Grundfreiheiten achten und nicht über Maßnahmen hinausgehen, die in einer demokratischen Gesellschaft notwendig und verhältnismäßig sind, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele sicherzustellen, nicht als im Widerspruch zu den Standardvertrags klauseln stehend betrachtet werden. Die Parteien sollten zusichern, dass sie zum Zeitpunkt der Zustimmung zu den Standardvertragsklauseln keinen Grund zu der Annahme haben, dass die für den
Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten diesen Anforderungen nicht entsprechen.
(20) Die Partien sollten insbesondere den besonderen Umständen der Übermittlung (wie Inhalt und Dauer des Vertrags, Art der zu übermittelnden Daten, Art des Empfängers, Zweck der Verarbeitung), den Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes, die angesichts der Umstände der Übermittlung relevant sind, und etwaigen Garantien zur Ergänzung der Garantien gemäß den Standardvertragsklauseln (einschließlich der einschlägigen vertraglichen, technischen und organisatorischen Maßnahmen, die für die Übermittlung und die Verarbeitung der personenbezogenen Daten im Bestimmungsland gelten) Rechnung tragen. Was die Auswirkungen solcher Rechtsvorschriften und Gepflogenheiten auf die Einhaltung der Standardvertragsklauseln betrifft, so können im Rahmen einer Gesamtbeurteilung verschiedene Aspekte betrachtet werden, darunter zuverlässige Informationen über die Anwendung der Rechtsvorschriften in der Praxis (z. B. Rechtsprechung und Berichte unabhängiger
Aufsichtsgremien), das Vorliegen oder Nichtvorliegen von Anträgen innerhalb desselben Sektors und, unter strengen Voraussetzungen, die dokumentierte praktische Erfahrung des Datenexporteurs und Datenimporteurs.
(21) Der Datenimporteur sollte den Datenexporteur darüber informieren, wenn er nach Zustimmung zu den Standardvertragsklauseln Grund zu der Annahme hat, dass er nicht in der Lage ist, die Standardvertragsklauseln einzuhalten. Erhält der Datenexporteur eine solche Mitteilung oder erhält er auf andere Weise Kenntnis davon, dass der Datenimporteur nicht mehr in der Lage ist, die Standardvertragsklauseln einzuhalten, sollte er geeignete Abhilfemaßnahmen ermitteln, erforderlichenfalls in Abstimmung mit der zuständigen Aufsichtsbehörde. Diese Maßnahmen können ergänzende Maßnahmen des Datenexporteurs und/oder des Datenimporteurs umfassen, zum Beispiel technische oder organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit. Der Datenexporteur sollte verpflichtet werden, die Datenübermittlung auszusetzen, wenn er der Auffassung ist, dass keine angemessenen Garantien gewährleistet werden können, oder wenn er von der zuständigen Aufsichtsbehörde dazu angewiesen wird.
(11) Schrems II.
7.6.2021 Amtsblatt der Europäischen Union L 199/35
DE
(22) Soweit möglich, sollte der Datenimporteur den Datenexporteur und die betroffene Person benachrichtigen, wenn er von einer Behörde (auch einer Justizbehörde) ein nach dem Recht des Bestimmungslandes rechtlich bindendes Ersuchen um Offenlegung personenbezogener Daten erhält, die gemäß den Standardvertragsklauseln übermittelt wurden. Gleichermaßen sollte der Datenimporteur den Datenexporteur und die betroffene Person benachrichtigen, wenn er davon Kenntnis erhält, dass eine Behörde nach dem Recht des Bestimmungsdrittlandes direkten Zugang zu diesen personenbezogenen Daten hat. Ist der Datenimporteur trotz aller Anstrengungen nicht in der Lage, den Datenexporteur und/oder die betroffene Person über spezifische Offenlegungsersuchen zu informieren, sollte er dem Datenexporteur möglichst viele sachdienliche Informationen über die eingegangenen Ersuchen zur Verfügung stellen. Darüber hinaus sollte der Datenimporteur dem Datenexporteur in regelmäßigen Abständen aggregierte Informationen bereitstellen. Der Datenimporteur sollte außerdem verpflichtet sein, alle eingegangenen Offenlegungsersuchen und die übermittelten Antworten zu dokumentieren und diese Informationen dem Datenexporteur oder der zuständigen Aufsichtsbehörde oder beiden auf Verlangen zur Verfügung zu stellen. Kommt der Datenimporteur nach einer Prüfung der Rechtmäßigkeit eines solchen Ersuchens nach den Rechtsvor schriften des Bestimmungslandes zu dem Schluss, dass hinreichende Gründe für die Annahme bestehen, dass der Antrag nach den Rechtsvorschriften des Bestimmungsdrittlandes rechtswidrig ist, sollte er das Ersuchen anfechten und gegebenenfalls die verfügbaren Rechtsmittel ausschöpfen. Ist der Datenimporteur nicht mehr in der Lage, die
Standardvertragsklauseln einzuhalten, sollte er den Datenexporteur in jedem Fall entsprechend informieren, auch dann, wenn dies die Folge eines Offenlegungsersuchens ist.
(23) Da sich die Bedürfnisse der Interessenträger, die Technologie und die Verarbeitungsvorgänge ändern können, sollte die Kommission im Rahmen der nach Artikel 97 der Verordnung (EU) 2016/679
erforderlichen regelmäßigen Bewertung dieser Verordnung die Funktion der Standardvertragsklauseln vor dem Hintergrund der gesammelten Erfahrungen prüfen.
(24) Die Entscheidung 2001/497/EG und der Beschluss 2010/87/EU sollten drei Monate nach Inkrafttreten des vorliegenden Beschlusses aufgehoben werden. Allerdings sollten die Datenexporteure und Datenimporteure innerhalb dieses Zeitraums die Standardvertragsklauseln der Entscheidung 2001/497/EG und des Beschlusses 2010/87/EU für die Zwecke des Artikels 46 Absatz 1 der Verordnung (EU) 2016/679 weiterhin verwenden können. Für einen weiteren Zeitraum von 15 Monaten sollten sich Datenexporteure und Datenimporteure für die Zwecke des Artikels 46 Absatz 1 der Verordnung (EU) 2016/679 weiterhin auf die Standardvertragsklauseln der Entscheidung 2001/497/EG und des Beschlusses 2010/87/EU stützen können, um vor dem Datum der Aufhebung dieser Entscheidung und dieses Beschlusses zwischen ihnen geschlossene Verträge zu erfüllen, sofern die Verarbeitungs vorgänge, die Gegenstand des Vertrags sind, unverändert bleiben und die Anwendung der Klauseln gewährleistet, dass die Übermittlung personenbezogener Daten geeigneten Garantien im Sinne des Artikels 46 Absatz 1 der Verordnung (EU) 2016/679 unterliegt. Im Falle relevanter Vertragsänderungen sollte der Datenexporteur verpflichtet sein, sich auf einen neuen Grund für Datenübermittlungen im Rahmen des Vertrags zu stützen, insbesondere indem er die bestehenden Standardvertragsklauseln durch die im Anhang des vorliegenden Beschlusses aufgeführten Standardvertragsklauseln ersetzt. Gleiches sollte für jede Unterauftragsvergabe von
Verarbeitungsvorgängen, die Gegenstand des Vertrags sind, an einen (Unter-)Auftragsverarbeiter gelten.
(25) Gemäß Artikel 42 Absätze 1 und 2 der Verordnung (EU) 2018/1725 wurden der Europäische Datenschutzbe auftragte und der Europäische Datenschutzausschuss konsultiert; diese haben am 14. Januar 2021 eine gemeinsame Stellungnahme (12) abgegeben, die bei der Ausarbeitung des vorliegenden Beschlusses berücksichtigt wurde.
(26) Die in diesem Beschluss vorgesehenen Maßnahmen stehen im Einklang mit der Stellungnahme des gemäß Artikel 93 der Verordnung (EU) 2016/679 eingesetzten Ausschusses —
HAT FOLGENDEN BESCHLUSS ERLASSEN:
Artikel 1
(1) Die im Anhang aufgeführten Standardvertragsklauseln gelten als geeignete Garantien im Sinne des Artikels 46 Absatz 1 und des Artikels 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 für die Übermittlung von gemäß dieser Verordnung verarbeiteten personenbezogenen Daten durch einen Verantwortlichen oder einen Auftragsverarbeiter (Datenexporteur) an einen Verantwortlichen oder einen (Unter-)Auftragsverarbeiter, dessen Verarbeitung der Daten nicht dieser Verordnung unterliegt (Datenimporteur).
(2) In den Standardvertragsklauseln sind auch die Rechte und Pflichten der Verantwortlichen und der Auftragsver arbeiter in Bezug auf die in Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 genannten Fragen im Hinblick auf die Übermittlung personenbezogener Daten von einem Verantwortlichen an einen Auftragsverarbeiter oder von einem Auftragsverarbeiter an einen Unterauftragsverarbeiter festgelegt.
(12) Gemeinsame Stellungnahme 2/2021 des EDSA und des EDSB zum Durchführungsbeschluss der Europäischen Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer für die in Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 genannten Angelegenheiten.
L 199/36 Amtsblatt der Europäischen Union 7.6.2021
DE
Artikel 2
Wenn die zuständigen Behörden der Mitgliedstaaten ihre Abhilfebefugnisse gemäß Artikel 58 der Verordnung (EU) 2016/679 ausüben, weil in den Rechtsvorschriften oder in der Praxis des Bestimmungsdrittlands Bestimmungen gelten oder gelten werden, die den Datenimporteur daran hindern, die im Anhang aufgeführten Standardvertragsklauseln einzuhalten — was zur Aussetzung oder Untersagung von Datenübermittlungen an Drittländer führt —, so unterrichtet der betreffende Mitgliedstaat unverzüglich die Kommission, die die Informationen an die anderen Mitgliedstaaten weiterleitet.
Artikel 3
Die Kommission prüft die praktische Anwendung der im Anhang aufgeführten Standardvertragsklauseln auf der Grundlage aller verfügbaren Informationen im Rahmen der gemäß Artikel 97 der Verordnung (EU) 2016/679 erforderlichen regelmäßigen Bewertung.
Artikel 4
(1) Dieser Beschluss tritt am zwanzigsten Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. (2) Die Entscheidung 2001/497/EG wird mit Wirkung vom 27. September 2021 aufgehoben.
(3) Der Beschluss 2010/87/EU wird mit Wirkung vom 27. September 2021 aufgehoben.
(4) In Bezug auf Verträge, die vor dem 27. September 2021 auf Grundlage der Entscheidung 2001/497/EG oder des Beschlusses 2010/87/EU geschlossen wurden, wird davon ausgegangen, dass sie geeignete Garantien im Sinne des Artikels 46 Absatz 1 der Verordnung (EU) 2016/679 bis zum 27. Dezember 2022 bieten, sofern die Verarbeitungs vorgänge, die Gegenstand des Vertrags sind, unverändert bleiben und die Anwendung dieser Klauseln gewährleistet, dass die Übermittlung personenbezogener Daten geeigneten Garantien unterliegt.
Brüssel, den 4. Juni 2021
Für die Kommission
Die Präsidentin
Ursula VON DER LEYEN
7.6.2021 Amtsblatt der Europäischen Union L 199/37
DE
ANHANG
STANDARDVERTRAGSKLAUSELN
ABSCHNITT I
Klausel 1
Zweck und Anwendungsbereich
a) Mit diesen Standardvertragsklauseln soll sichergestellt werden, dass die Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz Grundverordnung) (1) bei der Übermittlung personenbezogener Daten an ein Drittland eingehalten werden.
b) Die Parteien:
i) die in Anhang I.A aufgeführte(n) natürliche(n) oder juristische(n) Person(en), Behörde(n), Agentur(en) oder sonstige(n) Stelle(n) (im Folgenden „Einrichtung(en)“), die die personenbezogenen Daten übermittelt/n (im Folgenden jeweils „Datenexporteur“), und
ii) die in Anhang I.A aufgeführte(n) Einrichtung(en) in einem Drittland, die die personenbezogenen Daten direkt oder indirekt über eine andere Einrichtung, die ebenfalls Partei dieser Klauseln ist, erhält/erhalten (im Folgenden jeweils „Datenimporteur“),
haben sich mit diesen Standardvertragsklauseln (im Folgenden „Klauseln“) einverstanden erklärt. c) Diese Klauseln gelten für die Übermittlung personenbezogener Daten gemäß Anhang I.B. d) Die Anlage zu diesen Klauseln mit den darin enthaltenen Anhängen ist Bestandteil dieser Klauseln. Klausel 2
Wirkung und Unabänderbarkeit der Klauseln
a) Diese Klauseln enthalten geeignete Garantien, einschließlich durchsetzbarer Rechte betroffener Personen und wirksamer Rechtsbehelfe gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 sowie — in Bezug auf Datenübermittlungen von Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsver arbeitern an Auftragsverarbeiter — Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679, sofern diese nicht geändert werden, mit Ausnahme der Auswahl des entsprechenden Moduls oder der entsprechenden Module oder der Ergänzung oder Aktualisierung von Informationen in der Anlage. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und/oder weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu diesen Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.
b) Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Datenexporteur gemäß der Verordnung (EU) 2016/679 unterliegt.
Klausel 3
Drittbegünstigte
a) Betroffene Personen können diese Klauseln als Drittbegünstigte gegenüber dem Datenexporteur und/oder dem Datenimporteur geltend machen und durchsetzen, mit folgenden Ausnahmen:
i) Klausel 1, Klausel 2, Klausel 3, Klausel 6, Klausel 7
(1) Handelt es sich bei dem Datenexporteur um einen Auftragsverarbeiter, der der Verordnung (EU) 2016/679 unterliegt und der im Auftrag eines Organs oder einer Einrichtung der Union als Verantwortlicher handelt, so gewährleistet der Rückgriff auf diese Klauseln bei der Beauftragung eines anderen Auftragsverarbeiters (Unterauftragsverarbeitung), der nicht unter die Verordnung (EU) 2016/679 fällt, ebenfalls die Einhaltung von Artikel 29 Absatz 4 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39), insofern als diese Klauseln und die gemäß Artikel 29
Absatz 3 der Verordnung (EU) 2018/1725 im Vertrag oder in einem anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter festgelegten Datenschutzpflichten angeglichen sind. Dies ist insbesondere dann der Fall, wenn sich der Verantwortliche und der Auftragsverarbeiter auf die im Beschluss 2021/915 enthaltenen Standardvertragsklauseln stützen.
L 199/38 Amtsblatt der Europäischen Union 7.6.2021
DE
ii) Klausel 8 — Modul eins: Klausel 8.5 Buchstabe e und Klausel 8.9 Buchstabe b Modul zwei: Klausel 8.1 Buchstabe b, Klausel 8.9 Buchstaben a, c, d und e Modul drei: Klausel 8.1 Buchstaben a, c und d und Klausel 8.9 Buchstaben a, c, d, e, f und g Modul vier: Klausel 8.1 Buchstabe b und Klausel 8.3 Buchstabe b
iii) Klausel 9 — Modul zwei: Klausel 9 Buchstaben a, c, d und e Modul drei: Klausel 9 Buchstaben a, c, d und e iv) Klausel 12 — Modul eins: Klausel 12 Buchstaben a und d Module zwei und drei: Klausel 12 Buchstaben a, d und f v) Klausel 13
vi) Klausel 15.1 Buchstaben c, d und e
vii) Klausel 16 Buchstabe e
viii) Klausel 18 — Module eins, zwei und drei Klausel 18 Buchstaben a und b Modul vier: Klausel 18
b) Die Rechte betroffener Personen gemäß der Verordnung (EU) 2016/679 bleiben von Buchstabe a unberührt.
Klausel 4
Auslegung
a) Werden in diesen Klauseln in der Verordnung (EU) 2016/679 definierte Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in dieser Verordnung.
b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 auszulegen.
c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die mit den in der Verordnung (EU) 2016/679 vorgesehenen Rechten und Pflichten im Widerspruch steht.
Klausel 5
Vorrang
Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen von damit zusammenhängenden Vereinbarungen zwischen den Parteien, die zu dem Zeitpunkt bestehen, zu dem diese Klauseln vereinbart oder eingegangen werden, haben diese Klauseln Vorrang.
Klausel 6
Beschreibung der Datenübermittlung(en)
Die Einzelheiten der Datenübermittlung(en), insbesondere die Kategorien der übermittelten personenbezogenen Daten und der/die Zweck(e), zu dem/denen sie übermittelt werden, sind in Anhang I.B aufgeführt.
Klausel 7 — fakultativ
Kopplungsklausel
a) Eine Einrichtung, die nicht Partei dieser Klauseln ist, kann diesen Klauseln mit Zustimmung der Parteien jederzeit entweder als Datenexporteur oder als Datenimporteur beitreten, indem sie die Anlage ausfüllt und Anhang I.A unterzeichnet.
b) Nach Ausfüllen der Anlage und Unterzeichnung von Anhang I.A wird die beitretende Einrichtung Partei dieser Klauseln und hat die Rechte und Pflichten eines Datenexporteurs oder eines Datenimporteurs entsprechend ihrer Bezeichnung in Anhang I.A.
c) Für den Zeitraum vor ihrem Beitritt als Partei erwachsen der beitretenden Einrichtung keine Rechte oder Pflichten aus diesen Klauseln.
7.6.2021 Amtsblatt der Europäischen Union L 199/39
DE
ABSCHNITT II — PFLICHTEN DER PARTEIEN
Klausel 8
Datenschutzgarantien
Der Datenexporteur versichert, sich im Rahmen des Zumutbaren davon überzeugt zu haben, dass der Datenimporteur — durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen — in der Lage ist, seinen Pflichten aus diesen Klauseln nachzukommen.
MODUL EINS: Übermittlung von Verantwortlichen an Verantwortliche
8.1. Zweckbindung
Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den/die in Anhang I.B genannten spezifischen Zweck(e) der Übermittlung. Er darf die personenbezogenen Daten nur dann für einen anderen Zweck verarbeiten,
i) wenn er die vorherige Einwilligung der betroffenen Person eingeholt hat,
ii) wenn dies zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit bestimmten Verwaltungs-, Gerichts- oder regulatorischen Verfahren erforderlich ist oder
iii) wenn dies zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ist.
8.2. Transparenz
a) Damit betroffene Personen ihre Rechte gemäß Klausel 10 wirksam ausüben können, teilt der Datenimporteur ihnen entweder direkt oder über den Datenexporteur Folgendes mit:
i) seinen Namen und seine Kontaktdaten,
ii) die Kategorien der verarbeiteten personenbezogenen Daten,
iii) das Recht auf Erhalt einer Kopie dieser Klauseln,
iv) wenn er eine Weiterübermittlung der personenbezogenen Daten an Dritte beabsichtigt, den Empfänger oder die Kategorien von Empfängern (je nach Bedarf zur Bereitstellung aussagekräftiger Informationen), den Zweck und den Grund einer solchen Weiterübermittlung gemäß Klausel 8.7.
b) Buchstabe a findet keine Anwendung, wenn die betroffene Person bereits über die Informationen verfügt, einschließlich in dem Fall, wenn diese Informationen bereits vom Datenexporteur bereitgestellt wurden, oder wenn sich die Bereitstellung der Informationen als nicht möglich erweist oder einen unverhältnismäßigen Aufwand für den Datenimporteur mit sich bringen würde. Im letzteren Fall macht der Datenimporteur die Informationen, soweit möglich, öffentlich zugänglich.
c) Die Parteien stellen der betroffenen Person auf Anfrage eine Kopie dieser Klauseln, einschließlich der von ihnen ausgefüllten Anlage, unentgeltlich zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, notwendig ist, können die Parteien Teile des Textes der Anlage vor der Weitergabe einer Kopie unkenntlich machen; sie legen jedoch eine aussagekräftige Zusammenfassung vor, wenn die betroffene Person andernfalls den Inhalt der Anlage nicht verstehen würde oder ihre Rechte nicht ausüben könnte. Auf Anfrage teilen die Parteien der betroffenen Person die Gründe für die Schwärzungen so weit wie möglich mit, ohne die geschwärzten Informationen offenzulegen.
d) Die Buchstaben a bis c gelten unbeschadet der Pflichten des Datenexporteurs gemäß den Artikeln 13 und 14 der Verordnung (EU) 2016/679.
8.3. Richtigkeit und Datenminimierung
a) Jede Partei stellt sicher, dass die personenbezogenen Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sind. Der Datenimporteur trifft alle angemessenen Maßnahmen, um sicherzustellen, dass personenbezogene Daten, die im Hinblick auf den/die Zweck(e) der Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.
b) Stellt eine der Parteien fest, dass die von ihr übermittelten oder erhaltenen personenbezogenen Daten unrichtig oder veraltet sind, unterrichtet sie unverzüglich die andere Partei.
c) Der Datenimporteur stellt sicher, dass die personenbezogenen Daten angemessen und erheblich sowie auf das für den/die Zweck(e) ihrer Verarbeitung notwendige Maß beschränkt sind.
L 199/40 Amtsblatt der Europäischen Union 7.6.2021
DE
8.4. Speicherbegrenzung
Der Datenimporteur speichert die personenbezogenen Daten nur so lange, wie es für den/die Zweck(e), für den/die sie verarbeitet werden, erforderlich ist. Er trifft geeignete technische oder organisatorische Maßnahmen, um die Einhaltung dieser Verpflichtung sicherzustellen; hierzu zählen auch die Löschung oder Anonymisierung (2) der Daten und aller Sicherungskopien am Ende der Speicherfrist.
8.5. Sicherheit der Verarbeitung
a) Der Datenimporteur und — während der Datenübermittlung — auch der Datenexporteur treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten, einschließlich des Schutzes vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den personenbezogenen Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen sie dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und dem/den Zweck(en) der Verarbeitung sowie den mit der Verarbeitung
verbundenen Risiken für die betroffene Person gebührend Rechnung. Die Parteien ziehen insbesondere eine Verschlüsselung oder Pseudonymisierung, auch während der Datenübermittlung, in Betracht, wenn dadurch der Verarbeitungszweck erfüllt werden kann.
b) Die Parteien haben sich auf die in Anhang II aufgeführten technischen und organisatorischen Maßnahmen geeinigt. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Schutzniveau bieten.
c) Der Datenimporteur gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
d) Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Datenimporteur gemäß diesen Klauseln ergreift der Datenimporteur geeignete Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
e) Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, meldet der Datenimporteur die Verletzung unverzüglich sowohl dem Datenexporteur als auch der gemäß Klausel 13 festgelegten zuständigen Aufsichtsbehörde. Diese Meldung enthält i) eine Beschreibung der Art der Verletzung (soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen personenbezogenen Datensätze), ii) ihre wahrscheinlichen Folgen, iii) die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und iv) die Kontaktdaten einer Anlaufstelle, bei der weitere Informationen eingeholt werden können. Soweit es dem Datenimporteur nicht möglich ist, alle Informationen zur gleichen Zeit bereitzustellen, kann er diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen.
f) Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Datenimporteur ebenfalls die jeweiligen betroffenen Personen unverzüglich von der Verletzung des Schutzes personenbezogener Daten und der Art der Verletzung, erforderlichenfalls in Zusammenarbeit mit dem Datenexporteur, unter Angabe der unter Buchstabe e Ziffern ii bis iv genannten Informationen, es sei denn, der Datenimporteur hat Maßnahmen ergriffen, um das Risiko für die Rechte oder Freiheiten natürlicher Personen erheblich zu mindern, oder die Benachrichtigung wäre mit einem unverhältnismäßigen Aufwand verbunden. Im letzteren Fall gibt der Datenimporteur stattdessen eine öffentliche Bekanntmachung heraus oder ergreift eine vergleichbare Maßnahme, um die Öffentlichkeit über die Verletzung des Schutzes personenbezogener Daten zu informieren.
g) Der Datenimporteur dokumentiert alle maßgeblichen Fakten im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten, einschließlich ihrer Auswirkungen und etwaiger ergriffener Abhilfemaßnahmen, und führt Aufzeichnungen darüber.
8.6. Sensible Daten
Sofern die Übermittlung personenbezogene Daten umfasst, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen oder Straftaten enthalten (im Folgenden „sensible Daten“), wendet der Datenimporteur spezielle Beschränkungen und/oder zusätzliche Garantien an, die an die spezifische Art der Daten und die damit verbundenen Risiken angepasst sind. Dies kann die Beschränkung des Personals, das Zugriff auf die
personenbezogenen Daten hat, zusätzliche Sicherheitsmaßnahmen (wie Pseudonymisierung) und/oder zusätzliche Beschränkungen in Bezug auf die weitere Offenlegung umfassen.
(2) Die Daten müssen in einer Weise anonymisiert werden, dass eine Person im Einklang mit Erwägungsgrund 26 der Verordnung (EU) 2016/679 nicht mehr identifizierbar ist; außerdem muss dieser Vorgang unumkehrbar sein.
7.6.2021 Amtsblatt der Europäischen Union L 199/41
DE
8.7. Weiterübermittlungen
Der Datenimporteur darf die personenbezogenen Daten nicht an Dritte weitergeben, die (in demselben Land wie der Datenimporteur oder in einem anderen Drittland) außerhalb der Europäischen Union (3) ansässig sind (im Folgenden „Weiterübermittlung“), es sei denn, der Dritte ist im Rahmen des betreffenden Moduls an diese Klauseln gebunden oder erklärt sich mit der Bindung daran einverstanden. Andernfalls ist eine Weiterübermittlung durch den Datenimporteur nur in folgenden Fällen zulässig:
i) Sie erfolgt an ein Land, für das ein Angemessenheitsbeschluss nach Artikel 45 der Verordnung (EU) 2016/679 gilt, der die Weiterübermittlung abdeckt,
ii) der Dritte gewährleistet auf andere Weise geeignete Garantien gemäß Artikel 46 oder Artikel 47 der Verordnung (EU) 2016/679 im Hinblick auf die betreffende Verarbeitung,
iii) der Dritte geht mit dem Datenimporteur ein bindendes Instrument ein, mit dem das gleiche Datenschutzniveau wie gemäß diesen Klauseln gewährleistet wird, und der Datenimporteur stellt dem Datenexporteur eine Kopie dieser Garantien zur Verfügung,
iv) die Weiterübermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit bestimmten Verwaltungs-, Gerichts- oder regulatorischen Verfahren erforderlich,
v) die Weiterübermittlung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen, oder
vi) – falls keine der anderen Bedingungen erfüllt ist — der Datenimporteur hat die ausdrückliche Einwilligung der betroffenen Person zu einer Weiterübermittlung in einem speziellen Fall eingeholt, nachdem er sie über den/die Zweck(e), die Identität des Empfängers und die ihr mangels geeigneter Datenschutzgarantien aus einer solchen Übermittlung möglicherweise erwachsenden Risiken informiert hat. In diesem Fall unterrichtet der Datenimporteur den Datenexporteur und übermittelt ihm auf dessen Verlangen eine Kopie der Informationen, die der betroffenen Person bereitgestellt wurden.
Jede Weiterübermittlung erfolgt unter der Bedingung, dass der Datenimporteur alle anderen Garantien gemäß diesen Klauseln, insbesondere die Zweckbindung, einhält.
8.8. Verarbeitung unter der Aufsicht des Datenimporteurs
Der Datenimporteur stellt sicher, dass jede ihm unterstellte Person, einschließlich eines Auftragsverarbeiters, diese Daten ausschließlich auf der Grundlage seiner Weisungen verarbeitet.
8.9. Dokumentation und Einhaltung der Klauseln
a) Jede Partei muss nachweisen können, dass sie ihre Pflichten gemäß diesen Klauseln erfüllt. Insbesondere führt der Datenimporteur geeignete Aufzeichnungen über die unter seiner Verantwortung durchgeführten Verarbeitungs tätigkeiten.
b) Der Datenimporteur stellt der zuständigen Aufsichtsbehörde diese Aufzeichnungen auf Verlangen zur Verfügung.
MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
8.1. Weisungen
a) Der Datenimporteur verarbeitet die personenbezogenen Daten nur auf dokumentierte Weisung des Datenexporteurs. Der Datenexporteur kann solche Weisungen während der gesamten Vertragslaufzeit erteilen.
b) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er diese Weisungen nicht befolgen kann.
8.2. Zweckbindung
Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den/die in Anhang I.B genannten spezifischen Zweck(e), sofern keine weiteren Weisungen des Datenexporteurs bestehen.
(3) Das Abkommen über den Europäischen Wirtschaftsraum (EWR-Abkommen) regelt die Einbeziehung der drei EWR-Staaten Island, Liechtenstein und Norwegen in den Binnenmarkt der Europäischen Union. Das Datenschutzrecht der Union, darunter die Verordnung (EU) 2016/679, ist in das EWR-Abkommen einbezogen und wurde in Anhang XI aufgenommen. Daher gilt eine Weitergabe durch den Datenimporteur an einen im EWR ansässigen Dritten nicht als Weiterübermittlung im Sinne dieser Klauseln.
L 199/42 Amtsblatt der Europäischen Union 7.6.2021
DE
8.3. Transparenz
Auf Anfrage stellt der Datenexporteur der betroffenen Person eine Kopie dieser Klauseln, einschließlich der von den Parteien ausgefüllten Anlage, unentgeltlich zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich der in Anhang II beschriebenen Maßnahmen und personenbezogener Daten, notwendig ist, kann der Datenexporteur Teile des Textes der Anlage zu diesen Klauseln vor der Weitergabe einer Kopie unkenntlich machen; er legt jedoch eine aussagekräftige Zusammenfassung vor, wenn die betroffene Person andernfalls den Inhalt der Anlage nicht verstehen würde oder ihre Rechte nicht ausüben könnte. Auf Anfrage teilen die Parteien der betroffenen Person die Gründe für die Schwärzungen so weit wie möglich mit, ohne die geschwärzten Informationen offenzulegen. Diese Klausel gilt unbeschadet der Pflichten des Datenexporteurs gemäß den Artikeln 13 und 14 der Verordnung (EU) 2016/679.
8.4. Richtigkeit
Stellt der Datenimporteur fest, dass die erhaltenen personenbezogenen Daten unrichtig oder veraltet sind, unterrichtet er unverzüglich den Datenexporteur. In diesem Fall arbeitet der Datenimporteur mit dem Datenexporteur zusammen, um die Daten zu löschen oder zu berichtigen.
8.5. Dauer der Verarbeitung und Löschung oder Rückgabe der Daten
Die Daten werden vom Datenimporteur nur für die in Anhang I.B angegebene Dauer verarbeitet. Nach Wahl des Datenexporteurs löscht der Datenimporteur nach Beendigung der Erbringung der Datenverarbeitungsdienste alle im Auftrag des Datenexporteurs verarbeiteten personenbezogenen Daten und bescheinigt dem Datenexporteur, dass dies erfolgt ist, oder gibt dem Datenexporteur alle in seinem Auftrag verarbeiteten personenbezogenen Daten zurück und löscht bestehende Kopien. Bis zur Löschung oder Rückgabe der Daten stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Falls für den Datenimporteur lokale Rechtsvorschriften gelten, die ihm die Rückgabe oder Löschung der personenbezogenen Daten untersagen, sichert der Datenimporteur zu, dass er die Einhaltung dieser Klauseln auch weiterhin gewährleistet und diese Daten nur in dem Umfang und so lange verarbeitet, wie dies gemäß den betreffenden lokalen Rechtsvorschriften erforderlich ist. Dies gilt unbeschadet von Klausel 14, insbesondere der Pflicht des Datenimporteurs gemäß Klausel 14 Buchstabe e, den Datenexporteur
während der Vertragslaufzeit zu benachrichtigen, wenn er Grund zu der Annahme hat, dass für ihn Rechtsvor schriften oder Gepflogenheiten gelten oder gelten werden, die nicht mit den Anforderungen in Klausel 14 Buchstabe a im Einklang stehen.
8.6. Sicherheit der Verarbeitung
a) Der Datenimporteur und, während der Datenübermittlung, auch der Datenexporteur treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu diesen Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen die Parteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und dem/den Zweck(en) der Verarbeitung sowie den mit der Verarbeitung verbundenen Risiken für die betroffenen Personen gebührend Rechnung. Die Parteien ziehen insbesondere eine Verschlüsselung oder Pseudonymisierung, auch während der Datenübermittlung, in Betracht, wenn dadurch der
Verarbeitungszweck erfüllt werden kann. Im Falle einer Pseudonymisierung verbleiben die zusätzlichen Informationen, mit denen die personenbezogenen Daten einer speziellen betroffenen Person zugeordnet werden können, soweit möglich, unter der ausschließlichen Kontrolle des Datenexporteurs. Zur Erfüllung seinen Pflichten gemäß diesem Absatz setzt der Datenimporteur mindestens die in Anhang II aufgeführten technischen und organisatorischen Maßnahmen um. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Schutzniveau bieten.
b) Der Datenimporteur gewährt seinem Personal nur insoweit Zugang zu den personenbezogenen Daten, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Er gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
c) Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Datenimporteur gemäß diesen Klauseln ergreift der Datenimporteur geeignete Maßnahmen zur Behebung der Verletzung, darunter auch Maßnahmen zur Abmilderung ihrer nachteiligen Auswirkungen. Zudem meldet der Datenimporteur dem Datenexporteur die Verletzung unverzüglich, nachdem sie ihm bekannt wurde. Diese Meldung enthält die Kontaktdaten einer Anlaufstelle für weitere Informationen, eine Beschreibung der Art der Verletzung (soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen personenbezogenen Datensätze), die wahrscheinlichen Folgen der Verletzung und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung etwaiger nachteiliger Auswirkungen. Wenn und soweit nicht alle Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt.
7.6.2021 Amtsblatt der Europäischen Union L 199/43
DE
d) Unter Berücksichtigung der Art der Verarbeitung und der dem Datenimporteur zur Verfügung stehenden Informationen arbeitet der Datenimporteur mit dem Datenexporteur zusammen und unterstützt ihn dabei, seinen Pflichten gemäß der Verordnung (EU) 2016/679 nachzukommen, insbesondere die zuständige Aufsichtsbehörde und die betroffenen Personen zu benachrichtigen.
8.7. Sensible Daten
Soweit die Übermittlung personenbezogene Daten umfasst, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten“), wendet der Datenimporteur die in Anhang I.B beschriebenen speziellen Beschränkungen und/oder zusätzlichen Garantien an.
8.8. Weiterübermittlungen
Der Datenimporteur gibt die personenbezogenen Daten nur auf dokumentierte Weisung des Datenexporteurs an Dritte weiter. Die Daten dürfen zudem nur an Dritte weitergegeben werden, die (in demselben Land wie der Datenimporteur oder in einem anderen Drittland) außerhalb der Europäischen Union (4) ansässig sind (im Folgenden „Weiterübermittlung“), sofern der Dritte im Rahmen des betreffenden Moduls an diese Klauseln gebunden ist oder sich mit der Bindung daran einverstanden erklärt oder falls
i) die Weiterübermittlung an ein Land erfolgt, für das ein Angemessenheitsbeschluss nach Artikel 45 der Verordnung (EU) 2016/679 gilt, der die Weiterübermittlung abdeckt,
ii) der Dritte auf andere Weise geeignete Garantien gemäß Artikel 46 oder Artikel 47 der Verordnung (EU) 2016/679 im Hinblick auf die betreffende Verarbeitung gewährleistet,
iii) die Weiterübermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit bestimmten Verwaltungs-, Gerichts- oder regulatorischen Verfahren erforderlich ist oder
iv) die Weiterübermittlung erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
Jede Weiterübermittlung erfolgt unter der Bedingung, dass der Datenimporteur alle anderen Garantien gemäß diesen Klauseln, insbesondere die Zweckbindung, einhält.
8.9. Dokumentation und Einhaltung der Klauseln
a) Der Datenimporteur bearbeitet Anfragen des Datenexporteurs, die sich auf die Verarbeitung gemäß diesen Klauseln beziehen, umgehend und in angemessener Weise.
b) Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können. Insbesondere führt der Datenimporteur geeignete Aufzeichnungen über die im Auftrag des Datenexporteurs durchgeführten Verarbeitungstätigkeiten.
c) Der Datenimporteur stellt dem Datenexporteur alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in diesen Klauseln festgelegten Pflichten nachzuweisen; auf Verlangen des Datenexporteurs ermöglicht er diesem, die unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung zu prüfen, und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Datenexporteur einschlägige Zertifizierungen des Datenimporteurs berücksichtigen.
d) Der Datenexporteur kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Datenimporteurs umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.
e) Die Parteien stellen der zuständigen Aufsichtsbehörde die unter den Buchstaben b und c genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.
(4) Das Abkommen über den Europäischen Wirtschaftsraum (EWR-Abkommen) regelt die Einbeziehung der drei EWR-Staaten Island, Liechtenstein und Norwegen in den Binnenmarkt der Europäischen Union. Das Datenschutzrecht der Union, darunter die Verordnung (EU) 2016/679, ist in das EWR-Abkommen einbezogen und wurde in Anhang XI aufgenommen. Daher gilt eine Weitergabe durch den Datenimporteur an einen im EWR ansässigen Dritten nicht als Weiterübermittlung im Sinne dieser Klauseln.
L 199/44 Amtsblatt der Europäischen Union 7.6.2021
DE
MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
8.1. Weisungen
a) Der Datenexporteur hat dem Datenimporteur mitgeteilt, dass er als Auftragsverarbeiter nach den Weisungen seines/seiner Verantwortlichen fungiert, und der Datenexporteur stellt dem Datenimporteur diese Weisungen vor der Verarbeitung zur Verfügung.
b) Der Datenimporteur verarbeitet die personenbezogenen Daten nur auf der Grundlage dokumentierter Weisungen des Verantwortlichen, die dem Datenimporteur vom Datenexporteur mitgeteilt wurden, sowie auf der Grundlage aller zusätzlichen dokumentierten Weisungen des Datenexporteurs. Diese zusätzlichen Weisungen dürfen nicht im Widerspruch zu den Weisungen des Verantwortlichen stehen. Der Verantwortliche oder der Datenexporteur kann während der gesamten Vertragslaufzeit weitere dokumentierte Weisungen im Hinblick auf die Datenverarbeitung erteilen.
c) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er diese Weisungen nicht befolgen kann. Ist der Datenimporteur nicht in der Lage, die Weisungen des Verantwortlichen zu befolgen, setzt der Datenexporteur den Verantwortlichen unverzüglich davon in Kenntnis.
d) Der Datenexporteur sichert zu, dass er dem Datenimporteur dieselben Datenschutzpflichten auferlegt hat, die im Vertrag oder in einem anderen Rechtsinstrument nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats zwischen dem Verantwortlichen und dem Datenexporteur festgelegt sind. (5)
8.2. Zweckbindung
Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den/die in Anhang I.B genannten spezifischen Übermittlungszweck(e), sofern keine weiteren Weisungen seitens des Verantwortlichen, die dem Datenimporteur vom Datenexporteur mitgeteilt wurden, oder seitens des Datenexporteurs bestehen.
8.3. Transparenz
Auf Anfrage stellt der Datenexporteur der betroffenen Person eine Kopie dieser Klauseln, einschließlich der von den Parteien ausgefüllten Anlage, unentgeltlich zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, notwendig ist, kann der Datenexporteur Teile des Textes der Anlage vor der Weitergabe einer Kopie unkenntlich machen; er legt jedoch eine aussagekräftige Zusammenfassung vor, wenn die betroffene Person andernfalls den Inhalt der Anlage nicht verstehen würde oder ihre Rechte nicht ausüben könnte. Auf Anfrage teilen die Parteien der betroffenen Person die Gründe für die Schwärzungen so weit wie möglich mit, ohne die geschwärzten Informationen offenzulegen.
8.4. Richtigkeit
Stellt der Datenimporteur fest, dass die erhaltenen personenbezogenen Daten unrichtig oder veraltet sind, unterrichtet er unverzüglich den Datenexporteur. In diesem Fall arbeitet der Datenimporteur mit dem Datenexporteur zusammen, um die Daten zu berichtigen oder zu löschen.
8.5. Dauer der Verarbeitung und Löschung oder Rückgabe der Daten
Die Daten werden vom Datenimporteur nur für die in Anhang I.B angegebene Dauer verarbeitet. Nach Wahl des Datenexporteurs löscht der Datenimporteur nach Beendigung der Datenverarbeitungsdienste alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten und bescheinigt dem Datenexporteur, dass dies erfolgt ist, oder gibt dem Datenexporteur alle in seinem Auftrag verarbeiteten personenbezogenen Daten zurück und löscht bestehende Kopien. Bis zur Löschung oder Rückgabe der Daten stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Falls für den Datenimporteur lokale Rechtsvorschriften gelten, die ihm die Rückgabe oder Löschung der personenbezogenen Daten untersagen, sichert der Datenimporteur zu, dass er die Einhaltung dieser
Klauseln auch weiterhin gewährleistet und diese Daten nur in dem Umfang und so lange verarbeitet, wie dies gemäß den betreffenden lokalen Rechtsvorschriften erforderlich ist. Dies gilt unbeschadet von Klausel 14, insbesondere der Pflicht des Datenimporteurs gemäß Klausel 14 Buchstabe e, den Datenexporteur während der Vertragslaufzeit zu benachrichtigen, wenn er Grund zu der Annahme hat, dass für ihn Rechtsvorschriften oder Gepflogenheiten gelten oder gelten werden, die nicht mit den Anforderungen in Klausel 14 Buchstabe a im Einklang stehen.
(5) Siehe Artikel 28 Absatz 4 der Verordnung (EU) 2016/679 und, wenn es sich bei dem Verantwortlichen um ein Organ oder eine Einrichtung der Union handelt, Artikel 29 Absatz 4 der Verordnung (EU) 2018/1725.
7.6.2021 Amtsblatt der Europäischen Union L 199/45
DE
8.6. Sicherheit der Verarbeitung
a) Der Datenimporteur und, während der Datenübermittlung, auch der Datenexporteur treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu diesen Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen sie dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und dem/den Zweck(en) der Verarbeitung sowie den mit der Verarbeitung verbundenen Risiken für die betroffene Person gebührend Rechnung. Die Parteien ziehen insbesondere eine Verschlüsselung oder Pseudonymisierung, auch während der Datenübermittlung, in Betracht, wenn dadurch der Verarbeitungszweck erfüllt werden kann. Im Falle einer Pseudonymisierung verbleiben die zusätzlichen Informationen, mit denen die personenbezogenen Daten einer speziellen betroffenen Person zugeordnet werden können, soweit möglich, unter der ausschließlichen Kontrolle des Datenexporteurs oder des Verantwortlichen. Zur Erfüllung seinen Pflichten gemäß diesem Absatz setzt der Datenimporteur mindestens die in Anhang II
aufgeführten technischen und organisatorischen Maßnahmen um. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Schutzniveau bieten.
b) Der Datenimporteur gewährt seinem Personal nur insoweit Zugang zu den Daten, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Er gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
c) Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Datenimporteur gemäß diesen Klauseln ergreift der Datenimporteur geeignete Maßnahmen zur Behebung der Verletzung, darunter auch Maßnahmen zur Abmilderung ihrer nachteiligen Auswirkungen. Außerdem meldet der Datenimporteur die Verletzung dem Datenexporteur und, sofern angemessen und machbar, dem Verantwortlichen unverzüglich, nachdem ihm die Verletzung bekannt wurde. Diese Meldung enthält die Kontaktdaten einer Anlaufstelle für weitere Informationen, eine Beschreibung der Art der Verletzung (soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen personenbezogenen Datensätze), die wahrscheinlichen Folgen der Verletzung und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes der Daten, einschließlich Maßnahmen zur Abmilderung etwaiger nachteiliger Auswirkungen. Wenn und soweit nicht alle Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt.
d) Unter Berücksichtigung der Art der Verarbeitung und der dem Datenimporteur zur Verfügung stehenden Informationen arbeitet der Datenimporteur mit dem Datenexporteur zusammen und unterstützt ihn dabei, seinen Pflichten gemäß der Verordnung (EU) 2016/679 nachzukommen, insbesondere den
Verantwortlichen zu unterrichten, damit dieser wiederum die zuständige Aufsichtsbehörde und die betroffenen Personen benachrichtigen kann.
8.7. Sensible Daten
Soweit die Übermittlung personenbezogene Daten umfasst, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten“), wendet der Datenimporteur die in Anhang I.B angegebenen speziellen Beschränkungen und/oder zusätzlichen Garantien an.
8.8. Weiterübermittlungen
Der Datenimporteur gibt die personenbezogenen Daten nur auf der Grundlage dokumentierter Weisungen des Verantwortlichen, die dem Datenimporteur vom Datenexporteur mitgeteilt wurden, an Dritte weiter. Die Daten dürfen zudem nur an Dritte weitergegeben werden, die (in demselben Land wie der Datenimporteur oder in einem anderen Drittland) außerhalb der Europäischen Union (6) ansässig sind (im Folgenden „Weiterübermittlung“), sofern der Dritte im Rahmen des betreffenden Moduls an diese Klauseln gebunden ist oder sich mit der Bindung daran einverstanden erklärt oder falls
i) die Weiterübermittlung an ein Land erfolgt, für das ein Angemessenheitsbeschluss nach Artikel 45 der Verordnung (EU) 2016/679 gilt, der die Weiterübermittlung abdeckt,
(6) Das Abkommen über den Europäischen Wirtschaftsraum (EWR-Abkommen) regelt die Einbeziehung der drei EWR-Staaten Island, Liechtenstein und Norwegen in den Binnenmarkt der Europäischen Union. Das Datenschutzrecht der Union, darunter die Verordnung (EU) 2016/679, ist in das EWR-Abkommen einbezogen und wurde in Anhang XI aufgenommen. Daher gilt eine Weitergabe durch den Datenimporteur an einen im EWR ansässigen Dritten nicht als Weiterübermittlung im Sinne dieser Klauseln.
L 199/46 Amtsblatt der Europäischen Union 7.6.2021
DE
ii) der Dritte auf andere Weise geeignete Garantien gemäß Artikel 46 oder Artikel 47 der Verordnung (EU) 2016/679 gewährleistet,
iii) die Weiterübermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit bestimmten Verwaltungs-, Gerichts- oder regulatorischen Verfahren erforderlich ist oder
iv) die Weiterübermittlung erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
Jede Weiterübermittlung erfolgt unter der Bedingung, dass der Datenimporteur alle anderen Garantien gemäß diesen Klauseln, insbesondere die Zweckbindung, einhält.
8.9. Dokumentation und Einhaltung der Klauseln
a) Der Datenimporteur bearbeitet Anfragen des Datenexporteurs oder des Verantwortlichen, die sich auf die Verarbeitung gemäß diesen Klauseln beziehen, umgehend und in angemessener Weise.
b) Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können. Insbesondere führt der Datenimporteur geeignete Aufzeichnungen über die im Auftrag des Verantwortlichen durchgeführten Verarbeitungstätigkeiten.
c) Der Datenimporteur stellt dem Datenexporteur alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten Pflichten erforderlich sind, und der Datenexporteur stellt diese Informationen wiederum dem Verantwortlichen bereit.
d) Der Datenimporteur ermöglicht dem Datenexporteur die Prüfung der unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung und trägt zu einer solchen Prüfung bei. Gleiches gilt, wenn der Datenexporteur eine Prüfung auf Weisung des Verantwortlichen beantragt. Bei der Entscheidung über eine Prüfung kann der Datenexporteur einschlägige Zertifizierungen des Datenimporteurs berücksichtigen.
e) Wird die Prüfung auf Weisung des Verantwortlichen durchgeführt, stellt der Datenexporteur die Ergebnisse dem Verantwortlichen zur Verfügung.
f) Der Datenexporteur kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Datenimporteurs umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.
g) Die Parteien stellen der zuständigen Aufsichtsbehörde die unter den Buchstaben b und c genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.
MODUL VIER: Übermittlung von Auftragsverarbeitern an Verantwortliche
8.1. Weisungen
a) Der Datenexporteur verarbeitet die personenbezogenen Daten nur auf dokumentierte Weisung des Datenimporteurs, der als sein Verantwortlicher fungiert.
b) Der Datenexporteur unterrichtet den Datenimporteur unverzüglich, wenn er die betreffenden Weisungen nicht befolgen kann, u. a. wenn eine solche Weisung gegen die Verordnung (EU) 2016/679 oder andere Datenschutz vorschriften der Union oder eines Mitgliedstaats verstößt.
c) Der Datenimporteur sieht von jeglicher Handlung ab, die den Datenexporteur an der Erfüllung seiner Pflichten gemäß der Verordnung (EU) 2016/679 hindern würde, einschließlich im Zusammenhang mit Unterverar beitungen oder der Zusammenarbeit mit den zuständigen Aufsichtsbehörden.
d) Nach Wahl des Datenimporteurs löscht der Datenexporteur nach Beendigung der Datenverarbeitungsdienste alle im Auftrag des Datenimporteurs verarbeiteten personenbezogenen Daten und bescheinigt dem Datenimporteur, dass dies erfolgt ist, oder gibt dem Datenimporteur alle in seinem Auftrag verarbeiteten personenbezogenen Daten zurück und löscht bestehende Kopien.
7.6.2021 Amtsblatt der Europäischen Union L 199/47
DE
8.2. Sicherheit der Verarbeitung
a) Die Parteien treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der personenbezogenen Daten, auch während der Übermittlung, sowie den Schutz vor einer Verletzung der Sicherheit zu gewährleisten, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den personenbezogenen Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei
der Beurteilung des angemessenen Schutzniveaus tragen sie dem Stand der Technik, den Implementierungskosten, der Art der personenbezogenen Daten (7), der Art, dem Umfang, den Umständen und dem/den Zweck(en) der Verarbeitung sowie den mit der Verarbeitung verbundenen Risiken für die betroffenen Personen gebührend Rechnung und ziehen insbesondere eine
Verschlüsselung oder Pseudonymisierung, auch während der Übermittlung, in Betracht, wenn dadurch der Verarbeitungszweck erfüllt werden kann.
b) Der Datenexporteur unterstützt den Datenimporteur bei der Gewährleistung einer angemessenen Sicherheit der Daten gemäß Buchstabe a. Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Datenexporteur gemäß diesen Klauseln verarbeiteten personenbezogenen Daten meldet der Datenexporteur dem Datenimporteur die Verletzung unverzüglich, nachdem sie ihm bekannt wurde, und unterstützt den Datenimporteur bei der Behebung der Verletzung.
c) Der Datenexporteur gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
8.3. Dokumentation und Einhaltung der Klauseln
a) Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können.
b) Der Datenexporteur stellt dem Datenimporteur alle Informationen zur Verfügung, die für den Nachweis der Einhaltung seiner Pflichten gemäß diesen Klauseln erforderlich sind, und ermöglicht Prüfungen und trägt zu diesen bei.
Klausel 9
Einsatz von Unterauftragsverarbeitern
MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
a) OPTION 1: VORHERIGE GESONDERTE GENEHMIGUNG. Der Datenimporteur darf keine seiner Verarbeitungstä tigkeiten, die er im Auftrag des Datenexporteurs gemäß diesen Klauseln durchführt, ohne vorherige gesonderte schriftliche Genehmigung des Datenexporteurs an einen Unterauftragsverarbeiter untervergeben. Der Datenimporteur reicht den Antrag auf die gesonderte Genehmigung mindestens [Zeitraum angeben] vor der Beauftragung des Unterauft ragsverarbeiters zusammen mit den Informationen ein, die der Datenexporteur benötigt, um über die Genehmigung zu entscheiden. Die Liste der vom Datenexporteur bereits genehmigten Unterauftragsverarbeiter findet sich in Anhang III. Die Parteien halten Anhang III jeweils auf dem neuesten Stand.
OPTION 2: ALLGEMEINE SCHRIFTLICHE GENEHMIGUNG. Der Datenimporteur besitzt die allgemeine Genehmigung des Datenexporteurs für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Der Datenimporteur unterrichtet den Datenexporteur mindestens [Zeitraum angeben] im Voraus ausdrücklich in schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftrags verarbeitern und räumt dem Datenexporteur damit ausreichend Zeit ein, um vor der Beauftragung des/der Unterauft
ragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können. Der Datenimporteur stellt dem Datenexporteur die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann.
b) Beauftragt der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstä tigkeiten (im Auftrag des Datenexporteurs), so muss diese Beauftragung im Wege eines schriftlichen Vertrags erfolgen, der im Wesentlichen dieselben Datenschutzpflichten vorsieht wie diejenigen, die den Datenimporteur gemäß diesen Klauseln binden, einschließlich im Hinblick auf Rechte als Drittbegünstigte für betroffene Personen. (8) Die Parteien erklären sich damit einverstanden, dass der Datenimporteur durch Einhaltung der vorliegenden Klausel seinen Pflichten gemäß Klausel 8.8 nachkommt. Der Datenimporteur stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Datenimporteur gemäß diesen Klauseln unterliegt.
(7) Hierzu zählt, ob die Übermittlung und Weiterverarbeitung personenbezogene Daten umfassen, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die
Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen oder Straftaten enthalten.
(8) Diese Anforderung ist gegebenenfalls vom Unterauftragsverarbeiter zu erfüllen, der diesen Klauseln gemäß Klausel 7 im Rahmen des betreffenden Moduls beitritt.
L 199/48 Amtsblatt der Europäischen Union 7.6.2021
DE
c) Der Datenimporteur stellt dem Datenexporteur auf dessen Verlangen eine Kopie einer solchen Untervergabever einbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, notwendig ist, kann der Datenimporteur den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.
d) Der Datenimporteur haftet gegenüber dem Datenexporteur in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Datenimporteur geschlossenen Vertrag nachkommt. Der Datenimporteur benachrichtigt den Datenexporteur, wenn der Unterauftragsverarbeiter seinen Pflichten gemäß diesem Vertrag nicht nachkommt.
e) Der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Datenexporteur — sollte der Datenimporteur faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sein — das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.
MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
a) OPTION 1: VORHERIGE GESONDERTE GENEHMIGUNG. Der Datenimporteur darf keine seiner Verarbeitungstä tigkeiten, die er im Auftrag des Datenexporteurs gemäß diesen Klauseln durchführt, ohne vorherige gesonderte schriftliche Genehmigung des Verantwortlichen an einen Unterauftragsverarbeiter untervergeben. Der Datenimporteur reicht den Antrag auf die gesonderte Genehmigung mindestens [Zeitraum angeben] vor der Beauftragung des Unterauft ragsverarbeiters zusammen mit den Informationen ein, die der Verantwortliche benötigt, um über die Genehmigung zu entscheiden. Er informiert den Datenexporteur über eine solche Beauftragung. Die Liste der vom Verantwortlichen bereits genehmigten Unterauftragsverarbeiter findet sich in Anhang III. Die Parteien halten Anhang III jeweils auf dem neuesten Stand.
OPTION 2: ALLGEMEINE SCHRIFTLICHE GENEHMIGUNG. Der Datenimporteur besitzt die allgemeine Genehmigung des Verantwortlichen für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Der Datenimporteur unterrichtet den Verantwortlichen mindestens [Zeitraum angeben] im Voraus ausdrücklich in schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftrags verarbeitern und räumt dem Verantwortlichen damit ausreichend Zeit ein, um vor der Beauftragung des/der Unterauft
ragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können. Der Datenimporteur stellt dem Verantwortlichen die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann. Der Datenimporteur unterrichtet den Datenexporteur über die Beauftragung des/der Unterauftragsverarbeiter/s.
b) Beauftragt der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstä tigkeiten (im Auftrag des Verantwortlichen), so muss diese Beauftragung im Wege eines schriftlichen Vertrags erfolgen, der im Wesentlichen dieselben Datenschutzpflichten vorsieht wie diejenigen, die den Datenimporteur gemäß diesen Klauseln binden, einschließlich im Hinblick auf Rechte als Drittbegünstigte für betroffene Personen. (9) Die Parteien erklären sich damit einverstanden, dass der Datenimporteur durch Einhaltung der vorliegenden Klausel seinen Pflichten gemäß Klausel 8.8
nachkommt. Der Datenimporteur stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Datenimporteur gemäß diesen Klauseln unterliegt.
c) Auf Verlangen des Datenexporteurs oder des Verantwortlichen stellt der Datenimporteur eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsge heimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, notwendig ist, kann der Datenimporteur den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.
d) Der Datenimporteur haftet gegenüber dem Datenexporteur in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Datenimporteur geschlossenen Vertrag nachkommt. Der Datenimporteur benachrichtigt den Datenexporteur, wenn der Unterauftragsverarbeiter seinen Pflichten gemäß diesem Vertrag nicht nachkommt.
e) Der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Datenexporteur — sollte der Datenimporteur faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sein — das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.
(9) Diese Anforderung ist gegebenenfalls vom Unterauftragsverarbeiter zu erfüllen, der diesen Klauseln gemäß Klausel 7 im Rahmen des betreffenden Moduls beitritt.
7.6.2021 Amtsblatt der Europäischen Union L 199/49
DE
Klausel 10
Rechte betroffener Personen
MODUL EINS: Übermittlung von Verantwortlichen an Verantwortliche
a) Der Datenimporteur bearbeitet, gegebenenfalls mit Unterstützung des Datenexporteurs, alle Anfragen und Anträge einer betroffenen Person im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten und der Ausübung ihrer Rechte gemäß diesen Klauseln unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang der Anfrage oder des Antrags. (10) Der Datenimporteur trifft geeignete Maßnahmen, um solche Anfragen und Anträge und die Ausübung der Rechte betroffener Personen zu erleichtern. Alle Informationen, die der betroffenen Person zur Verfügung gestellt werden, müssen in verständlicher und leicht zugänglicher Form vorliegen und in einer klaren und einfachen Sprache
abgefasst sein.
b) Insbesondere unternimmt der Datenimporteur auf Antrag der betroffenen Person folgende Handlungen, wobei der betroffenen Person keine Kosten entstehen:
i) Er legt der betroffenen Person eine Bestätigung darüber vor, ob sie betreffende personenbezogene Daten verarbeitet werden, und, falls dies der Fall ist, stellt er ihr eine Kopie der sie betreffenden Daten und die in Anhang I enthaltenen Informationen zur Verfügung; er stellt, falls personenbezogene Daten weiterübermittelt wurden oder werden, Informationen über die Empfänger oder Kategorien von Empfängern (je nach Bedarf zur Bereitstellung aussagekräftiger Informationen), an die die personenbezogenen Daten weiterübermittelt wurden oder werden, sowie über den Zweck dieser Weiterübermittlung und deren Grund gemäß Klausel 8.7 bereit; er informiert die betroffene Person über ihr Recht, gemäß Klausel 12 Buchstabe c Ziffer i bei einer Aufsichtsbehörde Beschwerde einzulegen;
ii) er berichtigt unrichtige oder unvollständige Daten über die betroffene Person;
iii) er löscht personenbezogene Daten, die sich auf die betroffene Person beziehen, wenn diese Daten unter Verstoß gegen eine dieser Klauseln, die Rechte als Drittbegünstigte gewährleisten, verarbeitet werden oder wurden oder wenn die betroffene Person ihre Einwilligung, auf die sich die Verarbeitung stützt, widerruft.
c) Verarbeitet der Datenimporteur die personenbezogenen Daten für Zwecke der Direktwerbung, so stellt er die Verarbeitung für diese Zwecke ein, wenn die betroffene Person Widerspruch dagegen einlegt.
d) Der Datenimporteur trifft keine Entscheidung, die ausschließlich auf der automatisierten Verarbeitung der übermittelten personenbezogenen Daten beruht (im Folgenden „automatisierte Entscheidung“), welche rechtliche Wirkung für die betroffene Person entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen würde, es sei denn, die betroffene Person hat hierzu ihre ausdrückliche Einwilligung gegeben oder eine solche Verarbeitung ist nach den Rechtsvor schriften des Bestimmungslandes zulässig und in diesen sind angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person festgelegt. In diesem Fall muss der Datenimporteur,
erforderlichenfalls in Zusammenarbeit mit dem Datenexporteur,
i) die betroffene Person über die geplante automatisierte Entscheidung, die angestrebten Auswirkungen und die damit verbundene Logik unterrichten und
ii) geeignete Garantien umsetzen, die mindestens bewirken, dass die betroffene Person die Entscheidung anfechten, ihren Standpunkt darlegen und eine Überprüfung durch einen Menschen erwirken kann.
e) Bei exzessiven Anträgen einer betroffenen Person — insbesondere im Fall von häufiger Wiederholung — kann der Datenimporteur entweder eine angemessene Gebühr unter Berücksichtigung der Verwaltungskosten für die Erledigung des Antrags verlangen oder sich weigern, aufgrund des Antrags tätig zu werden.
f) Der Datenimporteur kann den Antrag einer betroffenen Person ablehnen, wenn eine solche Ablehnung nach den Rechtsvorschriften des Bestimmungslandes zulässig und in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele zu schützen.
g) Beabsichtigt der Datenimporteur, den Antrag einer betroffenen Person abzulehnen, so unterrichtet er die betroffene Person über die Gründe für die Ablehnung und über die Möglichkeit, Beschwerde bei der zuständigen Aufsichtsbehörde einzulegen und/oder einen gerichtlichen Rechtsbehelf einzulegen.
MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
a) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich über jeden Antrag, den er von einer betroffenen Person erhalten hat. Er beantwortet diesen Antrag nicht selbst, es sei denn, er wurde vom Datenexporteur dazu ermächtigt.
(10) Diese Frist kann um höchstens zwei weitere Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Datenimporteur unterrichtet die betroffene Person ordnungsgemäß und unverzüglich über eine solche Verlängerung.
L 199/50 Amtsblatt der Europäischen Union 7.6.2021
DE
b) Der Datenimporteur unterstützt den Datenexporteur bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679 zu beantworten. Zu diesem Zweck legen die Parteien in Anhang II unter Berücksichtigung der Art der Verarbeitung die geeigneten technischen und organisatorischen Maßnahmen, durch die Unterstützung geleistet wird, sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest.
c) Bei der Erfüllung seiner Pflichten gemäß den Buchstaben a und b befolgt der Datenimporteur die Weisungen des Datenexporteurs.
MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
a) Der Datenimporteur unterrichtet den Datenexporteur und gegebenenfalls den Verantwortlichen unverzüglich über jeden Antrag, den er von einer betroffenen Person erhält; er beantwortet diesen Antrag erst dann, wenn er vom Verantwortlichen dazu ermächtigt wurde.
b) Der Datenimporteur unterstützt den Verantwortlichen, gegebenenfalls in Zusammenarbeit mit dem Datenexporteur, bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 zu beantworten. Zu diesem Zweck legen die Parteien in Anhang II unter Berücksichtigung der Art der Verarbeitung die geeigneten technischen und organisatorischen Maßnahmen, durch die Unterstützung geleistet wird, sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest.
c) Bei der Erfüllung seiner Pflichten gemäß den Buchstaben a und b befolgt der Datenimporteur die Weisungen des Verantwortlichen, die ihm vom Datenexporteur übermittelt wurden.
MODUL VIER: Übermittlung von Auftragsverarbeitern an Verantwortliche
Die Parteien unterstützen sich gegenseitig bei der Beantwortung von Anfragen und Anträgen, die von betroffenen Personen gemäß den für den Datenimporteur geltenden lokalen Rechtsvorschriften oder — bei der Datenverarbeitung durch den Datenexporteur in der Union — gemäß der Verordnung (EU) 2016/679 gestellt werden.
Klausel 11
Rechtsbehelf
a) Der Datenimporteur informiert die betroffenen Personen in transparenter und leicht zugänglicher Form mittels individueller Benachrichtigung oder auf seiner Website über eine Anlaufstelle, die befugt ist, Beschwerden zu bearbeiten. Er bearbeitet umgehend alle Beschwerden, die er von einer betroffenen Person erhält.
[OPTION: Der Datenimporteur erklärt sich damit einverstanden, dass betroffene Personen eine Beschwerde auch bei einer unabhängigen Streitbeilegungsstelle (11) einreichen können, ohne dass für die betroffene Person Kosten entstehen. Er unterrichtet die betroffenen Personen in der unter Buchstabe a beschriebenen Weise über einen solchen Rechtsbehelfsmechanismus sowie darüber, dass sie nicht verpflichtet sind, davon Gebrauch zu machen oder bei der Einlegung eines Rechtsbehelfs eine bestimmte Reihenfolge einzuhalten.]
MODUL EINS: Übermittlung von Verantwortlichen an Verantwortliche
MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
b) Im Falle einer Streitigkeit zwischen einer betroffenen Person und einer der Parteien bezüglich der Einhaltung dieser Klauseln bemüht sich die betreffende Partei nach besten Kräften um eine zügige gütliche Beilegung. Die Parteien halten einander über derartige Streitigkeiten auf dem Laufenden und bemühen sich gegebenenfalls gemeinsam um deren Beilegung.
c) Macht die betroffene Person ein Recht als Drittbegünstigte gemäß Klausel 3 geltend, erkennt der Datenimporteur die Entscheidung der betroffenen Person an,
i) eine Beschwerde bei der Aufsichtsbehörde des Mitgliedstaats ihres gewöhnlichen Aufenthaltsorts oder ihres Arbeitsorts oder bei der zuständigen Aufsichtsbehörde gemäß Klausel 13 einzureichen,
ii) den Streitfall an die zuständigen Gerichte im Sinne der Klausel 18 zu verweisen.
(11) Der Datenimporteur darf eine unabhängige Streitbeilegung über eine Schiedsstelle nur dann anbieten, wenn er in einem Land niedergelassen ist, das das New Yorker Übereinkommen über die Anerkennung und Vollstreckung ausländischer Schiedssprüche ratifiziert hat.
7.6.2021 Amtsblatt der Europäischen Union L 199/51
DE
d) Die Parteien erkennen an, dass die betroffene Person von einer Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht gemäß Artikel 80 Absatz 1 der Verordnung (EU) 2016/679 vertreten werden kann.
e) Der Datenimporteur unterwirft sich einem nach geltendem Unionsrecht oder dem geltenden Recht eines Mitgliedstaats verbindlichen Beschluss.
f) Der Datenimporteur erklärt sich damit einverstanden, dass die Entscheidung der betroffenen Person nicht ihre materiellen Rechte oder Verfahrensrechte berührt, Rechtsbehelfe im Einklang mit geltenden Rechtsvorschriften einzulegen.
Klausel 12
Haftung
MODUL EINS: Übermittlung von Verantwortlichen an Verantwortliche
MODUL VIER: Übermittlung von Auftragsverarbeitern an Verantwortliche
a) Jede Partei haftet gegenüber der/den anderen Partei(en) für Schäden, die sie der/den anderen Partei(en) durch einen Verstoß gegen diese Klauseln verursacht.
b) Jede Partei haftet gegenüber der betroffenen Person, und die betroffene Person hat Anspruch auf Schadenersatz für jeden materiellen oder immateriellen Schaden, den die Partei der betroffenen Person verursacht, indem sie deren Rechte als Drittbegünstigte gemäß diesen Klauseln verletzt. Dies gilt unbeschadet der Haftung des Datenexporteurs gemäß der Verordnung (EU) 2016/679.
c) Ist mehr als eine Partei für Schäden verantwortlich, die der betroffenen Person infolge eines Verstoßes gegen diese Klauseln entstanden sind, so haften alle verantwortlichen Parteien gesamtschuldnerisch, und die betroffene Person ist berechtigt, gegen jede der Parteien gerichtlich vorzugehen.
d) Die Parteien erklären sich damit einverstanden, dass eine Partei, die nach Buchstabe c haftbar gemacht wird, berechtigt ist, von der/den anderen Partei(en) den Teil des Schadenersatzes zurückzufordern, der deren Verantwortung für den Schaden entspricht.
e) Der Datenimporteur kann sich nicht auf das Verhalten eines Auftragsverarbeiters oder Unterauftragsverarbeiters berufen, um sich seiner eigenen Haftung zu entziehen.
MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
a) Jede Partei haftet gegenüber der/den anderen Partei(en) für Schäden, die sie der/den anderen Partei(en) durch einen Verstoß gegen diese Klauseln verursacht.
b) Der Datenimporteur haftet gegenüber der betroffenen Person, und die betroffene Person hat Anspruch auf Schadenersatz für jeden materiellen oder immateriellen Schaden, den der Datenimporteur oder sein Unterauftragsver arbeiter der betroffenen Person verursacht, indem er deren Rechte als Drittbegünstigte gemäß diesen Klauseln verletzt.
c) Ungeachtet von Buchstabe b haftet der Datenimporteur gegenüber der betroffenen Person, und die betroffene Person hat Anspruch auf Schadenersatz für jeden materiellen oder immateriellen Schaden, den der Datenexporteur oder der Datenimporteur (oder dessen Unterauftragsverarbeiter) der betroffenen Person verursacht, indem er deren Rechte als Drittbegünstigte gemäß diesen Klauseln verletzt. Dies gilt unbeschadet der Haftung des Datenexporteurs und, sofern der Datenexporteur ein im Auftrag eines Verantwortlichen handelnder Auftragsverarbeiter ist, unbeschadet der Haftung des Verantwortlichen gemäß der Verordnung (EU) 2016/679 oder gegebenenfalls der Verordnung (EU) 2018/1725.
d) Die Parteien erklären sich damit einverstanden, dass der Datenexporteur, der nach Buchstabe c für durch den Datenimporteur (oder dessen Unterauftragsverarbeiter) verursachte Schäden haftet, berechtigt ist, vom Datenimporteur den Teil des Schadenersatzes zurückzufordern, der der Verantwortung des Datenimporteurs für den Schaden entspricht.
e) Ist mehr als eine Partei für Schäden verantwortlich, die der betroffenen Person infolge eines Verstoßes gegen diese Klauseln entstanden sind, so haften alle verantwortlichen Parteien gesamtschuldnerisch, und die betroffene Person ist berechtigt, gegen jede der Parteien gerichtlich vorzugehen.
f) Die Parteien erklären sich damit einverstanden, dass eine Partei, die nach Buchstabe e haftbar gemacht wird, berechtigt ist, von der/den anderen Partei(en) den Teil des Schadenersatzes zurückzufordern, der deren Verantwortung für den Schaden entspricht.
g) Der Datenimporteur kann sich nicht auf das Verhalten eines Unterauftragsverarbeiters berufen, um sich seiner eigenen Haftung entziehen.
L 199/52 Amtsblatt der Europäischen Union 7.6.2021
DE
Klausel 13
Aufsicht
MODUL EINS: Übermittlung von Verantwortlichen an Verantwortliche
MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
a) [Wenn der Datenexporteur in einem EU-Mitgliedstaat niedergelassen ist:] Die Aufsichtsbehörde, die dafür verantwortlich ist, sicherzustellen, dass der Datenexporteur bei Datenübermittlungen die Verordnung (EU) 2016/679 einhält, fungiert als zuständige Aufsichtsbehörde (entsprechend der Angabe in Anhang I.C).
[Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen ist, aber nach Artikel 3 Absatz 2 der Verordnung (EU) 2016/679 in den räumlichen Anwendungsbereich dieser Verordnung fällt und einen Vertreter gemäß Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 benannt hat:] Die Aufsichtsbehörde des Mitgliedstaats, in dem der Vertreter nach Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 niedergelassen ist, fungiert als zuständige Aufsichtsbehörde (entsprechend der Angabe in Anhang I.C).
[Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen ist, aber nach Artikel 3 Absatz 2 der Verordnung (EU) 2016/679 in den räumlichen Anwendungsbereich dieser Verordnung fällt, ohne
jedoch einen Vertreter gemäß Artikel 27 Absatz 2 der Verordnung (EU) 2016/679 benennen zu müssen:] Die Aufsichtsbehörde eines der Mitgliedstaaten, in denen die betroffenen Personen niedergelassen sind, deren personenbezogene Daten gemäß diesen Klauseln im Zusammenhang mit den ihnen angebotenen Waren oder Dienstleistungen übermittelt werden oder deren Verhalten beobachtet wird, fungiert als zuständige Aufsichtsbehörde (entsprechend der Angabe in Anhang I.C).
b) Der Datenimporteur erklärt sich damit einverstanden, sich der Zuständigkeit der zuständigen Aufsichtsbehörde zu unterwerfen und bei allen Verfahren, mit denen die Einhaltung dieser Klauseln sichergestellt werden soll, mit ihr zusammenzuarbeiten. Insbesondere erklärt sich der Datenimporteur damit einverstanden, Anfragen zu beantworten, sich Prüfungen zu unterziehen und den von der Aufsichtsbehörde getroffenen Maßnahmen, darunter auch Abhilfemaßnahmen und Ausgleichsmaßnahmen, nachzukommen. Er bestätigt der Aufsichtsbehörde in schriftlicher Form, dass die erforderlichen Maßnahmen ergriffen wurden.
ABSCHNITT III — LOKALE RECHTSVORSCHRIFTEN UND PFLICHTEN IM FALLE DES ZUGANGS VON BEHÖRDEN ZU DEN DATEN
Klausel 14
Lokale Rechtsvorschriften und Gepflogenheiten, die sich auf die Einhaltung der Klauseln auswirken MODUL EINS: Übermittlung von Verantwortlichen an Verantwortliche
MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
MODUL VIER: Übermittlung von Auftragsverarbeitern an Verantwortliche(wenn der in der EU ansässige Auftragsver arbeiter die von dem im Drittland ansässigen Verantwortlichen erhaltenen personenbezogenen Daten mit personenbezogenen Daten kombiniert, die vom Auftragsverarbeiter in der EU erhoben wurden)
a) Die Parteien sichern zu, keinen Grund zu der Annahme zu haben, dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland, einschließlich Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die öffentlichen Behörden den Zugang zu diesen Daten gestatten, den Datenimporteur an der Erfüllung seiner Pflichten gemäß diesen Klauseln hindern. Dies basiert auf dem Verständnis, dass Rechtsvorschriften und Gepflogenheiten, die den Wesensgehalt der Grundrechte und Grundfreiheiten achten und nicht über Maßnahmen hinausgehen, die in einer demokratischen Gesellschaft notwendig und verhältnismäßig sind, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele sicherzustellen, nicht im Widerspruch zu diesen Klauseln stehen.
b) Die Parteien erklären, dass sie hinsichtlich der Zusicherung in Buchstabe a insbesondere die folgenden Aspekte gebührend berücksichtigt haben:
i) die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle, beabsichtigte Datenweiterleitungen, die Art des Empfängers, den Zweck der Verarbeitung, die Kategorien und das Format der übermittelten personenbezogenen Daten, den Wirtschaftszweig, in dem die Übertragung erfolgt, den Speicherort der übermittelten Daten,
7.6.2021 Amtsblatt der Europäischen Union L 199/53
DE
ii) die angesichts der besonderen Umstände der Übermittlung relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes (einschließlich solcher, die die Offenlegung von Daten
gegenüber Behörden vorschreiben oder den Zugang von Behörden zu diesen Daten gestatten) sowie die geltenden Beschränkungen und Garantien, (12)
iii) alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß diesen Klauseln eingerichtet wurden, einschließlich Maßnahmen, die während der Übermittlung und bei der Verarbeitung personenbezogener Daten im Bestimmungsland angewandt werden.
c) Der Datenimporteur versichert, dass er sich im Rahmen der Beurteilung nach Buchstabe b nach besten Kräften bemüht hat, dem Datenexporteur sachdienliche Informationen zur Verfügung zu stellen, und erklärt sich damit einverstanden, dass er mit dem Datenexporteur weiterhin zusammenarbeiten wird, um die Einhaltung dieser Klauseln zu gewährleisten.
d) Die Parteien erklären sich damit einverstanden, die Beurteilung nach Buchstabe b zu dokumentieren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
e) Der Datenimporteur erklärt sich damit einverstanden, während der Laufzeit des Vertrags den Datenexporteur unverzüglich zu benachrichtigen, wenn er nach Zustimmung zu diesen Klauseln Grund zu der Annahme hat, dass für ihn Rechtsvorschriften oder Gepflogenheiten gelten, die nicht mit den Anforderungen in Buchstabe a im Einklang stehen; hierunter fällt auch eine Änderung der Rechtsvorschriften des Drittlandes oder eine Maßnahme (z. B. ein Offenlegungsersuchen), die sich auf eine nicht mit den Anforderungen in Buchstabe a im Einklang stehende Anwendung dieser Rechtsvorschriften in der Praxis bezieht. [In Bezug auf Modul drei: Der Datenexporteur leitet die
Benachrichtigung an den Verantwortlichen weiter.]
f) Nach einer Benachrichtigung gemäß Buchstabe e oder wenn der Datenexporteur anderweitig Grund zu der Annahme hat, dass der Datenimporteur seinen Pflichten gemäß diesen Klauseln nicht mehr nachkommen kann, ermittelt der Datenexporteur unverzüglich geeignete Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit), die der Datenexporteur und/oder der Datenimporteur ergreifen müssen, um Abhilfe zu schaffen, [in Bezug auf Modul drei: gegebenenfalls in Absprache mit dem Verantwortlichen]. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Auffassung ist, dass keine geeigneten Garantien für eine derartige Übermittlung gewährleistet werden können, oder wenn er [in Bezug Modul drei: vom Verantwortlichen
oder] von der dafür zuständigen Aufsichtsbehörde dazu angewiesen wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit es um die Verarbeitung personenbezogener Daten gemäß diesen Klauseln geht. Sind mehr als zwei Parteien an dem Vertrag beteiligt, so kann der Datenexporteur von diesem Kündigungsrecht nur gegenüber der verantwortlichen Partei Gebrauch machen, sofern die Parteien nichts anderes vereinbart haben. Wird der Vertrag gemäß dieser Klausel gekündigt, finden Klausel 16 Buchstaben d und e Anwendung.
Klausel 15
Pflichten des Datenimporteurs im Falle des Zugangs von Behörden zu den Daten MODUL EINS: Übermittlung von Verantwortlichen an Verantwortliche
MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
MODUL VIER: Übermittlung von Auftragsverarbeitern an Verantwortliche(wenn der in der EU ansässige Auftragsver arbeiter die von dem im Drittland ansässigen Verantwortlichen erhaltenen personenbezogenen Daten mit personenbezogenen Daten kombiniert, die vom Auftragsverarbeiter in der EU erhoben wurden)
(12) Zur Ermittlung der Auswirkungen derartiger Rechtsvorschriften und Gepflogenheiten auf die Einhaltung dieser Klauseln können in die Gesamtbeurteilung verschiedene Elemente einfließen. Diese Elemente können einschlägige und dokumentierte praktische Erfahrungen im Hinblick darauf umfassen, ob es bereits früher Ersuchen um Offenlegung seitens Behörden gab, die einen hinreichend
repräsentativen Zeitrahmen abdecken, oder ob es solche Ersuchen nicht gab. Dies betrifft insbesondere interne Aufzeichnungen oder sonstige Belege, die fortlaufend mit gebührender Sorgfalt erstellt und von
leitender Ebene bestätigt wurden, sofern diese Informationen rechtmäßig an Dritte weitergegeben werden können. Sofern anhand dieser praktischen Erfahrungen der Schluss gezogen wird, dass dem Datenimporteur die Einhaltung dieser Klauseln nicht unmöglich ist, muss dies durch weitere relevante objektive Elemente untermauert werden; den Parteien obliegt die sorgfältige Prüfung, ob alle diese Elemente ausreichend zuverlässig und repräsentativ sind, um die getroffene Schlussfolgerung zu bekräftigen. Insbesondere müssen die Parteien berücksichtigen, ob ihre praktische Erfahrung durch öffentlich verfügbare oder anderweitig zugängliche zuverlässige Informationen über das Vorhandensein oder Nicht-Vorhandensein von Ersuchen innerhalb desselben Wirtschaftszweigs und/oder über die Anwendung der Rechtsvor schriften in der Praxis, wie Rechtsprechung und Berichte unabhängiger Aufsichtsgremien, erhärtet und nicht widerlegt wird.
L 199/54 Amtsblatt der Europäischen Union 7.6.2021
DE
15.1. Benachrichtigung
a) Der Datenimporteur erklärt sich damit einverstanden, den Datenexporteur und, soweit möglich, die betroffene Person (gegebenenfalls mit Unterstützung des Datenexporteurs) unverzüglich zu benachrichtigen,
i) wenn er von einer Behörde, einschließlich Justizbehörden, ein nach den Rechtsvorschriften des Bestimmungslandes rechtlich bindendes Ersuchen um Offenlegung personenbezogener Daten erhält, die gemäß diesen Klauseln übermittelt werden (diese Benachrichtigung muss Informationen über die angeforderten personenbezogenen Daten, die ersuchende Behörde, die Rechtsgrundlage des Ersuchens
und die mitgeteilte Antwort enthalten), oder
ii) wenn er Kenntnis davon erlangt, dass eine Behörde nach den Rechtsvorschriften des Bestimmungslandes direkten Zugang zu personenbezogenen Daten hat, die gemäß diesen Klauseln übermittelt wurden; diese Benachrichtigung muss alle dem Datenimporteur verfügbaren Informationen enthalten.
[In Bezug auf Modul drei: Der Datenexporteur leitet die Benachrichtigung an den Verantwortlichen weiter.]
b) Ist es dem Datenimporteur gemäß den Rechtsvorschriften des Bestimmungslandes untersagt, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, so erklärt sich der Datenimporteur einverstanden, sich nach besten Kräften um eine Aufhebung des Verbots zu bemühen, damit möglichst viele Informationen so schnell wie möglich mitgeteilt werden können. Der Datenimporteur verpflichtet sich, seine Anstrengungen zu dokumentieren, um diese auf Verlangen des Datenexporteurs nachweisen zu können.
c) Soweit dies nach den Rechtsvorschriften des Bestimmungslandes zulässig ist, erklärt sich der Datenimporteur bereit, dem Datenexporteur während der Vertragslaufzeit in regelmäßigen Abständen möglichst viele sachdienliche Informationen über die eingegangenen Ersuchen zur Verfügung zu stellen (insbesondere Anzahl der Ersuchen, Art der angeforderten Daten, ersuchende Behörde(n), ob Ersuchen angefochten wurden und das Ergebnis solcher Anfechtungen usw.). [In Bezug auf Modul drei: Der Datenexporteur leitet die Informationen an den Verantwortlichen weiter.]
d) Der Datenimporteur erklärt sich damit einverstanden, die Informationen gemäß den Buchstaben a bis c während der Vertragslaufzeit aufzubewahren und der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
e) Die Buchstaben a bis c gelten unbeschadet der Pflicht des Datenimporteurs gemäß Klausel 14 Buchstabe e und Klausel 16, den Datenexporteur unverzüglich zu informieren, wenn er diese Klauseln nicht einhalten kann.
15.2. Überprüfung der Rechtmäßigkeit und Datenminimierung
a) Der Datenimporteur erklärt sich damit einverstanden, die Rechtmäßigkeit des Offenlegungsersuchens zu überprüfen, insbesondere ob das Ersuchen im Rahmen der Befugnisse liegt, die der ersuchenden Behörde übertragen wurden, und das Ersuchen anzufechten, wenn er nach sorgfältiger Beurteilung zu dem Schluss kommt, dass hinreichende Gründe zu der Annahme bestehen, dass das Ersuchen nach den Rechtsvorschriften des Bestimmungslandes, gemäß geltenden völkerrechtlichen Verpflichtungen und nach den Grundsätzen der Völkercourtoisie rechtswidrig ist. Unter den genannten Bedingungen sind vom Datenimporteur mögliche Rechtsmittel einzulegen. Bei der Anfechtung eines Ersuchens erwirkt der Datenimporteur einstweilige Maßnahmen, um die Wirkung des Ersuchens auszusetzen, bis die zuständige Justizbehörde über dessen Begründetheit entschieden hat. Er legt die angeforderten personenbezogenen Daten erst offen, wenn dies nach den geltenden Verfahrensregeln erforderlich ist. Diese Anforderungen gelten unbeschadet der Pflichten des Datenimporteurs gemäß Klausel 14 Buchstabe e.
b) Der Datenimporteur erklärt sich damit einverstanden, seine rechtliche Beurteilung und eine etwaige Anfechtung des Offenlegungsersuchens zu dokumentieren und diese Unterlagen dem Datenexporteur zur Verfügung zu stellen, soweit dies nach den Rechtsvorschriften des Bestimmungslandes zulässig ist. Auf Anfrage stellt er diese Unterlagen auch der zuständigen Aufsichtsbehörde zur Verfügung. [In Bezug auf Modul drei: Der Datenexporteur stellt die Beurteilung dem Verantwortlichen zur Verfügung.]
c) Der Datenimporteur erklärt sich damit einverstanden, bei der Beantwortung eines Offenlegungsersuchens auf der Grundlage einer vernünftigen Auslegung des Ersuchens die zulässige Mindestmenge an Informationen bereitzustellen.
7.6.2021 Amtsblatt der Europäischen Union L 199/55
DE
ABSCHNITT IV — SCHLUSSBESTIMMUNGEN
Klausel 16
Verstöße gegen die Klauseln und Beendigung des Vertrags
a) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Klauseln einzuhalten.
b) Verstößt der Datenimporteur gegen diese Klauseln oder kann er diese Klauseln nicht einhalten, setzt der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aus, bis der Verstoß beseitigt oder der Vertrag beendet ist. Dies gilt unbeschadet von Klausel 14 Buchstabe f.
c) Der Datenexporteur ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn
i) der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Buchstabe b ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb einer einmonatigen Aussetzung, wiederhergestellt wurde,
ii) der Datenimporteur in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstößt oder
iii) der Datenimporteur einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer zuständigen Aufsichtsbehörde, die seine Pflichten gemäß diesen Klauseln zum Gegenstand hat, nicht nachkommt.
In diesen Fällen unterrichtet der Datenexporteur die zuständige Aufsichtsbehörde [in Bezug auf Modul drei: und den Verantwortlichen] über derartige Verstöße. Sind mehr als zwei Parteien an dem Vertrag beteiligt, so kann der Datenexporteur von diesem Kündigungsrecht nur gegenüber der verantwortlichen Partei Gebrauch machen, sofern die Parteien nichts anderes vereinbart haben.
d) [In Bezug auf die Module eins, zwei und drei: Personenbezogene Daten, die vor Beendigung des Vertrags gemäß Buchstabe c übermittelt wurden, müssen nach Wahl des Datenexporteurs unverzüglich an diesen zurückgegeben oder vollständig gelöscht werden. Dies gilt gleichermaßen für alle Kopien der Daten.] [In Bezug auf Modul vier: Von dem in der EU ansässigen Datenexporteur erhobene personenbezogene Daten, die vor Beendigung des Vertrags gemäß Buchstabe c übermittelt wurden, müssen unverzüglich vollständig gelöscht werden, einschließlich aller Kopien.] Der Datenimporteur bescheinigt dem Datenexporteur die Löschung. Bis zur Löschung oder Rückgabe der Daten stellt der
Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Falls für den Datenimporteur lokale Rechtsvorschriften gelten, die ihm die Rückgabe oder Löschung der übermittelten personenbezogenen Daten untersagen, sichert der Datenimporteur zu, dass er die Einhaltung dieser Klauseln auch weiterhin gewährleistet und diese Daten nur in dem Umfang und so lange verarbeitet, wie dies gemäß den betreffenden lokalen Rechtsvorschriften erforderlich ist.
e) Jede Partei kann ihre Zustimmung widerrufen, durch diese Klauseln gebunden zu sein, wenn i) die Europäische Kommission einen Beschluss nach Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 erlässt, der sich auf die Übermittlung personenbezogener Daten bezieht, für die diese Klauseln gelten, oder ii) die Verordnung (EU) 2016/679 Teil des Rechtsrahmens des Landes wird, an das die personenbezogenen Daten übermittelt werden. Dies gilt unbeschadet anderer Verpflichtungen, die für die betreffende Verarbeitung gemäß der Verordnung (EU) 2016/679 gelten.
Klausel 17
Anwendbares Recht
MODUL EINS: Übermittlung von Verantwortlichen an Verantwortliche
MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
[OPTION 1: Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, sofern dieses Recht Rechte als Drittbegünstigte zulässt. Die Parteien vereinbaren, dass dies das Recht von _______ (Mitgliedstaat angeben) ist.]
[OPTION 2 (in Bezug auf die Module zwei und drei): Diese Klauseln unterliegen dem Recht des EU Mitgliedstaats, in dem der Datenexporteur niedergelassen ist. Wenn dieses Recht keine Rechte als Drittbegünstigte zulässt, unterliegen diese Klauseln dem Recht eines anderen EU-Mitgliedstaats, das Rechte als Drittbegünstigte zulässt. Die Parteien vereinbaren, dass dies das Recht von _______ (Mitgliedstaat angeben) ist.]
L 199/56 Amtsblatt der Europäischen Union 7.6.2021
DE
MODUL VIER: Übermittlung von Auftragsverarbeitern an Verantwortliche
Diese Klauseln unterliegen dem Recht eines Landes, das Rechte als Drittbegünstigte zulässt. Die Parteien vereinbaren, dass dies das Recht von _______ (Land angeben) ist.
Klausel 18
Gerichtsstand und Zuständigkeit
MODUL EINS: Übermittlung von Verantwortlichen an Verantwortliche
MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
a) Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten eines EU-Mitgliedstaats beigelegt. b) Die Parteien vereinbaren, dass dies die Gerichte von _____ (Mitgliedstaat angeben) sind.
c) Eine betroffene Person kann Klage gegen den Datenexporteur und/oder den Datenimporteur auch vor den Gerichten des Mitgliedstaats erheben, in dem sie ihren gewöhnlichen Aufenthaltsort hat.
d) Die Parteien erklären sich damit einverstanden, sich der Zuständigkeit dieser Gerichte zu unterwerfen. MODUL VIER: Übermittlung von Auftragsverarbeitern an Verantwortliche
Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten von _____ (Land angeben) beigelegt.
7.6.2021 Amtsblatt der Europäischen Union L 199/57
DE
ANLAGE
ERLÄUTERUNG:
Es muss möglich sein, die für jede Datenübermittlung oder jede Kategorie von Datenübermittlungen geltenden Informationen klar voneinander zu unterscheiden und in diesem Zusammenhang die jeweilige(n) Rolle(n) der Parteien als Datenexporteur(e) und/oder Datenimporteur(e) zu bestimmen. Dies erfordert nicht zwingend, dass für jede Datenüber mittlung bzw. jede Kategorie von Datenübermittlungen und/oder für jedes Vertragsverhältnis getrennte Anlagen ausgefüllt und unterzeichnet werden müssen, sofern die geforderte Transparenz bei Verwendung einer einzigen Anlage erzielt werden kann. Erforderlichenfalls sollten getrennte Anlagen verwendet werden, um ausreichende Klarheit zu gewährleisten.
L 199/58 Amtsblatt der Europäischen Union 7.6.2021
DE
ANHANG I
A. LISTE DER PARTEIEN
MODUL EINS: Übermittlung von Verantwortlichen an Verantwortliche
MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
MODUL VIER: Übermittlung von Auftragsverarbeitern an Verantwortliche
Datenexporteur(e): [Name und Kontaktdaten des Datenexporteurs/der Datenexporteure und gegebenenfalls seines/ihres Datenschutzbeauftragten und/oder Vertreters in der Europäischen Union]
1. Name: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anschrift: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Name, Funktion und Kontaktdaten der Kontaktperson: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten von Belang sind: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Unterschrift und Datum: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Rolle (Verantwortlicher/Auftragsverarbeiter): . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Datenimporteur(e): [Name und Kontaktdaten des Datenexporteurs/der Datenimporteure, einschließlich jeder für den Datenschutz zuständigen Kontaktperson]
1. Name: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anschrift: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Name, Funktion und Kontaktdaten der Kontaktperson: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten von Belang sind: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Unterschrift und Datum: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Rolle (Verantwortlicher/Auftragsverarbeiter): . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
B. BESCHREIBUNG DER DATENÜBERMITTLUNG
MODUL EINS: Übermittlung von Verantwortlichen an Verantwortliche
MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
MODUL VIER: Übermittlung von Auftragsverarbeitern an Verantwortliche
Kategorien betroffener Personen, deren personenbezogene Daten übermittelt werden
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kategorien der übermittelten personenbezogenen Daten
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Übermittelte sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Garantien, die der Art der Daten und den verbundenen Risiken in vollem Umfang Rechnung tragen, z. B. strenge Zweckbindung, Zugangsbeschränkungen (einschließlich des Zugangs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnungen über den Zugang zu den Daten, Beschränkungen für Weiterübermittlungen oder zusätzliche Sicherheitsmaßnahmen
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Häufigkeit der Übermittlung (z. B. ob die Daten einmalig oder kontinuierlich übermittelt werden)
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7.6.2021 Amtsblatt der Europäischen Union L 199/59
DE
Art der Verarbeitung
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zweck(e) der Datenübermittlung und Weiterverarbeitung
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bei Datenübermittlungen an (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE
MODUL EINS: Übermittlung von Verantwortlichen an Verantwortliche
MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
Angabe der zuständigen Aufsichtsbehörde(n) gemäß Klausel 13
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
L 199/60 Amtsblatt der Europäischen Union 7.6.2021
DE
ANHANG II
TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH ZUR GEWÄHRLEISTUNG DER SICHERHEIT DER DATEN
MODUL EINS: Übermittlung von Verantwortlichen an Verantwortliche
MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
ERLÄUTERUNG:
Die technischen und organisatorischen Maßnahmen müssen konkret (nicht allgemein) beschrieben werden. Beachten Sie hierzu bitte auch die allgemeine Erläuterung auf der ersten Seite der Anlage; insbesondere ist klar anzugeben, welche Maßnahmen für jede Datenübermittlung bzw. jede Kategorie von Datenübermittlungen gelten.
Beschreibung der von dem/den Datenimporteur(en) ergriffenen technischen und organisatorischen Maßnahmen (einschließlich aller relevanten Zertifizierungen) zur Gewährleistung eines angemessenen Schutzniveaus unter Berücksichtigung der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen
[Beispiele für mögliche Maßnahmen:
Maßnahmen der Pseudonymisierung und Verschlüsselung personenbezogener Daten
Maßnahmen zur fortdauernden Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung
Maßnahmen zur Sicherstellung der Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
Maßnahmen zur Identifizierung und Autorisierung der Nutzer
Maßnahmen zum Schutz der Daten während der Übermittlung
Maßnahmen zum Schutz der Daten während der Speicherung
Maßnahmen zur Gewährleistung der physischen Sicherheit von Orten, an denen personenbezogene Daten verarbeitet werden Maßnahmen zur Gewährleistung der Protokollierung von Ereignissen
Maßnahmen zur Gewährleistung der Systemkonfiguration, einschließlich der Standardkonfiguration Maßnahmen für die interne Governance und Verwaltung der IT und der IT-Sicherheit Maßnahmen zur Zertifizierung/Qualitätssicherung von Prozessen und Produkten
Maßnahmen zur Gewährleistung der Datenminimierung
Maßnahmen zur Gewährleistung der Datenqualität
Maßnahmen zur Gewährleistung einer begrenzten Vorratsdatenspeicherung
Maßnahmen zur Gewährleistung der Rechenschaftspflicht
Maßnahmen zur Ermöglichung der Datenübertragbarkeit und zur Gewährleistung der Löschung
Bei Datenübermittlungen an (Unter-)Auftragsverarbeiter sind auch die spezifischen technischen und organisatorischen Maßnahmen zu beschreiben, die der (Unter-)Auftragsverarbeiter zur Unterstützung des Verantwortlichen und (bei Datenübermittlungen von einem Auftragsverarbeiter an einen Unterauftragsverarbeiter) zur Unterstützung des Datenexporteurs ergreifen muss.
7.6.2021 Amtsblatt der Europäischen Union L 199/61
DE
ANHANG III
LISTE DER UNTERAUFTRAGSVERARBEITER
MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
ERLÄUTERUNG:
Dieser Anhang muss für die Module zwei und drei im Falle einer gesonderten Genehmigung von Unterauftragsverarbeitern ausgefüllt werden (Klausel 9 Buchstabe a, Option 1).
Der Verantwortliche hat die Inanspruchnahme folgender Unterauftragsverarbeiter genehmigt:
1. Name: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anschrift: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Name, Funktion und Kontaktdaten der Kontaktperson: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten, falls mehrere Unterauftragsverarbeiter genehmigt werden): . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .