Die Datenschutzvereinbarung von SendPulse, auch "DSGVO" genannt, ist ein Teil der Nutzungsbedingungen von SendPulse. Sie bildet die Grundlage für die Zusammenarbeit zwischen Ihnen (dem Kunden, auch "Nutzer" oder "Sie" genannt) und SendPulse Inc. (auch "Unternehmen", "SendPulse", "wir", "uns", "unser" genannt). Diese Vereinbarung legt fest, wie SendPulse persönliche Daten, die Sie bereitstellen oder die im Rahmen der Dienste verarbeitet werden, handhabt. Dabei kann es sich um Daten handeln, die Sie hochladen oder die SendPulse für Sie verarbeitet. Jede Partei wird entweder als "Partei" oder gemeinsam als "Parteien" bezeichnet.

Sofern in dieser DPA nicht anders definiert, haben alle in dieser DPA verwendeten Begriffe in Großbuchstaben die in den SendPulse-Nutzungsbedingungen festgelegte Bedeutung. Diese DSGVO bleibt Diese DSGVO bleibt in Kraft, bis die Bedingungen zwischen dem Kunden und uns, die die Nutzung der Dienste durch den Kunden regeln, beendet werden oder auslaufen und alle personenbezogenen Daten gemäß Abschnitt 5.4 zurückgegeben oder gelöscht wurden.

1. Begriffsbestimmungen

Standardvertragsklauseln (SCC)” sind Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, die durch den Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021 gebilligt wurde, wie sie derzeit unter https://eurlex.europa.eu/eli/dec_impl/2021/914/oj zu finden sind.

Allgemeine Datenschutzverordnung (DSGVO)” bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.

Personenbezogene Daten” sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Betroffene Person” ist die identifizierte oder identifizierbare Person, auf die sich die personenbezogenen Daten beziehen.

Personenbezogene Daten des Kunden” sind personenbezogene Daten, die der Kunde hochlädt oder SendPulse auf andere Weise im Zusammenhang mit den Dienstleistungen zur Verfügung stellt, oder personenbezogene Daten, die SendPulse dem Kunden in seinem Namen im Zusammenhang mit der Erbringung von Dienstleistungen zur Verfügung stellt, oder sonstige personenbezogene Daten, für die der Kunde Datenverantwortlicher oder Datenverarbeiter und SendPulse Datenverarbeiter ist.

Andere Datenschutzgesetze und -vorschriften” bezeichnet alle Gesetze und Vorschriften, einschließlich der Gesetze und Vorschriften der Europäischen Union, des Europäischen Wirtschaftsraums und ihrer Mitgliedstaaten, der Vereinigten Staaten und ihrer Bundesstaaten, die auf die Verarbeitung personenbezogener Daten gemäß den Bedingungen in ihrer jeweils gültigen Fassung anwendbar sind, mit Ausnahme der DSGVO.

Ein “Subunternehmer” oder “Datenverarbeiter” ist jedes Unternehmen, das SendPulse unterstützende Verarbeitungsdienste bereitstellt, um die Datenverarbeitungsaufgaben, die SendPulse im Auftrag des Kunden ausführt, zu erleichtern.

Öffentliche Behörde” bedeutet eine Regierungs- oder Strafverfolgungsbehörde, einschließlich Justizbehörden.

Eine “Aufsichtsbehörde” ist eine unabhängige öffentliche Behörde, die für die Überwachung der Anwendung der Datenschutzvorschriften zuständig ist.

2. Rollen und Zuständigkeiten

2.1. Rollen gemäß GDPR

Wenn die DSGVO auf Ihre Datenverarbeitung anwendbar ist, erkennen Sie an und stimmen zu, dass Sie entweder als Verantwortlicher oder als Auftragsverarbeiter bezüglich der Verarbeitung von Kundendaten fungieren, während wir als Auftragsverarbeiter im Sinne der DSGVO agieren, der in Ihrem Auftrag tätig wird. Dies wird in den Standardvertragsklauseln, die im Rahmen dieser DSGVO vereinbart wurden (die "Klauseln"), und in den dazugehörigen Anhängen näher erläutert. Diese DSGVO findet keine Anwendung auf Situationen, in denen wir gemäß der Datenschutzrichtlinie von SendPulse als agieren.

2.2. Anwendung von SCCs

Wenn der Kunde als Verantwortlicher und als Datenexporteur von personenbezogenen Daten agiert und SendPulse als Auftragsverarbeiter sowie als Datenimporteur für diese personenbezogenen Daten fungiert, verpflichten sich beide Parteien zur Einhaltung von Anhang I (Standardvertragsklauseln zwischen dem Verantwortlichen und dem Auftragsverarbeiter) sowie der zugehörigen Anlage und Anhängen.

Wenn der Kunde als Auftragsverarbeiter und als Datenexporteur von personenbezogenen Daten agiert und SendPulse als Auftragsverarbeiter sowie als Datenimporteur für diese personenbezogenen Daten fungiert, verpflichten sich beide Parteien zur Einhaltung von Anhang II (Standardvertragsklauseln zwischen dem Auftragsverarbeiter und dem Auftragsverarbeiter) sowie der zugehörigen Anlage und Anhängen.

Die Anlage und die dazugehörigen Anhänge dieser DPA sind in gleichem Maße Teil der Anhänge I und II.

3. Anweisungen

Die Parteien vereinbaren, dass diese DPA und die Bedingungen Ihre vollständigen und endgültigen dokumentierten Anweisungen bezüglich unserer Verarbeitung von Kundendaten in Ihrem Namen (die "Anweisungen") darstellen. Alle zusätzlichen oder abweichenden Anweisungen müssen mit den Bestimmungen und Bedingungen dieser DPA und den Bedingungen übereinstimmen.

4. Ihre Verpflichtungen

Im Rahmen der DSGVO und der Nutzungsbedingungen und Ihrer Nutzung der Dienste sind Sie allein für die Einhaltung aller Anforderungen verantwortlich, die für Sie gemäß der DSGVO und anderer Datenschutzgesetze und -vorschriften gelten. Sie erklären und garantieren, dass Sie allein verantwortlich sind für:

(i) Die Richtigkeit, Qualität, Integrität, Vertraulichkeit und Sicherheit der gesammelten Kundendaten;

(ii) Die Einhaltung aller erforderlichen Transparenz-, Rechtmäßigkeits-, Fairness- und sonstigen Anforderungen der DSGVO und anderer Datenschutzgesetze und -vorschriften für die Erhebung und Verwendung der personenbezogenen Daten durch:

  • Einrichtung und Aufrechterhaltung des Verfahrens zur Ausübung der Rechte der betroffenen Personen, deren personenbezogene Daten im Namen des Kunden verarbeitet werden;
  • uns nur Daten zur Verfügung zu stellen, die rechtmäßig und gültig erlangt wurden, und sicherzustellen, dass diese Daten für die jeweiligen Verwendungszwecke relevant und verhältnismäßig sind;
  • Sicherstellung der Einhaltung der Bestimmungen dieser DSGVO und der Geschäftsbedingungen durch sein Personal oder durch Dritte, die in seinem Namen auf personenbezogene Daten des Kunden zugreifen oder diese nutzen.

(iii) Sicherstellung, dass Ihre Anweisungen an uns bezüglich der Verarbeitung von Kundendaten mit der DSGVO und anderen Datenschutzgesetzen und -vorschriften übereinstimmen. Dies beinhaltet die Beachtung der Grundsätze der Datenminimierung, der Zweckbindung und der Speicherbegrenzung; sowie

(iv) die Einhaltung aller geltenden Gesetze, Regeln und Vorschriften (einschließlich GDPR und anderer Datenschutzgesetze und – vorschriften) in Bezug auf alle Anweisungen, die Sie uns erteilen.

5. Unsere Verpflichtungen

5.1. Allgemeine Verpflichtungen

In Bezug auf die Verarbeitung personenbezogener Daten ist Sendpulse verpflichtet:

(i) Die personenbezogenen Daten des Kunden nur zum Zweck der Erbringung, Unterstützung und Verbesserung der Dienste zu verarbeiten, unter Verwendung angemessener technischer und organisatorischer Sicherheitsmaßnahmen und unter Einhaltung der vom Kunden erhaltenen Anweisungen gemäß den Abschnitten 3 und 4 dieser Datenschutzrichtlinie;

(ii) Den Kunden zu informieren, wenn SendPulse seinen Verpflichtungen aus dieser DPA nicht nachkommen kann; in diesem Fall kann der Kunde den Vertrag kündigen oder andere angemessene Maßnahmen ergreifen, einschließlich der Einstellung der Datenverarbeitung;

(iii) Den Kunden zu informieren, wenn nach Ansicht von SendPulse eine Anweisung des Kunden gegen die Bestimmungen der DSGVO oder andere Datenschutzgesetze und -vorschriften verstoßen könnte;

(iv) Die Anweisungen des Kunden hinsichtlich der Erhebung personenbezogener Kundendaten zu befolgen (einschließlich der Benachrichtigung und der Ausübung des Wahlrechts), wenn SendPulse personenbezogene Kundendaten von betroffenen Personen im Namen des Kunden gemäß den Bedingungen erhebt;

(v) Angemessene Maßnahmen zu ergreifen, um sicherzustellen, dass alle Mitarbeiter/Auftragnehmer, denen SendPulse in seinem Namen den Zugang zu Kundendaten gestattet, die entsprechenden Bestimmungen der Geschäftsbedingungen und dieser Datenschutzrichtlinie einhalten.

5.2. Mitteilungen an den Kunden

Sobald wir davon Kenntnis erlangen, werden wir Sie über jede rechtsverbindliche Aufforderung einer Behörde zur Offenlegung personenbezogener Kundendaten informieren, es sei denn, SendPulse ist es gesetzlich untersagt, den Kunden zu informieren, z. B. um die Vertraulichkeit einer Untersuchung durch eine Behörde zu wahren. SendPulse wird den Kunden informieren, wenn es von einer Mitteilung, Anfrage oder Untersuchung einer Aufsichtsbehörde in Bezug auf die Verarbeitung personenbezogener Kundendaten im Rahmen dieser DSGVO zwischen Ihnen und uns Kenntnis erhält.

5.3. Sicherheitsmaßnahmen

SendPulse ergreift und unterhält angemessene technische und organisatorische Maßnahmen zum Schutz der Kundendaten vor Verletzungen des Schutzes personenbezogener Daten (die "Sicherheitsvorfälle") in Übereinstimmung mit unseren in Anhang II dieser Datenschutzvereinbarung dargelegten Sicherheitsstandards. Sie erkennen an, dass die Sicherheitsmaßnahmen dem technischen Fortschritt unterliegen, so dass wir Anhang II nach unserem alleinigen Ermessen ändern oder aktualisieren können, sofern eine solche Änderung oder Aktualisierung nicht zu einer wesentlichen Verschlechterung der in Anhang II dieser DSGVO zum Zeitpunkt der Unterzeichnung dieser DSGVO angebotenen Sicherheitsmaßnahmen führt.

5.4. Umgang mit Datenlecks

Im Falle eines Datenlecks verpflichtet sich SendPulse: (i) Sie sofort nach Entdeckung zu informieren; (ii) Ihnen schnellstmöglich Details zum Datenleck zu liefern, sobald es bekannt wird oder wenn Sie danach fragen; und (iii) direkt geeignete Maßnahmen zu ergreifen, um das Datenleck einzudämmen und zu untersuchen, damit Sie die zuständigen Stellen und betroffene Personen informieren können. Unsere Mitteilung über ein Datenleck oder unsere Reaktion darauf soll nicht als Eingeständnis eines Fehlers oder einer Verantwortung dafür angesehen werden.

5.5. Vertraulichkeit

SendPulse wird auf Kundendaten weder zugreifen noch sie verwenden oder an Dritte weitergeben, es sei denn, dies ist zur Aufrechterhaltung oder Erbringung der Dienstleistungen oder zur Erfüllung vertraglicher und gesetzlicher Verpflichtungen oder verbindlicher Anordnungen öffentlicher Stellen (z. B. Vorladungen oder Gerichtsbeschlüsse) erforderlich. Wir stellen sicher, dass alle Mitarbeiter/Auftragnehmer, denen wir in unserem Namen Zugang zu Kundendaten gewähren, angemessenen vertraglichen oder gesetzlichen Vertraulichkeitsverpflichtungen in Bezug auf Kundendaten unterliegen, auch nach dem Ende ihres jeweiligen Beschäftigungsverhältnisses oder der Beendigung oder dem Auslaufen ihres Vertrags.

5.6. Rückgabe oder Löschung von Kundendaten

SendPulse wird nach Wahl des Kunden alle personenbezogenen Daten des Kunden und Kopien dieser Daten an den Kunden zurückgeben oder sie sicher vernichten und zur Zufriedenheit des Kunden nachweisen, dass es diese Maßnahmen ergriffen hat, es sei denn, die DSGVO oder andere Datenschutzgesetze und -vorschriften hindern SendPulse daran, alle oder einen Teil der personenbezogenen Daten des Kunden in unserem Besitz zurückzugeben oder zu vernichten. In einem solchen Fall verpflichtet sich SendPulse, die Vertraulichkeit der aufbewahrten personenbezogenen Kundendaten zu wahren und die personenbezogenen Kundendaten nach diesem Zeitpunkt nur aktiv zu verarbeiten, um die geltenden Gesetze und Vorschriften oder vertraglichen Verpflichtungen zu erfüllen.

5.7. Angemessene Unterstützung

SendPulse verpflichtet sich, den Kunden in angemessener Weise zu unterstützen:

(i) Jede Anfrage einer betroffenen Person in Bezug auf den Zugang zu oder die Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Sperrung oder Löschung von personenbezogenen Daten des Kunden, die SendPulse im Namen des Kunden übermittelt. Richtet eine betroffene Person einen solchen Antrag direkt an SendPulse, so gilt Abschnitt 7 dieser DSGVO;

(ii) Die Untersuchung von Sicherheitsvorfällen und die Übermittlung der erforderlichen Mitteilungen über solche Sicherheitsvorfälle gemäß Abschnitt 5.4 dieser Datenschutzvereinbarung;

(iii) Vorbereitung von Datenschutz-Folgenabschätzungen und, falls erforderlich, Konsultation des Kunden mit der Aufsichtsbehörde gemäß Artikel 35 und 36 der Datenschutz-Grundverordnung.

6. Prüfung und Zertifizierung

Verlangt eine Aufsichtsbehörde eine Prüfung der Datenverarbeitungsanlagen, in denen SendPulse personenbezogene Daten des Kunden verarbeitet, um die Einhaltung der DSGVO oder anderer Datenschutzgesetze und -vorschriften durch den Kunden festzustellen oder zu überwachen, wird SendPulse bei einer solchen Prüfung kooperieren. Der Kunde ist für alle Kosten und Gebühren im Zusammenhang mit einer solchen Prüfung verantwortlich, einschließlich aller angemessenen Kosten und Gebühren für die Zeit, die SendPulse für eine solche Prüfung aufwendet, zusätzlich zu den Tarifen für die von SendPulse erbrachten Dienstleistungen.

Der Kunde kann vor Beginn der Verarbeitung und danach in regelmäßigen Abständen die von SendPulse getroffenen technischen und organisatorischen Maßnahmen überprüfen. Ist der Kunde der für die Verarbeitung personenbezogener Daten Verantwortliche, die SendPulse in seinem Auftrag verarbeitet, kann Sendpulse dem Kunden nach angemessener und rechtzeitiger vorheriger Zustimmung während der regulären Geschäftszeiten und ohne Unterbrechung des Geschäftsbetriebs von SendPulse alle Informationen zur Verfügung stellen, die für den Nachweis der Einhaltung seiner Verpflichtungen gemäß Artikel 28 DSGVO erforderlich sind, und Audits, einschließlich Inspektionen, die vom Kunden oder einem anderen vom Kunden beauftragten Prüfer in Bezug auf diese Verarbeitung durchgeführt werden, zulassen und dazu beitragen.

SendPulse stellt dem Kunden auf dessen schriftliche Anfrage hin innerhalb einer angemessenen Frist alle für eine solche Prüfung benötigten Informationen für eine Prüfung zur Verfügung, vorausgesetzt, diese Informationen liegen bei SendPulse vor. Dies erfolgt nur, wenn keine gesetzlichen, vertraulichen Bindungen oder andere Verpflichtungen gegenüber Dritten eine Offenlegung verhindern.

7. Antrag der betroffenen Person

Sollte sich eine betroffene Person mit uns in Verbindung setzen, um ihre Rechte gemäß der DSGVO und anderen Datenschutzgesetzen und -vorschriften geltend zu machen (insbesondere Anträge auf Zugang, Berichtigung oder Sperrung personenbezogener Kundendaten), werden wir alle angemessenen Anstrengungen unternehmen, um solche Anträge an Sie weiterzuleiten. Wenn wir gesetzlich verpflichtet sind, auf eine solche Anfrage zu antworten, werden wir Sie unverzüglich benachrichtigen und Ihnen eine Kopie der Anfrage zukommen lassen, es sei denn, es ist uns gesetzlich untersagt, dies zu tun.

8. Subunternehmer" oder "Datenverarbeiter und Drittverarbeiter

Sie erklären sich damit einverstanden, dass wir in Übereinstimmung mit den Bestimmungen in Ziffer 9 der jeweiligen SCC Subunternehmer beauftragen können, die uns bei der Erfüllung unserer Verpflichtungen in Bezug auf die Erbringung der Dienstleistungen gemäß den Bedingungen unterstützen. Wir verpflichten uns, den Kunden über alle beabsichtigten Änderungen in Bezug auf die Hinzufügung oder den Austausch von Subunternehmer zu informieren und ihm so die Möglichkeit zu geben, innerhalb der in den SCC festgelegten Frist Einspruch gegen solche Änderungen zu erheben.

Der Kunde erkennt an, dass SendPulse bei der Erbringung einiger Dienstleistungen auf Anweisung des Kunden personenbezogene Daten des Kunden an dritte Datenverarbeiter weitergeben und anderweitig mit diesen zusammenarbeiten kann. Der Kunde erklärt sich damit einverstanden, dass er, wenn und soweit solche Übertragungen stattfinden, dafür verantwortlich ist, mit diesen dritten Datenverarbeitern separate vertragliche Vereinbarungen zu treffen, die sie zur Einhaltung der Verpflichtungen gemäß der DSGVO und anderer Datenschutzgesetze und -vorschriften verpflichten. Um Zweifel auszuschließen, sind solche Drittdatenverarbeiter keine Subunternehmer im Sinne dieser DPA.

9. Übermittlung von Kundendaten

Die Parteien verpflichten sich, die durch die DSGVO geschützten Kundendaten in Übereinstimmung mit den durch den Beschluss 2021/914 der Europäischen Kommission vom 4. Juni 2021 genehmigten Standardvertragsklauseln zu verarbeiten, um angemessene Garantien in Bezug auf den Schutz der Privatsphäre und der Grundrechte und -freiheiten natürlicher und juristischer Personen bei der Übermittlung personenbezogener Daten zu bieten, die in den Anhängen und Ergänzungen zu dieser DPA aufgeführt sind.

ADDENDUM II

Standard Vertragsregeln (zwischen Dienstleistern)

ABSCHNITT I

Klausel 1. Zweck und Anwendungsbereich

Für die Zwecke der Klauseln:

(a) Zweck dieser Standard Vertragsregeln ist es, die Einhaltung der Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) bei der Übermittlung personenbezogener Daten in ein Drittland zu gewährleisten.

(b) Die Parteien:

(i) Die natürliche(n) oder juristische(n) Person(en), Behörde(n), Einrichtung(en) oder sonstige(n) Stelle(n) (nachstehend "Stelle(n)" genannt), die die personenbezogenen Daten übermitteln, wie in Anhang I.A aufgeführt (nachstehend jeweils "Datenexporteur" genannt), und

(ii) Die Organisation(n) in einem Drittland, die die personenbezogenen Daten vom Datenexporteur direkt oder indirekt über eine andere Organisation, die ebenfalls Vertragspartei dieser Klauseln ist und in Anhang I.A aufgeführt ist, erhält/erhalten (nachstehend "Datenimporteur") haben diesen Standard Vertragsregeln (im Folgenden: "Klauseln") zugestimmt.

have agreed to these standard contractual clauses (hereinafter: ‘Clauses’).

(c) Diese Klauseln gelten für die Übermittlung personenbezogener Daten, wie sie in Anhang I.B aufgeführt sind.

(d) Die Anlage zu diesen Klauseln, die die darin genannten Anhänge enthält, ist Bestandteil dieser Klauseln.

Klausel 2. Wirkung und Unveränderlichkeit der Klauseln

Diese Klauseln enthalten geeignete Garantien, einschließlich durchsetzbarer Rechte der betroffenen Person und wirksamer Rechtsbehelfe, gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 und - in Bezug auf Datenübermittlungen von für die Verarbeitung Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter - Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679, sofern sie nicht geändert werden, außer um das/die geeignete(n) Modul(e) auszuwählen oder um Informationen im Anhang hinzuzufügen oder zu aktualisieren. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfassenderen Vertrag einzubeziehen und/oder andere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese nicht direkt oder indirekt im Widerspruch zu diesen Klauseln stehen oder die Grundrechte oder -freiheiten der betroffenen Personen beeinträchtigen.

(b) TDiese Klauseln gelten unbeschadet der Verpflichtungen, denen der Datenexporteur aufgrund der Verordnung (EU) 2016/679 unterliegt.

Klausel 3. Drittbegünstigte

(a) Die betroffenen Personen können diese Klauseln als Drittbegünstigte gegenüber dem Datenexporteur und/oder Datenimporteur geltend machen und durchsetzen, mit folgenden Ausnahmen:

(i) Paragraph 1, Paragraph 2, Paragraph 3, Paragraph 6, Paragraph 7;

(ii) Klausel 8.1 (a), (c) und (d) und Klausel 8.9 (a), (c), (d), (e), (f) und (g);

(iii) Klausel 9 Buchstaben a, c, d und e;/

(iv) Klausel 12 Buchstaben a, d und f;

(v) Klausel 13;

(vi) Klausel 15.1 Buchstaben c, d und e;

(vii) Klausel 16(e);

(viii) Klausel 18 Buchstaben a) und b).

(b) Buchstabe a gilt unbeschadet der Rechte der betroffenen Personen gemäß der Verordnung (EU) 2016/679.

Klausel 4. Auslegung

(a) Wenn in diesen Klauseln Begriffe verwendet werden, die in der Verordnung (EU) 2016/679 definiert sind, haben diese Begriffe die gleiche Bedeutung wie in der genannten Verordnung.

(b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 zu lesen und auszulegen.

(c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die im Widerspruch zu den Rechten und Pflichten gemäß der Verordnung (EU) 2016/679 steht.

Klausel 5. Hierarchie

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen der zum Zeitpunkt der Vereinbarung dieser Klauseln bestehenden oder später abgeschlossenen Vereinbarungen zwischen den Parteien sind diese Klauseln maßgebend.

Klausel 6. Beschreibung der Übertragung(en)

Die Einzelheiten der Übermittlung(en), insbesondere die Kategorien personenbezogener Daten, die übermittelt werden, und der Zweck/die Zwecke, zu dem/denen sie übermittelt werden, sind in Anhang I.B aufgeführt.

Klausel 7. Beitrittsklausel

(a) Ein Rechtsträger, der nicht Vertragspartei dieser Klauseln ist, kann mit Zustimmung der Vertragsparteien diesen Klauseln jederzeit entweder als Datenexporteur oder als Datenimporteur beitreten, indem er die Anlage ausfüllt und Anhang I.A unterzeichnet.

(b) Sobald die beitretende Einrichtung die Anlage ausgefüllt und Anhang I.A unterzeichnet hat, wird sie Vertragspartei dieser Klauseln und hat die Rechte und Pflichten eines Datenexporteurs oder Datenimporteurs gemäß ihrer Bezeichnung in Anhang I.A.

(c) Der beitretende Rechtsträger hat keine Rechte und Pflichten, die sich aus diesen Klauseln aus der Zeit vor seinem Beitritt ergeben.

ABSCHNITT II – VERPFLICHTUNGEN DER PARTEIEN

Klausel 8. Gewährleistung des Datenschutzes

Der Datenexporteur gewährleistet, dass er sich in angemessener Weise vergewissert hat, dass der Datenimporteur durch geeignete technische und organisatorische Maßnahmen in der Lage ist, seinen Verpflichtungen aus diesen Klauseln nachzukommen.

8.1 Anweisungen

(a) Der Datenexporteur hat dem Datenimporteur mitgeteilt, dass er als Auftragsverarbeiter gemäß den Anweisungen des/der für die Verarbeitung Verantwortlichen handelt, die der Datenexporteur dem Datenimporteur vor der Verarbeitung zur Verfügung stellt.

(b) Der Datenimporteur verarbeitet die personenbezogenen Daten nur auf der Grundlage der dokumentierten Anweisungen des für die Verarbeitung Verantwortlichen, die dem Datenimporteur vom Datenexporteur mitgeteilt wurden, sowie etwaiger zusätzlicher dokumentierter Anweisungen des Datenexporteurs. Solche zusätzlichen Anweisungen dürfen nicht im Widerspruch zu den Anweisungen des für die Verarbeitung Verantwortlichen stehen. Der für die Verarbeitung Verantwortliche oder der Datenexporteur kann während der gesamten Laufzeit des Vertrags weitere dokumentierte Anweisungen zur Datenverarbeitung erteilen.

(c) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er diese Anweisungen nicht befolgen kann. Ist der Datenimporteur nicht in der Lage, die Anweisungen des für die Verarbeitung Verantwortlichen zu befolgen, so unterrichtet der Datenexporteur unverzüglich den für die Verarbeitung Verantwortlichen.

(d) Der Datenexporteur gewährleistet, dass er dem Datenimporteur dieselben Datenschutz-Verpflichtungen auferlegt hat, die in dem Vertrag oder einem anderen Rechtsakt nach Unionsrecht oder dem Recht eines Mitgliedstaats zwischen dem für die Verarbeitung Verantwortlichen und dem Datenexporteur festgelegt sind.

8.2 Zweckbindung

Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den/die in Anhang I.B. genannten Zweck(e) der Übermittlung, es sei denn, der für die Verarbeitung Verantwortliche hat dem Datenimporteur weitere Anweisungen erteilt, die ihm vom Datenexporteur mitgeteilt wurden, oder der Datenexporteur hat sie ihm mitgeteilt.

8.3 Transparenz

Auf Anfrage gibt der Datenexporteur der betroffenen Person kostenlos eine Kopie dieser Klauseln, inklusive des von den Parteien ausgefüllten Anhangs. Falls nötig, um Geschäftsgeheimnisse oder andere sensible Informationen, darunter personenbezogene Daten, zu schützen, darf der Datenexporteur bestimmte Teile des Anhangstextes unleserlich machen. Er muss jedoch eine informative Zusammenfassung bereitstellen, sodass die betroffene Person den Inhalt nachvollziehen und ihre Rechte wahrnehmen kann, falls sie sonst den Inhalt nicht verstehen könnte. Auf Nachfrage erklären die Vertragsparteien der betroffenen Person die Gründe für die Schwärzungen, sofern dies ohne Preisgabe der geschwärzten Informationen möglich ist.

8.4 Richtigkeit der Daten

Stellt der Datenimporteur fest, dass die von ihm erhaltenen personenbezogenen Daten unrichtig oder veraltet sind, so teilt er dies dem Datenexporteur unverzüglich mit. In diesem Fall arbeitet der Datenimporteur mit dem Datenexporteur bei der Berichtigung oder Löschung der Daten zusammen.

8.5 Dauer der Verarbeitung und Löschung oder Rückgabe der Daten

Nach Beendigung der Erbringung der Verarbeitungsdienste löscht der Datenimporteur nach Wahl des Datenexporteurs alle im Auftrag des für die Verarbeitung Verantwortlichen verarbeiteten personenbezogenen Daten und bescheinigt dem Datenexporteur, dass er dies getan hat, oder er gibt dem Datenexporteur alle in seinem Auftrag verarbeiteten personenbezogenen Daten zurück und löscht vorhandene Kopien. Bis zur Löschung oder Rückgabe der Daten hat der Datenimporteur weiterhin die Einhaltung dieser Klauseln zu gewährleisten. Für den Fall, dass die für den Datenimporteur geltenden lokalen Gesetze die Rückgabe oder Löschung der personenbezogenen Daten verbieten, garantiert der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln gewährleistet und die Daten nur in dem Umfang und so lange verarbeitet, wie es die lokalen Gesetze verlangen. Dies gilt unbeschadet der Klausel 14, insbesondere der Verpflichtung des Datenimporteurs gemäß Klausel 14 Buchstabe e), den Datenexporteur während der gesamten Laufzeit des Vertrags zu benachrichtigen, wenn er Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterworfen wurde, die nicht mit den Anforderungen gemäß Klausel 14 Buchstabe a) im Einklang stehen.

8.6 Sicherheit der Verarbeitung

(a) Der Datenimporteur und bei der Übermittlung auch der Datenexporteur treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einer Sicherheitsverletzung, die zur zufälligen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Weitergabe oder zum unbefugten Zugang zu diesen Daten führt (im Folgenden "Verletzung des Schutzes personenbezogener Daten"). Bei der Bewertung des angemessenen Sicherheitsniveaus tragen sie dem Stand der Technik, den Kosten der Umsetzung, der Art, dem Umfang, den Umständen und dem Zweck/den Zwecken der Verarbeitung sowie den mit der Verarbeitung verbundenen Risiken für die betroffene Person gebührend Rechnung. Die Vertragsparteien erwägen insbesondere den Rückgriff auf Verschlüsselung oder Pseudonymisierung, auch während der Übermittlung, wenn der Zweck der Verarbeitung auf diese Weise erfüllt werden kann. Im Falle der Pseudonymisierung verbleiben die zusätzlichen Informationen, mit denen die personenbezogenen Daten einer bestimmten betroffenen Person zugeordnet werden können, nach Möglichkeit unter der ausschließlichen Kontrolle des Datenexporteurs oder des für die Verarbeitung Verantwortlichen. Der Datenimporteur kommt seinen Verpflichtungen nach diesem Absatz nach, indem er zumindest die in Anhang II genannten technischen und organisatorischen Maßnahmen durchführt. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Maß an Sicherheit bieten.

(b) Der Datenimporteur gewährt seinen Mitarbeitern nur insoweit Zugang zu den Daten, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Er stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(c) Im Falle einer Verletzung des Schutzes personenbezogener Daten in Bezug auf personenbezogene Daten, die vom Datenimporteur im Rahmen dieser Klauseln verarbeitet werden, ergreift der Datenimporteur geeignete Maßnahmen, um die Verletzung zu beheben, einschließlich Maßnahmen zur Milderung ihrer nachteiligen Auswirkungen. Der Datenimporteur benachrichtigt außerdem unverzüglich den Datenexporteur und, soweit angemessen und durchführbar, den für die Verarbeitung Verantwortlichen, nachdem er von der Verletzung Kenntnis erhalten hat. Diese Benachrichtigung enthält die Angaben zu einer Kontaktstelle, bei der weitere Informationen eingeholt werden können, eine Beschreibung der Art der Verletzung (möglichst einschließlich der Kategorien und der ungefähren Zahl der betroffenen Personen und der betroffenen personenbezogenen Datensätze), ihre wahrscheinlichen Folgen und die getroffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung, einschließlich Maßnahmen zur Abschwächung ihrer möglichen nachteiligen Folgen. Ist es nicht möglich, alle Informationen gleichzeitig zur Verfügung zu stellen, so enthält die erste Benachrichtigung die zu diesem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, ohne unangemessene Verzögerung nachgereicht.

(d) Der Datenimporteur arbeitet mit dem Datenexporteur zusammen und unterstützt ihn, damit der Datenexporteur seinen Verpflichtungen gemäß der Verordnung (EU) 2016/679 nachkommen kann, insbesondere um seinen für die Verarbeitung Verantwortlichen zu benachrichtigen, damit dieser seinerseits die zuständige Aufsichtsbehörde und die betroffenen Personen benachrichtigen kann, wobei die Art der Verarbeitung und die dem Datenimporteur zur Verfügung stehenden Informationen berücksichtigt werden.

8.7 Sensible Daten

Wenn es um die Weitergabe von Daten geht, die Auskunft über Rasse, Ethnie, politische Einstellungen, religiöse oder philosophische Überzeugungen, Mitgliedschaft in einer Gewerkschaft, genetische oder biometrische Details zur Identifikation einer Person, Gesundheitszustand, sexuelles Leben oder Orientierung oder strafrechtliche Verurteilungen und Taten geben (im Folgenden "sensible Daten" genannt), setzt der Datenimporteur besondere Einschränkungen und/oder extra Schutzmaßnahmen ein. Diese sind in Anhang I.B beschrieben.

8.8 Weitergehende Übertragungen

Der Datenimporteur darf die personenbezogenen Daten nur auf dokumentierte Anweisung des für die Verarbeitung Verantwortlichen, die der Datenexporteur dem Datenimporteur mitgeteilt hat, an einen Dritten weitergeben. Darüber hinaus dürfen die Daten nur dann an einen Dritten außerhalb der Europäischen Union (im selben Land wie der Datenimporteur oder in einem anderen Drittland, nachstehend "Weitergabe") weitergegeben werden, wenn der Dritte im Rahmen des entsprechenden Moduls an diese Klauseln gebunden ist oder sich damit einverstanden erklärt, oder wenn:

(i) die Weiterübermittlung erfolgt in ein Land, für das ein Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 gilt, der die Weiterübermittlung abdeckt;

(ii) der Dritte anderweitig angemessene Garantien gemäß Artikel 46 oder 47 der Verordnung (EU) 2016/679 gewährleistet;

(iii) die Weitergabe ist für die Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen eines bestimmten Verwaltungs-, Aufsichts- oder Gerichtsverfahrens erforderlich; oder

(iv) die Weitergabe ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.

Jede Weiterübermittlung unterliegt der Einhaltung aller anderen Garantien dieser Klauseln durch den Datenimporteur, insbesondere der Zweckbindung.

8.9 Dokumentation und Einhaltung der Vorschriften

(a) Der Datenimporteur hat Anfragen des Datenexporteurs oder des für die Verarbeitung Verantwortlichen, die sich auf die Verarbeitung gemäß diesen Klauseln beziehen, unverzüglich und angemessen zu bearbeiten.

(b) Die Parteien müssen in der Lage sein, die Einhaltung dieser Klauseln nachzuweisen. Insbesondere führt der Datenimporteur eine angemessene Dokumentation über die im Auftrag des für die Verarbeitung Verantwortlichen durchgeführten Verarbeitungstätigkeiten.

(c) Der Datenimporteur stellt dem Datenexporteur alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in diesen Klauseln festgelegten Verpflichtungen nachzuweisen; dieser stellt sie dem für die Verarbeitung Verantwortlichen zur Verfügung.

(d) Der Datenimporteur gestattet dem Datenexporteur, regelmäßig oder bei Anzeichen für Unstimmigkeiten, die Verfahren zur Datenverarbeitung zu überprüfen und leistet Unterstützung bei diesen Überprüfungen. Dies trifft auch zu, wenn der Verantwortliche eine Überprüfung verlangt. Bei der Entscheidung, ob eine Überprüfung durchgeführt wird, kann der Datenexporteur auch die vorhandenen Zertifikate des Datenimporteurs berücksichtigen.

(e) Wird das Audit auf Anweisung des für die Verarbeitung Verantwortlichen durchgeführt, so stellt der Datenexporteur dem für die Verarbeitung Verantwortlichen die Ergebnisse zur Verfügung.

(f) Der Datenexporteur kann das Audit entweder selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Audits können Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Datenimporteurs umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.

(g) Die Vertragsparteien stellen die in den Buchstaben b) und c) genannten Informationen, einschließlich der Ergebnisse etwaiger Prüfungen, der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung.

Klausel 9. Einsatz von Subunternehmer

(a) ALLGEMEINE SCHRIFTLICHE GENEHMIGUNG Der Datenimporteur hat die allgemeine Genehmigung des für die Verarbeitung Verantwortlichen für die Beauftragung von Subunternehmern aus einer vereinbarten Liste. Der Datenimporteur unterrichtet den für die Verarbeitung Verantwortlichen mindestens 10 Tage im Voraus schriftlich über jede beabsichtigte Änderung dieser Liste durch Hinzufügung oder Ersetzung von Unterauftragsverarbeitern, so dass der für die Verarbeitung Verantwortliche genügend Zeit hat, um vor der Beauftragung des/der Unterauftragsverarbeiter(s) Einspruch gegen diese Änderungen zu erheben. Der Datenimporteur stellt dem für die Verarbeitung Verantwortlichen die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann. Der Datenimporteur unterrichtet den Datenexporteur über die Beauftragung des/der Subunternehmer(s).

(b) Beauftragt der Datenimporteur einen Subunternehmer mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des für die Verarbeitung Verantwortlichen), so erfolgt dies im Wege eines schriftlichen Vertrags, der im Wesentlichen dieselben Datenschutzverpflichtungen vorsieht, an die der Datenimporteur nach diesen Klauseln gebunden ist, auch in Bezug auf die Rechte der betroffenen Personen als Drittbegünstigte. Die Vertragsparteien kommen überein, dass der Datenimporteur durch die Einhaltung dieser Klausel seine Verpflichtungen nach Klausel 8.8 erfüllt. Der Datenimporteur stellt sicher, dass der Subunternehmer die Verpflichtungen einhält, denen der Datenimporteur nach diesen Klauseln unterliegt.

(c) Auf Anfrage des Datenexporteurs oder des Verantwortlichen stellt der Datenimporteur eine Kopie des Vertrags mit dem Subunternehmer und aller späteren Änderungen zur Verfügung. Falls notwendig, um Geschäftsgeheimnisse oder vertrauliche Informationen, einschließlich personenbezogener Daten, zu schützen, darf der Datenimporteur bestimmte Teile des Vertragstextes schwärzen, bevor er eine Kopie weitergibt.

(d)Der Datenimporteur bleibt gegenüber dem Datenexporteur in vollem Umfang für die Erfüllung der Verpflichtungen des Subunternehmers aus seinem Vertrag mit dem Datenimporteur verantwortlich. Der Datenimporteur unterrichtet den Datenexporteur, wenn der Subunternehmer seinen Verpflichtungen aus diesem Vertrag nicht nachkommt.

(e) Der Datenimporteur schließt mit dem Subunternehmer eine Vereinbarung ab, die dem Datenexporteur das Recht gibt, den Vertrag mit dem Subunternehmer zu beenden und die Löschung oder Rückgabe der personenbezogenen Daten zu verlangen, sollte der Datenimporteur nicht mehr existieren oder insolvent sein.

Klausel 10. Rechte der betroffenen Person

(a) Der Datenimporteur unterrichtet den Datenexporteur und gegebenenfalls den für die Verarbeitung Verantwortlichen unverzüglich über jedes Ersuchen einer betroffenen Person, ohne diesem Ersuchen nachzukommen, es sei denn, er wurde von dem für die Verarbeitung Verantwortlichen dazu ermächtigt.

(b) Der Datenimporteur unterstützt - gegebenenfalls in Zusammenarbeit mit dem Datenexporteur - den für die Verarbeitung Verantwortlichen bei der Erfüllung seiner Pflichten, auf Anträge betroffener Personen zur Ausübung ihrer Rechte nach der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 zu reagieren. Zu diesem Zweck legen die Vertragsparteien in Anhang II die geeigneten technischen und organisatorischen Maßnahmen unter Berücksichtigung der Art der Verarbeitung fest, durch die die Unterstützung geleistet werden soll, sowie den Umfang und das Ausmaß der erforderlichen Unterstützung.

(c) Bei der Erfüllung seiner Verpflichtungen nach den Buchstaben a) und b) befolgt der Datenimporteur die Anweisungen des für die Verarbeitung Verantwortlichen, die ihm vom Datenexporteur mitgeteilt wurden.

Klausel 11. Abhilfe

(a) Der Datenimporteur informiert die betroffenen Personen in transparenter und leicht zugänglicher Form durch individuelle Mitteilung oder auf seiner Website über eine Kontaktstelle, die für die Bearbeitung von Beschwerden zuständig ist. Er bearbeitet alle Beschwerden, die er von einer betroffenen Person erhält, unverzüglich. Der Datenimporteur erklärt sich damit einverstanden, dass die betroffenen Personen auch eine Beschwerde bei einer unabhängigen Schlichtungsstelle einreichen können, ohne dass ihnen dadurch Kosten entstehen. Der Datenimporteur unterrichtet die betroffenen Personen in der unter Buchstabe a) beschriebenen Weise über diesen Rechtsbehelfsmechanismus und weist sie darauf hin, dass sie nicht verpflichtet sind, ihn zu nutzen oder eine bestimmte Reihenfolge bei der Einlegung von Rechtsbehelfen einzuhalten.

(b) Im Falle einer Streitigkeit zwischen einer betroffenen Person und einer der Vertragsparteien über die Einhaltung dieser Klauseln bemüht sich die betreffende Vertragspartei nach besten Kräften, die Angelegenheit rechtzeitig gütlich zu regeln. Die Vertragsparteien halten sich gegenseitig über solche Streitigkeiten auf dem Laufenden und arbeiten gegebenenfalls bei deren Beilegung zusammen.

(c) Beruft sich die betroffene Person auf ein Drittbegünstigungsrecht gemäß Ziffer 3, so akzeptiert der Datenimporteur die Entscheidung der betroffenen Person, folgendes zu tun:

(i) Eine Beschwerde bei der Aufsichtsbehörde des Mitgliedstaats, in dem er seinen gewöhnlichen Aufenthalt oder seinen Arbeitsplatz hat, oder bei der zuständigen Aufsichtsbehörde gemäß Ziffer 13 einzureichen.

(ii) Die Streitigkeit an die in Ziffer 18 genannten zuständigen Gerichte zu überweisen.

(d) Die Vertragsparteien akzeptieren, dass die betroffene Person unter den in Artikel 80 Absatz 1 der Verordnung (EU) 2016/679 genannten Bedingungen durch eine gemeinnützige Einrichtung, Organisation oder Vereinigung vertreten werden kann.

(e) Der Datenimporteur muss sich an eine Entscheidung halten, die nach dem geltenden Recht der EU oder eines Mitgliedstaats verbindlich ist.

(f) Der Datenimporteur erklärt sich damit einverstanden, dass die von der betroffenen Person getroffene Wahl ihre materiell- und verfahrensrechtlichen Rechte auf Einlegung von Rechtsbehelfen gemäß den geltenden Rechtsvorschriften nicht beeinträchtigt.

Klausel 12. Haftung

(a) Jede Partei haftet gegenüber der/den anderen Partei(en) für alle Schäden, die sie der/den anderen Partei(en) durch einen Verstoß gegen diese Klauseln zufügt.

(b) Der Datenimporteur haftet der betroffenen Person gegenüber für alle materiellen oder immateriellen Schäden, die der Datenimporteur oder sein Unterauftragsverarbeiter der betroffenen Person durch die Verletzung der Rechte des Drittbegünstigten gemäß diesen Klauseln zufügt, und die betroffene Person hat Anspruch auf Schadenersatz.

(c) Ungeachtet des Buchstabens b haftet der Datenexporteur gegenüber der betroffenen Person für alle materiellen oder immateriellen Schäden, die der Datenexporteur oder der Datenimporteur (oder sein Unterauftragsverarbeiter) der betroffenen Person durch die Verletzung der Rechte des Drittbegünstigten gemäß diesen Klauseln zufügt, und die betroffene Person hat Anspruch auf Schadenersatz. Dies gilt unbeschadet der Haftung des Datenexporteurs und, wenn der Datenexporteur ein Auftragsverarbeiter ist, der im Auftrag eines für die Verarbeitung Verantwortlichen handelt, der Haftung des für die Verarbeitung Verantwortlichen gemäß der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725.

(d) Die Vertragsparteien kommen überein, dass der Datenexporteur für den Fall, dass er gemäß Buchstabe c) für einen vom Datenimporteur (oder seinem Unterauftragsverarbeiter) verursachten Schaden haftbar gemacht wird, berechtigt ist, vom Datenimporteur den Teil des Schadensersatzes zurückzufordern, der der Verantwortung des Datenimporteurs für den Schaden entspricht.

(e)Ist mehr als eine Partei für einen Schaden verantwortlich, der der betroffenen Person infolge eines Verstoßes gegen diese Klauseln entstanden ist, so haften alle verantwortlichen Parteien gesamtschuldnerisch, und die betroffene Person hat das Recht, jede dieser Parteien gerichtlich in Anspruch zu nehmen.

(f) Die Vertragsparteien sind sich darüber einig, dass eine Vertragspartei, die nach Buchstabe e) haftbar gemacht wird, berechtigt ist, von der/den anderen Vertragspartei(en) den Teil der Entschädigung zurückzufordern, der ihrer Verantwortung für den Schaden entspricht.

(g) Der Datenimporteur kann sich nicht auf das Verhalten eines Unterauftragsverarbeiters berufen, um seine eigene Haftung zu umgehen.

Klausel 13. Aufsicht

(a) Die Aufsichtsbehörde aus einem Mitgliedstaat, in dem sich Personen aufhalten, deren personenbezogene Daten gemäß diesen Klauseln übertragen werden – entweder im Rahmen des Angebots von Waren oder Dienstleistungen an sie oder bei der Überwachung ihres Verhaltens, wie in Anhang I.C beschrieben –, agiert als zuständige Aufsichtsbehörde.

(b) Der Datenimporteur erklärt sich bereit, sich der Rechtsprechung der zuständigen Kontrollstelle zu unterwerfen und mit ihr bei allen Verfahren zusammenzuarbeiten, die darauf abzielen, die Einhaltung dieser Klauseln zu gewährleisten. Insbesondere erklärt sich der Datenimporteur bereit, auf Anfragen zu antworten, sich Prüfungen zu unterziehen und die von der Aufsichtsbehörde erlassenen Maßnahmen, einschließlich Abhilfe- und Ausgleichsmaßnahmen, zu befolgen. Er bestätigt der Aufsichtsbehörde schriftlich, dass die erforderlichen Maßnahmen ergriffen worden sind.

LOKALE GESETZE UND VERPFLICHTUNGEN IM FALLE DES ZUGANGS VON BEHÖRDEN

ABSCHNITT III

Clause 14. Local laws and practices affecting compliance with the Clauses

(a) Die Vertragsparteien gewährleisten, dass sie keinen Grund zu der Annahme haben, dass die im Bestimmungsdrittland für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Praktiken, einschließlich etwaiger Vorschriften über die Offenlegung personenbezogener Daten oder Maßnahmen zur Gewährung des Zugangs von Behörden, den Datenimporteur an der Erfüllung seiner Verpflichtungen nach diesen Klauseln hindern. Dies beruht auf dem Verständnis, dass Gesetze und Praktiken, die den Kern der Grundrechte und -freiheiten respektieren und nicht über das hinausgehen, was in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele zu schützen, nicht im Widerspruch zu diesen Klauseln stehen.

(b)Die Vertragsparteien erklären, dass sie bei der Abgabe der unter Buchstabe a) genannten Garantie insbesondere die folgenden Punkte gebührend berücksichtigt haben:

(i) Die Details der Datenübermittlung auf sozialen Plattformen umfassen die Dauer der Datenverarbeitung, die Anzahl der beteiligten Parteien, die genutzten Kommunikationskanäle; geplante Weitergaben; den Typ des Empfängers; den Zweck der Verarbeitung; die Arten und das Format der geteilten personenbezogenen Daten; den Wirtschaftsbereich, in dem die Übermittlung stattfindet; und den Ort, an dem die Daten gespeichert werden;

(ii) Die Gesetze und Gepflogenheiten des Ziellandes – einschließlich jener, die die Weitergabe von Daten an staatliche Stellen vorsehen oder diesen Zugriff erlauben –, die unter Berücksichtigung der spezifischen Umstände der Datenübermittlung relevant sind, sowie die bestehenden Einschränkungen und Schutzmaßnahmen beachtet werden müssen;

(iii)Alle einschlägigen vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß diesen Klauseln eingeführt wurden, einschließlich Maßnahmen, die bei der Übermittlung und der Verarbeitung der personenbezogenen Daten im Bestimmungsland angewandt werden.

(c) Der Datenimporteur gewährleistet, dass er bei der Durchführung der Bewertung gemäß Absatz

(b), er sich nach besten Kräften bemüht hat, dem Datenexporteur einschlägige Informationen zur Verfügung zu stellen, und zustimmt, dass er weiterhin mit dem Datenexporteur zusammenarbeiten wird, um die Einhaltung dieser Klauseln zu gewährleisten.

(d) Die Vertragsparteien kommen überein, die Bewertung nach Buchstabe b) zu dokumentieren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

(e) Der Datenimporteur erklärt sich bereit, den Datenexporteur unverzüglich zu benachrichtigen, wenn er nach Zustimmung zu diesen Klauseln und während der Laufzeit des Vertrags Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterworfen wurde, die nicht mit den Anforderungen nach Buchstabe a) im Einklang stehen, auch infolge einer Änderung der Gesetze des Drittlandes oder einer Maßnahme (z. B. einer Aufforderung zur Offenlegung), die darauf hindeutet, dass die Anwendung dieser Gesetze in der Praxis nicht mit den Anforderungen nach Buchstabe a) im Einklang steht. Der Datenexporteur leitet die Meldung an den für die Verarbeitung Verantwortlichen weiter.

(f) Nach einer Meldung gemäß Buchstabe e oder wenn der Datenexporteur anderweitig Grund zu der Annahme hat, dass der Datenimporteur seinen Verpflichtungen gemäß diesen Klauseln nicht mehr nachkommen kann, legt der Datenexporteur unverzüglich geeignete Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit) fest, die vom Datenexporteur und/oder Datenimporteur zu ergreifen sind, um der Situation zu begegnen, gegebenenfalls in Absprache mit dem für die Verarbeitung Verantwortlichen. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Ansicht ist, dass keine angemessenen Garantien für eine solche Übermittlung gewährleistet werden können, oder wenn er von dem für die Verarbeitung Verantwortlichen oder der zuständigen Kontrollstelle dazu angewiesen wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten nach diesen Klauseln betrifft. Sind an dem Vertrag mehr als zwei Parteien beteiligt, so kann der Datenexporteur dieses Kündigungsrecht nur gegenüber der betreffenden Partei ausüben, es sei denn, die Parteien haben etwas anderes vereinbart. Wird der Vertrag gemäß dieser Klausel gekündigt, so gilt Klausel 16 Buchstaben d) und e).

Klausel 15. Pflichten des Datenimporteurs im Falle des Zugriffs durch öffentliche Stellen

15.1 Benachrichtigung

(a) Der Datenimporteur verpflichtet sich, den Datenexporteur und, soweit möglich, die betroffene Person unverzüglich (erforderlichenfalls mit Hilfe des Datenexporteurs) zu benachrichtigen, wenn er:

(i) ein rechtsverbindliches Ersuchen einer Behörde, einschließlich der Justizbehörden, nach dem Recht des Bestimmungslandes um Offenlegung der gemäß diesen Klauseln übermittelten personenbezogenen Daten erhält; eine solche Meldung muss Informationen über die angeforderten personenbezogenen Daten, die ersuchende Behörde, die Rechtsgrundlage für das Ersuchen und die erteilte Antwort enthalten; oder

(ii) Kenntnis von einem direkten Zugriff öffentlicher Stellen auf personenbezogene Daten erhält, die gemäß den Rechtsvorschriften des Bestimmungslandes übermittelt wurden; diese Mitteilung muss alle dem Importeur zur Verfügung stehenden Informationen enthalten.

Der Datenexporteur leitet die Meldung an den für die Verarbeitung Verantwortlichen weiter.

(b) Ist es dem Datenimporteur nach dem Recht des Bestimmungslandes untersagt, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, erklärt sich der Datenimporteur bereit, sich nach besten Kräften zu bemühen, eine Befreiung von diesem Verbot zu erwirken, um so bald wie möglich so viele Informationen wie möglich zu übermitteln. Der Datenimporteur erklärt sich bereit, seine Bemühungen zu dokumentieren, damit er sie auf Anfrage des Datenexporteurs nachweisen kann.

(c) Soweit nach dem Recht des Bestimmungslandes zulässig, erklärt sich der Datenimporteur bereit, dem Datenexporteur während der Laufzeit des Vertrags in regelmäßigen Abständen so viele sachdienliche Informationen wie möglich über die eingegangenen Ersuchen zu übermitteln (insbesondere Anzahl der Ersuchen, Art der angeforderten Daten, ersuchende Behörde(n), ob Ersuchen angefochten wurden und wie diese Anfechtungen ausgegangen sind, usw.). Der Datenexporteur leitet diese Informationen an den für die Verarbeitung Verantwortlichen weiter.

(d) Der Datenimporteur verpflichtet sich, die unter den Buchstaben a) bis c) genannten Informationen während der Laufzeit des Vertrags aufzubewahren und sie der zuständigen Kontrollstelle auf Anfrage zur Verfügung zu stellen.

(e) Die Buchstaben a) bis c) berühren nicht die Verpflichtung des Datenimporteurs gemäß Klausel 14 Buchstabe e) und Klausel 16, den Datenexporteur unverzüglich zu informieren, wenn er diese Klauseln nicht einhalten kann.

15.2 Überprüfung der Rechtmäßigkeit und Datensparsamkeit

(a) Der Datenimporteur erklärt sich bereit, die Rechtmäßigkeit des Offenlegungsantrags zu überprüfen, insbesondere, ob er im Rahmen der der ersuchenden Behörde eingeräumten Befugnisse bleibt, und den Antrag anzufechten, wenn er nach sorgfältiger Prüfung zu dem Schluss kommt, dass es berechtigte Gründe für die Annahme gibt, dass der Antrag nach dem Recht des Bestimmungslandes, den geltenden völkerrechtlichen Verpflichtungen und den Grundsätzen des internationalen Verständnisses (comity) rechtswidrig ist. Der Datenimporteur muss unter den gleichen Bedingungen Rechtsmittel einlegen können. Bei Anfechtung eines Ersuchens beantragt der Datenimporteur einstweilige Maßnahmen mit dem Ziel, die Wirkungen des Ersuchens auszusetzen, bis die zuständige Justizbehörde über die Begründetheit des Ersuchens entschieden hat. Er gibt die angeforderten personenbezogenen Daten erst dann weiter, wenn er nach den geltenden Verfahrensvorschriften dazu verpflichtet ist. Diese Anforderungen gelten unbeschadet der Verpflichtungen des Datenimporteurs nach Klausel 14 Buchstabe (e).

(b) Der Datenimporteur erklärt sich bereit, seine rechtliche Beurteilung und etwaige Einwände gegen das Auskunftsersuchen zu dokumentieren und die Dokumentation dem Datenexporteur zur Verfügung zu stellen, soweit dies nach dem Recht des Bestimmungslandes zulässig ist. Er stellt sie auch der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung. Der Datenexporteur stellt die Bewertung dem für die Verarbeitung Verantwortlichen zur Verfügung.

(c) Der Datenimporteur erklärt sich bereit, bei der Beantwortung eines Auskunftsersuchens das zulässige Mindestmaß an Informationen auf der Grundlage einer angemessenen Auslegung des Ersuchens zur Verfügung zu stellen.

SCHLUSSBESTIMMUNGEN

ABSCHNITT IV

Klausel 16. Nichteinhaltung der Klauseln und Kündigung

(a) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er diese Klauseln, aus welchen Gründen auch immer, nicht einhalten kann.

(b) Verstößt der Datenimporteur gegen diese Klauseln oder ist er nicht in der Lage, diese Klauseln einzuhalten, setzt der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aus, bis die Einhaltung der Klauseln wieder gewährleistet ist oder der Vertrag beendet wird. Dies gilt unbeschadet der Klausel 14 Buchstabe (f).

(c) Der Datenexporteur ist berechtigt, den Vertrag, soweit er die Verarbeitung personenbezogener Daten nach diesen Klauseln betrifft, zu kündigen, wenn:

(i) der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Buchstabe b) ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb eines angemessenen Zeitraums, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wird;

(ii) der Datenimporteur in erheblichem Maße oder anhaltend gegen diese Klauseln verstößt; oder

(iii) der Datenimporteur einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer Aufsichtsbehörde in Bezug auf seine Verpflichtungen aus diesen Klauseln nicht nachkommt.

In diesen Fällen unterrichtet er die zuständige Aufsichtsbehörde und den für die Verarbeitung Verantwortlichen über diese Nichteinhaltung. Sind an dem Vertrag mehr als zwei Parteien beteiligt, so kann der Datenexporteur dieses Kündigungsrecht nur gegenüber der betreffenden Partei ausüben, es sei denn, die Parteien haben etwas anderes vereinbart.

(d) Personenbezogene Daten, die vor der Beendigung des Vertragsverhältnisses nach Buchstabe c) übermittelt wurden, sind nach Wahl des Datenexporteurs unverzüglich an diesen zurückzugeben oder vollständig zu löschen. Gleiches gilt für etwaige Kopien der Daten. Der Datenimporteur hat dem Datenexporteur die Löschung der Daten zu bescheinigen. Bis zur Löschung oder Rückgabe der Daten sorgt der Datenimporteur weiterhin für die Einhaltung dieser Klauseln. Für den Fall, dass die für den Datenimporteur geltenden lokalen Gesetze die Rückgabe oder Löschung der übermittelten personenbezogenen Daten verbieten, gewährleistet der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln gewährleistet und die Daten nur in dem Umfang und so lange verarbeitet, wie es die lokalen Gesetze vorschreiben.

(e) Jede Vertragspartei kann ihre Zustimmung, an diese Klauseln gebunden zu sein, widerrufen, wenn (i) die Europäische Kommission einen Beschluss gemäß Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 erlässt, der die Übermittlung personenbezogener Daten betrifft, für die diese Klauseln gelten, oder (ii) die Verordnung (EU) 2016/679 Teil des Rechtsrahmens des Landes wird, in das die personenbezogenen Daten übermittelt werden. Dies gilt unbeschadet anderer Verpflichtungen, die für die betreffende Verarbeitung gemäß der Verordnung (EU) 2016/679 gelten.

Klausel 17. Geltendes Recht

Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, sofern dieses Recht Rechte von Drittbegünstigten zulässt. Die Parteien vereinbaren, dass dies das Recht der Republik Irland sein soll.

Klausel 18. Wahl des Gerichtsstands und Gerichtsbarkeit

(a) Für alle Streitigkeiten, die sich aus diesen Klauseln ergeben, sind die Gerichte eines EU-Mitgliedstaats zuständig.

(b) Die Vertragsparteien vereinbaren, dass dies die Gerichte der Republik Irland sind.

(c) Eine betroffene Person kann auch vor den Gerichten des Mitgliedstaats, in dem sie ihren gewöhnlichen Aufenthalt hat, Klage gegen den Datenexporteur und/oder Datenimporteur erheben.

(d) Die Vertragsparteien erklären sich damit einverstanden, sich der Gerichtsbarkeit dieser Gerichte zu unterwerfen.

Anhang

Anhang I

A. LISTE DER PARTEIEN

Datenexporteur

Name: 'Sie', 'Kunde', 'Benutzer'

Adresse: Die entsprechenden Informationen sind im Kundenkonto enthalten. Name, Position und Kontaktdaten der Kontaktperson: Die entsprechenden Informationen sind im Kundenkonto enthalten.

Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind:

  • Speicherung;
  • Zugriff auf Kundenservice, der Hilfe zu den genutzten Funktionen bietet;
  • Aufdeckung, Verhütung und Behebung von Missbrauch;
  • Wartung, Verbesserung und Bereitstellung unserer Dienste.

Unterschrift und Datum: Mit dem Abschluss der Bedingungen wird davon ausgegangen, dass der Datenexporteur die hierin enthaltenen Standardvertragsklauseln einschließlich ihrer Anhänge zum Zeitpunkt des Inkrafttretens der Vereinbarung unterzeichnet hat.

Rolle: Für die Zwecke des Nachtrags I (Übermittlung von Daten zwischen Verantwortlichen und Auftragsverarbeitern) ist der Kunde ein Verantwortlicher. Für die Zwecke des Nachtrags II (Übermittlung von Daten von Bearbeiter zu Bearbeiter) ist der Kunde ein Bearbeiter.

Datenimporteur

Name: SendPulse Inc.

Addresse: 220 E 23rd St #401, New York, NY 10010.

Name, Position und Kontaktdaten der Kontaktperson: Medvednikov Evgeny, Direktor, +1 415 800 2960, support@sendpulse.com

Tätigkeiten im Zusammenhang mit den gemäß diesen Klauseln übermittelten Daten: Speicherung;

  • Zugriff auf Kundenservice, der Hilfe zu den genutzten Funktionen bietet;
  • Aufdeckung, Verhütung und Behebung von Missbrauch;
  • Wartung, Verbesserung und Bereitstellung der SendPulse-Dienste.

Unterschrift und Datum: Mit dem Abschluss der Bedingungen wird davon ausgegangen, dass der Datenimporteur die hierin enthaltenen Standardvertragsklauseln einschließlich ihrer Anhänge zum Zeitpunkt des Inkrafttretens der Vereinbarung unterzeichnet hat.

Rolle: Verarbeiter

B. BESCHREIBUNG DER ÜBERTRAGUNG

1. Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden: Kunden, Klienten, potenzielle Kunden und Klienten, Studenten, Spender und Mitarbeiter.

2. Kategorien der übermittelten personenbezogenen Daten:

Name, Geschlecht, Geburtsdatum, Sprache, E-Mail-Adresse, Telefonnummer, Wohnanschrift, Arbeitgeber, Geschäftsadresse, Titel, Fachwissen, andere demografische Informationen, Kaufhistorie und Teilnahme an Veranstaltungen.

3. Übermittelte sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Schutzmaßnahmen, die der Art der Daten und den damit verbundenen Risiken voll Rechnung tragen: Zu den Kundendaten gehören keine Sozialversicherungsnummern oder andere nationale Identifikationsnummern, Passwörter, Sicherheitsnachweise oder sensible persönliche Informationen jeglicher Art.

4. Die Häufigkeit der Übertragung:

Die personenbezogenen Daten werden fortlaufend übermittelt.

5. Art der Verarbeitung:

Die Verarbeitung personenbezogener Daten umfasst Folgendes:

  • Speicherung;
  • Zugriff auf Kundenservice, der Hilfe zu den genutzten Funktionen bietet;
  • Aufdeckung, Verhütung und Behebung von Missbrauch;
  • Wartung, Verbesserung und Bereitstellung der Sendpulse-Dienste.

6. Zweck(e) der Datenübermittlung und Weiterverarbeitung:

Der Zweck der Datenverarbeitung im Rahmen dieser Klauseln ist die Erbringung von Dienstleistungen für den Datenexporteur durch den Datenimporteur im Rahmen des zwischen dem Datenimporteur und dem Datenexporteur geschlossenen Dienstleistungsvertrags, einschließlich, aber nicht beschränkt auf die Bereitstellung von E-Mail- und Mobile-Marketing-Diensten, CRM, Chatbots.

7. Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, nach denen dieser Zeitraum festgelegt wird:

Die personenbezogenen Daten werden für die Dauer dieser zwischen dem Datenimporteur und dem Datenexporteur geschlossenen DPA gespeichert, es sei denn, es wurde schriftlich etwas anderes vereinbart oder der Datenimporteur ist nach geltendem Recht verpflichtet, einige oder alle übermittelten personenbezogenen Daten aufzubewahren.

8. Bei Übermittlungen an (Unter-)Verarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben:

  • Gegenstand: die Erbringung von Dienstleistungen.
  • Art: Erheben, Erfassen, Ordnen, Strukturieren, Speichern, Anpassen oder Verändern, Wiederauffinden, Abfragen, Abgleichen oder Zusammenführen, Einschränken, Löschen oder Vernichten.
  • Dauer: die Erbringung der Dienstleistungen für den Auftragsverarbeiter durch den Unterauftragsverarbeiter gemäß dem zwischen dem Auftragsverarbeiter und dem Unterauftragsverarbeiter geschlossenen Dienstleistungsvertrag.

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

Gemäß Klausel 13 ist die zuständige Aufsichtsbehörde im Sinne dieser Klauseln die Aufsichtsbehörde eines der Mitgliedstaaten, in dem sich die betroffenen Personen befinden, deren personenbezogene Daten gemäß diesen Klauseln im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an sie übermittelt werden oder deren Verhalten überwacht wird, nämlich die Data Protection Commission (Republik Irland).

Anhang II

TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MASSNAHMEN ZUR GEWÄHRLEISTUNG DER SICHERHEIT DER DATEN

Beschreibung der von dem/den Datenimporteur(en) getroffenen technischen und organisatorischen Maßnahmen zur Gewährleistung eines angemessenen Sicherheitsniveaus unter Berücksichtigung der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen:

Der Datenimporteur ergreift angemessene organisatorische und technische Sicherheitsmaßnahmen (u. a. in Bezug auf Personal, Einrichtungen, Hard- und Software, Speicher und Netzwerke, Zugangskontrollen, Überwachung und Protokollierung, Erkennung von Schwachstellen und Verstößen, Reaktion auf Zwischenfälle, Verschlüsselung personenbezogener Kundendaten während der Übertragung und im Ruhezustand), um den unbefugten oder versehentlichen Zugriff auf personenbezogene Kundendaten sowie deren Verlust, Änderung, Offenlegung oder Vernichtung zu verhindern.

Der Datenimporteur ergreift Maßnahmen, um sicherzustellen, dass alle SendPulse-Mitarbeiter ausreichende Sicherheits-, Datenschutz- und Vertraulichkeitsvorkehrungen in Bezug auf die personenbezogenen Daten des Kunden treffen, und haftet für die Nichteinhaltung der Bestimmungen dieser Datenschutzvereinbarung durch diese SendPulse-Mitarbeiter.

Der Datenimporteur ergreift angemessene Maßnahmen, um sich zu vergewissern, dass das gesamte SendPulse-Personal die Sicherheit, den Datenschutz und die Vertraulichkeit der personenbezogenen Daten des Kunden gemäß den Anforderungen dieser Datenschutzrichtlinie schützt.

Der Datenimporteur hat Maßnahmen ergriffen, um sicherzustellen, dass die Vertraulichkeit und Integrität personenbezogener Daten bei der Übermittlung personenbezogener Daten geschützt wird.

Der Datenimporteur verpflichtet sich, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit aller betreffenden personenbezogenen Daten während der gesamten Verarbeitungstätigkeit des Datenimporteurs zu wahren und sicherzustellen, dass personenbezogene Daten durch die Umsetzung angemessener interner Informationssicherheitsstrategien und -verfahren vor Verlust und Zerstörung geschützt werden.

Anhang III

LISTE DER SUBUNTERNEHMEN

Der für die Verarbeitung Verantwortliche hat den Einsatz der folgenden Subunternehmen genehmigt:

Subunternehmen 1:

Name: AMAZON WEB SERVICES INC.

Addresse: 410 Terry Avenue North, Seattle, WA 98109-5210

Name, Position und Kontaktdaten der Kontaktperson:

Kundenbetreuung

Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten für den Fall, dass mehrere Unterauftragsverarbeiter zugelassen sind): Datenspeicherung. Das Amazon-Rechenzentrum befindet sich in der EU.

Subunternehmen 2:

Name: CONTABO GMBH.

Addresse: Aschauer Straße 32a, 81549 München

Name, Funktion und Kontaktdaten des Ansprechpartners: Herrn Rechtsanwalt Dr. Karsten Kinast, LL.M. KINAST, DPO, Rechtsanwaltsgesellschaft mbH, Hohenzollernring 54, 50672 Köln or by email at datenschutzbeauftragter@contabo.de

Description of processing (including a clear delimitation of responsibilities in case several sub-processors are authorised): data storage. The Amazon data center is located in the EU.

Sub-processor 3:

Name: HETZNER ONLINE GMBH.

Address: Industriestr. 25, 91710 Gunzenhausen, Germany

Contact person’s name, position and contact details: Margit Müller, DPO, data-protection@hetzner.com.

Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten für den Fall, dass mehrere Unterauftragsverarbeiter zugelassen sind): Datenspeicherung. Das Amazon-Rechenzentrum befindet sich in der EU.

Subunternehmen 4:

Name: VELIA.NET INTERNETDIENSTE GMBH

Addresse: Hansestr. 111, 5114, Köln

Name, Funktion und Kontaktdaten der Kontaktperson: Dr. Karsten Kinast, LL.M. (Attorney) KINAST, DPO, Rechtsanwaltsgesellschaft mbH Hohenzollernring 54 D-50672 Cologne email: mail@kinast.eu.

Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten für den Fall, dass mehrere Unterauftragsverarbeiter zugelassen sind): Datenspeicherung. Das Amazon-Rechenzentrum befindet sich in der EU.

Subunternehmen 5:

Name: GOOGLE LLC.

Addresse: 1600 Amphitheatre Parkway Mountain View, CA 94043

Deutschland Name, Funktion und Kontaktdaten des Ansprechpartners:

Hilfe-Center

Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Zuständigkeiten, falls mehrere Unterauftragsverarbeiter zugelassen sind): Datenspeicherung, Datenanalyse.

Aktualisiert am: 15.04.2022

Testen Sie noch heute SendPulse kostenlos