DATENSCHUTZNACHTRAG
ANBIETER (VERARBEITER) - LIEFERANT VON PRODUKTEN UND / ODER DIENSTLEISTUNGEN (CONTROLLER)

Dieser Datenschutznachtrag (nachfolgend „Nachtrag“ oder „DPA“ genannt) ist Bestandteil der Lizenzvereinbarung bezüglich der Nutzung der Anwendung des Anbieters durch die Lieferanten von Produkten und/oder Dienstleistungen (nachfolgend „Vereinbarung“ oder „Hauptvereinbarung“ genannt) zwischen: (i) dem Anbieter (nachfolgend „Anbieter“ oder „Auftragsverarbeiter“ genannt) und (ii) dem Lieferanten von Produkten und/oder Dienstleistungen (nachfolgend „Lieferant von Produkten und/oder Dienstleistungen“ oder „Verantwortlicher“).

Die in diesem Nachtrag verwendeten Begriffe haben die in diesem Nachtrag festgelegte Bedeutung. Großgeschriebene Begriffe, die hier nicht anders definiert sind, haben die Bedeutung, die ihnen in der Hauptvereinbarung zugewiesen wurde. Sofern unten nicht geändert, bleiben die Bedingungen der Hauptvereinbarung in vollem Umfang gültig und wirksam.

In Anbetracht der hierin dargelegten gegenseitigen Verpflichtungen vereinbaren die Parteien hiermit, dass die unten aufgeführten Bedingungen als Nachtrag zum Hauptvertrag hinzugefügt werden. Sofern der Kontext nichts anderes erfordert, beziehen sich Verweise in diesem Nachtrag auf den Hauptvertrag auf den Hauptvertrag in der durch diesen Nachtrag geänderten Fassung und einschließlich dieses Nachtrags.

1. Begriffsbestimmungen

1.1. In diesem Nachtrag haben die folgenden Begriffe die unten aufgeführten Bedeutungen und verwandte Begriffe sind entsprechend auszulegen:

1.1.1. „Personenbezogene Daten des Verantwortlichen“ bezeichnet alle personenbezogenen Daten, die vom Auftragsverarbeiter im Auftrag des Verantwortlichen gemäß oder in Verbindung mit der DPA verarbeitet werden;

1.1.2. „Auftragsverarbeiter“ bezeichnet den Anbieter oder einen Unterauftragsverarbeiter;

1.1.3. „Datenschutzgesetze“ bezeichnet die Datenschutzgesetze der EU und, soweit anwendbar, die geltenden Datenschutzgesetze oder Gesetze zum Schutz der Privatsphäre anderer Länder;

1.1.4. „EU-Datenschutzgesetze“ bezeichnet die DSGVO und Gesetze zur Umsetzung oder Ergänzung der DSGVO;

1.1.5. „DSGVO“ bezeichnet die EU-Datenschutz-Grundverordnung 2016/679;

1.1.6. „Unterauftragsverarbeiter“ bezeichnet jede Person, die vom Anbieter beauftragt wird, personenbezogene Daten im Auftrag des Verantwortlichen im Zusammenhang mit der Hauptvereinbarung und der DPA zu verarbeiten; und

1.2. Die Begriffe „Auftragsverarbeiter“ , „Verantwortlicher“ , „betroffene Person“ , „Mitgliedstaat“ , „personenbezogene Daten“ , „Verletzung des Schutzes personenbezogener Daten“ , „Verarbeitung“ und „Aufsichtsbehörde“ haben dieselbe Bedeutung wie in der DSGVO und ihre verwandten Begriffe sind entsprechend auszulegen.

1.3. Das Wort „umfassen“ ist so auszulegen, dass es „umfassen, ohne darauf beschränkt zu sein“ bedeutet, und verwandte Begriffe sind entsprechend auszulegen.

2. Gegenstand der Verarbeitung personenbezogener Daten durch den Verantwortlichen

2.1. Der Zweck dieser Datenverarbeitungsvereinbarung besteht darin, die Bedingungen festzulegen, unter denen der Auftragsverarbeiter im Auftrag des Verantwortlichen die Verarbeitung der personenbezogenen Daten des Verantwortlichen durchführt.

2.2. Der Auftragsverarbeiter verarbeitet im Auftrag des Verantwortlichen die personenbezogenen Daten des Verantwortlichen, nämlich die personenbezogenen Daten der Kunden (nachfolgend auch „Kunden“ oder „betroffene Personen“ genannt), die über die Lösung des Anbieters Produkte und/oder Dienstleistungen beim Verantwortlichen bestellen.

2.3. Die Parteien verpflichten sich im Rahmen ihrer Vertragsbeziehungen, gegebenenfalls auch die EU-Datenschutzgesetze einzuhalten.

3. Dauer der Verarbeitung

Der Verarbeiter verarbeitet die personenbezogenen Daten des Verantwortlichen im Auftrag des Verantwortlichen während der Gültigkeitsdauer der Hauptvereinbarung.

4. Beschreibung der Verarbeitung

4.1. Art der Verarbeitung personenbezogener Daten durch den Verantwortlichen

Der Verantwortliche erhebt, organisiert, strukturiert, speichert, konsultiert, nutzt und gibt seine personenbezogenen Daten, auch durch Übermittlung, weiter.

4.2. Die personenbezogenen Daten des Verantwortlichen werden vom Auftragsverarbeiter zum Zwecke des Abschlusses eines Vertrags zwischen dem Kunden und dem Verantwortlichen bezüglich der vom Kunden bestellten Produkte und/oder Dienstleistungen und zur Erfüllung dieses Vertrags sowie gegebenenfalls für Zwecke der Direktmarketingkommunikation verarbeitet, wie in dieser DPA erwähnt und/oder anderweitig mit dem Auftragsverarbeiter vereinbart.

4.3. Die personenbezogenen Daten des Verantwortlichen, die vom Verarbeiter verarbeitet werden, sind die personenbezogenen Daten, die von den betroffenen Personen bei der Nutzung der Lösung des Anbieters und der Bestellung von Produkten und/oder Dienstleistungen beim Verantwortlichen angegeben werden [z. B. Name, Nachname, (Liefer-)Adresse, Telefonnummer, E-Mail-Adresse, (Geo-)Standortdaten, IP-Adressen sowie alle anderen Daten, die die bestellenden Kunden angegeben haben, mit Ausnahme von Kreditkartendaten, die direkt von Zahlungsverarbeitern über ein PCI-kompatibles iFrame erfasst werden, falls der Verantwortliche beschlossen hat, Online-Zahlungen zu akzeptieren und folglich die PCI-kompatible direkte Kommunikation über API mit seinem Händlerkonto aktiviert hat, das bei einem der API-kompatiblen Händlerkontoanbieter eröffnet wurde.]

4.4. Die Kunden, die über die Lösung des Anbieters Produkte und/oder Dienstleistungen beim Verantwortlichen bestellen, sind die Kategorie der betroffenen Personen, deren personenbezogene Daten verarbeitet werden.

4.5. Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten des Verantwortlichen gemäß den in dieser DPA genannten Bestimmungen sowie gemäß anderen dokumentierten Anweisungen des Verantwortlichen. Der Klarheit halber bedeutet „dokumentierte Anweisungen des Verantwortlichen“ im Sinne dieser DPA die vorliegende DPA, alle Anweisungen, die über die Einstellungen der Anwendung des Auftragsverarbeiters ausgeführt werden können, und alle anderen Anweisungen, die zuvor vom Auftragsverarbeiter vereinbart wurden. Der Verantwortliche kann diese DPA kündigen, wenn der Auftragsverarbeiter sich weigert, den Anweisungen des Verantwortlichen Folge zu leisten, ohne dass einer der Parteien eine Strafe entsteht. Soweit nach den geltenden gesetzlichen Bestimmungen zulässig, haftet der Auftragsverarbeiter in keiner Weise, wenn eine Anweisung gegen die DSGVO oder andere Datenschutzbestimmungen der Union oder eines Mitgliedstaats verstößt.

4.6. Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten des Verantwortlichen zum Zwecke des Abschlusses eines Vertrags zwischen dem Kunden und dem Verantwortlichen bezüglich der vom Kunden bestellten Produkte und/oder Dienstleistungen und zur Erfüllung dieses Vertrags sowie für Zwecke der Direktmarketingkommunikation wie folgt:

4.6.1. Der Auftragsverarbeiter erhebt im Auftrag des Verantwortlichen die personenbezogenen Daten des Auftraggebers auch zum Zwecke des Abschlusses eines Vertrags zwischen dem Auftraggeber und dem Verantwortlichen.

4.6.2. Der Verarbeiter speichert im Auftrag des Verantwortlichen die gesammelten personenbezogenen Daten des Verantwortlichen in einer Datenbank.

4.6.3. Der Verarbeiter sendet im Auftrag des Verantwortlichen den Kunden auf dem Webbrowser-Bildschirm oder auf dem Bildschirm der nativen App per E-Mail (und per SMS, sofern technisch möglich und auf Anfrage des Verantwortlichen) Informationen über die Bestätigung oder Ablehnung der Bestellung oder über versäumte Bestellungen und über die Lieferung der Bestellung und/oder gegebenenfalls sonstige wichtige und notwendige Einzelheiten bezüglich der Bestellung, darunter vollständige Bestelldetails, einschließlich der personenbezogenen Daten des Verantwortlichen.

4.6.4. Der Verarbeiter führt im Auftrag des Verantwortlichen Berichte aus und speichert Daten zum Bestellverlauf, einschließlich der mit diesen Bestellungen in Zusammenhang stehenden personenbezogenen Daten des Verantwortlichen (oder diese werden, sofern technisch möglich, vom Verantwortlichen hochgeladen).

4.6.5. Der Auftragsverarbeiter wird im Auftrag des Verantwortlichen, sofern technisch möglich und nur mit Genehmigung oder Anfrage oder mit dokumentierter Anweisung des Verantwortlichen, anderen im Auftrag des Verantwortlichen handelnden Datenverarbeitern und/oder Drittparteien, die für die Annahme oder Erfüllung/Verarbeitung der Kundenaufträge relevant sind, den Zugriff auf die vollständigen Auftragsdaten des Kunden des Verantwortlichen, einschließlich der personenbezogenen Daten des Verantwortlichen, übermitteln/bereitstellen/erleichtern. Der Verantwortliche trägt die volle Verantwortung dafür, sicherzustellen, dass die zusätzlichen Stellen, denen er uns nachweislich Zugriff auf Auftragsdetails, einschließlich der personenbezogenen Daten des Verantwortlichen, gewährt, je nach Sachlage die DSGVO einhalten. Ein solcher Zugriff (Übermittlung/Bereitstellung/Erleichterung des Zugriffs), den ein Verantwortlicher verlangen oder genehmigen oder dem Auftragsverarbeiter nachweislich anweisen kann, kann Folgendes umfassen, ist aber nicht darauf beschränkt:

i. Senden zusätzlicher Benachrichtigungs-E-Mails, einige davon mit den Bestelldetails des Kunden, einschließlich der personenbezogenen Daten des Verantwortlichen zur weiteren Verarbeitung im Zusammenhang mit der Auftragserfüllung;

ii. Anbindung von Drittanbieter-Software zum Empfang der Bestelldetails über APIs, einschließlich personenbezogener Daten des Verantwortlichen zur weiteren Verarbeitung im Zusammenhang mit der Auftragserfüllung, wie vom Verantwortlichen verlangt oder genehmigt oder auf dokumentierte Weise an den Verarbeiter angewiesen, wie etwa: Software zur Auftragslieferung und/oder Nachträge, POS-Systeme, Drucklösungen, Treueplattformen, PCI-konforme Zahlungsgateways, Analysetools, Abrechnungs- und/oder Buchhaltungssoftware, vom Verantwortlichen verwendete Messaging-Lösungen usw.

iii. Gewährung von Mehrbenutzerzugriff für weitere Mitarbeiter, Vertreter, Partner oder Mitarbeiter des Verantwortlichen auf den Verwaltungsbereich des Verantwortlichen, insbesondere auf die Bestellhistorie oder Kundenliste, einschließlich des Zugriffs auf die personenbezogenen Daten des Verantwortlichen.

4.6.6. Der Auftragsverarbeiter sendet im Auftrag des Verantwortlichen gegebenenfalls Direktmarketing-Mitteilungen an die Kunden. Für das Versenden solcher Direktmarketing-Mitteilungen ist der Verantwortliche voll verantwortlich dafür, dass die Zustimmung der Kunden zur Durchführung solcher Mitteilungen ordnungsgemäß und in voller Übereinstimmung mit der DSGVO und anderen geltenden Vorschriften eingeholt wurde.

4.6.7. Der Auftragsverarbeiter bearbeitet im Auftrag des Verantwortlichen die Anfragen der Kunden (Anfragen zur Ausübung der Rechte der betroffenen Person), insbesondere die „Abmeldeanfrage“ von Direktmarketing-Mitteilungen und die Anfrage zur Löschung der personenbezogenen Daten, alle ausschließlich in Verbindung mit der Datenbank mit den personenbezogenen Daten des Verantwortlichen, die der Auftragsverarbeiter im Auftrag des Verantwortlichen aufbewahrt, und im Falle der Anfrage zur Löschung der personenbezogenen Daten informiert der Auftragsverarbeiter den Verantwortlichen über solche Anfragen und unternimmt angemessene Schritte, um die anderen Auftragsverarbeiter des Verantwortlichen (nämlich diejenigen, denen der Auftragsverarbeiter – mit einer Genehmigung oder Anfrage oder mit einer dokumentierten Anweisung des Verantwortlichen – den Zugriff per API oder E-Mail ermöglicht hat, und den Partner des Verantwortlichen, der Zugriff auf den Admin-Bereich der Lösung hatte), die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass die betroffene Person die Löschung aller Links zu diesen personenbezogenen Daten oder Kopien oder Replikationen dieser Daten angefordert hat.

4.6.8. Der Auftragsverarbeiter löscht im Auftrag des Verantwortlichen auf dessen Anfrage hin die vom Verantwortlichen angegebenen personenbezogenen Daten.

4.6.9. Der Auftragsverarbeiter löscht im Auftrag des Verantwortlichen bei Beendigung der Vereinbarung die Datenbank mit den personenbezogenen Daten des Verantwortlichen, die der Auftragsverarbeiter im Auftrag des Verantwortlichen aufbewahrt.

5. Sicherheit der Verarbeitung

5.1. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen ergreift der Auftragsverarbeiter in Bezug auf die personenbezogenen Daten des Verantwortlichen geeignete technische und organisatorische Maßnahmen, um ein diesem Risiko angemessenes Schutzniveau zu gewährleisten, einschließlich, soweit angemessen und erforderlich, der in Artikel 32 Absatz 1 der DSGVO genannten Maßnahmen.

5.2. Bei der Beurteilung des angemessenen Sicherheitsniveaus berücksichtigt der Auftragsverarbeiter insbesondere die Risiken, die sich aus der Verarbeitung ergeben, insbesondere aus einer Verletzung des Schutzes personenbezogener Daten.

6. Unterauftragsverarbeitung

6.1. Der Verantwortliche erteilt dem Auftragsverarbeiter durch die vorliegende Datenverarbeitungsvereinbarung die allgemeine schriftliche Vollmacht, dass der Auftragsverarbeiter Unterauftragsverarbeiter mit der Verarbeitung der personenbezogenen Daten des Verantwortlichen beauftragen kann, wobei die EU-Datenschutzgesetze eingehalten werden müssen und keine vorherigen Formalitäten zu erfüllen sind.

6.2. Ohne die Allgemeingültigkeit des Vorstehenden zu beeinträchtigen und der Klarheit halber erklärt sich der Verantwortliche damit einverstanden, dass der Verarbeiter die personenbezogenen Daten des Verantwortlichen auch durch die folgenden Unterverarbeiter verarbeitet:

6.2.1. Die Informationen zu den Konten und/oder Zahlungskarten der Kunden werden an die jeweiligen Parteien, die die Zahlungen abwickeln, übermittelt, um die Zahlungen abzuwickeln.

6.2.2. Darüber hinaus werden die folgenden Informationen zu den folgenden Zwecken und Verarbeitungszwecken an die folgenden Kategorien von Unterauftragsverarbeitern übermittelt:

6.2.2.1. Die Kundendaten, nämlich: Nachname, Vorname, E-Mail-Adresse, Telefonnummer, Lieferadresse (sofern relevant), die zusammen mit den Bestelldaten auf elektronischem Wege übermittelt werden (ausgenommen die Daten der Zahlungskarte, wenn der Kunde den Online-Zahlungsvorgang gewählt hat), werden über E-Mail-Messenger-Betreiber (derzeit in der aktuellen Version Sendgrid Inc. und/oder Peaberry Software Inc. d/b/a Customer IO und/oder Amazon SES-Dienst von Amazon.com Inc.) an den Controller (erneut) und zurück an die E-Mail-Adresse des Kunden übermittelt, um die Bestellung zu bearbeiten und um dem Kunden die entsprechenden Benachrichtigungen bezüglich der Bestätigung oder Ablehnung der Bestellung oder über versäumte Bestellungen und über die Lieferung der Bestellung anzubieten.

6.2.2.2. Die Kundendaten, nämlich: Nachname, Vorname, E-Mail-Adresse, Telefonnummer, Lieferadresse (sofern relevant), die zusammen mit den Bestelldaten auf elektronischem Wege angegeben wurden (mit Ausnahme der Zahlungskartendaten, wenn der Kunde den Online-Zahlungsvorgang gewählt hat), werden nach Möglichkeit über einen SMS-Messenger-Betreiber (derzeit ist dies Twilio Inc.) an den Verantwortlichen und per SMS an den Kunden zurückgesendet, um die Bestellung zu bearbeiten und um dem Kunden die entsprechenden Mitteilungen bezüglich der Bestätigung oder Ablehnung der Bestellung oder über versäumte Bestellungen und über die Lieferung der Bestellung anzubieten.

6.2.2.3. Wenn der Kunde die Online-Zahlungsmethode gewählt hat, werden die Kontaktdaten des Kunden, nämlich: Nachname, Vorname, E-Mail-Adresse, Telefonnummer, Lieferadresse (sofern relevant), die zusammen mit den Details Ihrer Bestellung auf elektronischem Wege angegeben wurden, zusammen mit: IP-Adresse des Ursprungs der Bestellsitzung, Name des Karteninhabers, Ablaufdatum der Karte, CVV-Nummer der Karte (sofern erforderlich); diese können direkt über das iFrame der jeweiligen Zahlungsabwickler (derzeit in der aktuellen Version Spreedly Inc.) unter voller Einhaltung der PCI-Vorschriften erfasst werden, um die Zahlung an den Lieferanten der Produkte und/oder Dienstleistungen im Zusammenhang mit Ihrer Bestellung abzuwickeln und um Ihnen die entsprechenden Benachrichtigungen bezüglich der Bestätigung oder Ablehnung der Bestellung oder über versäumte Bestellungen und über die Lieferung Ihrer Bestellung zu senden.

6.2.2.4. Darüber hinaus werden die personenbezogenen Daten des Verantwortlichen übermittelt, um sie bei den Datenspeicheranbietern (derzeit ist dies Amazon) zu speichern.

7. Übermittlung der personenbezogenen Daten des Verantwortlichen in Drittländer

Der Verantwortliche erteilt dem Auftragsverarbeiter durch diese DPA die allgemeine schriftliche Genehmigung, dass der Auftragsverarbeiter die personenbezogenen Daten des Verantwortlichen zur Verarbeitung durch die Unterauftragsverarbeiter unter Einhaltung der EU-Datenschutzgesetze und ohne Erfüllung vorheriger Formalitäten in Drittländer übermitteln kann. Ohne die Allgemeingültigkeit des Vorstehenden zu beeinträchtigen und der Klarheit halber erklärt sich der Verantwortliche damit einverstanden, dass der Auftragsverarbeiter die folgenden personenbezogenen Daten des Verantwortlichen in die folgenden Länder übermittelt, die im Sinne der DSGVO als Drittländer betrachtet werden können:

A. Nachname, Vorname, E-Mail-Adresse, Telefonnummer und Lieferadresse (sofern relevant) werden an Sendgrid Inc. mit Sitz in Denver, Colorado, USA, gesendet, um die Bestellung zu bearbeiten und dem Kunden die entsprechenden Benachrichtigungen bezüglich der Bestätigung oder Ablehnung der Bestellung oder über versäumte Bestellungen und über die Lieferung der Bestellung zukommen zu lassen.

B. Nachname, Vorname, E-Mail-Adresse, Telefonnummer, Lieferadresse (sofern relevant) werden an Peaberry Software Inc. d/b/a Customer IO mit Sitz in New York – USA gesendet, um die Bestellung zu bearbeiten und dem Kunden die entsprechenden Benachrichtigungen bezüglich der Bestätigung oder Ablehnung der Bestellung oder über versäumte Bestellungen und über die Lieferung der Bestellung anzubieten.

C. Nachname, Vorname, E-Mail-Adresse, Telefonnummer und Lieferadresse (sofern relevant) werden an Twilio Inc. in San Francisco, Kalifornien (USA) gesendet, um die Bestellung zu bearbeiten und dem Kunden die entsprechenden Benachrichtigungen bezüglich der Bestätigung oder Ablehnung der Bestellung oder über versäumte Bestellungen und über die Lieferung der Bestellung zu senden.

D. Nachname, Vorname, E-Mail-Adresse, Telefonnummer und (sofern relevant) Lieferadresse, die IP-Adresse der Bestellsitzung sowie alle anderen von den bestellenden Kunden angegebenen Daten (außer Kreditkarteninformationen) werden an Amazon.com Inc. in Oregon (USA) gesendet, um dort gespeichert und/oder die Bestellung zu verarbeiten und um dem Kunden die entsprechenden Benachrichtigungen bezüglich der Bestätigung oder Ablehnung der Bestellung oder über versäumte Bestellungen und über die Lieferung der Bestellung zukommen zu lassen.

E. Wenn der Verantwortliche beschlossen hat, Online-Zahlungen zu akzeptieren und infolgedessen die PCI-konforme direkte Kommunikation per API mit seinem bei einem der API-konformen Händlerkontoanbieter eröffneten Händlerkonto aktiviert hat, werden Nachname, Vorname, E-Mail-Adresse, Telefonnummer und Lieferadresse (sofern relevant) des Kunden zusammen mit der IP-Adresse des Ursprungs der Bestellsitzung, dem Namen des Karteninhabers, dem Ablaufdatum der Karte, der Kartennummer und dem CVV-Wert (sofern erforderlich) gesendet, die direkt von der PCI-konformen API von Spreedly Inc. mit Sitz in Durham, North Carolina, USA, erfasst werden, um die Bestellung zu verarbeiten und um dem Kunden die entsprechenden Benachrichtigungen bezüglich der Informationen zur Bestätigung oder Ablehnung der Bestellung oder zu versäumten Bestellungen und zur Lieferung der Bestellung anzubieten.

8. Verletzung des Schutzes personenbezogener Daten

8.1. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, wenn er oder ein Unterauftragsverarbeiter Kenntnis von einer Verletzung des Schutzes personenbezogener Daten des Verantwortlichen erhält, die personenbezogene Daten des Verantwortlichen betrifft, und stellt dem Verantwortlichen ausreichende Informationen zur Verfügung, damit dieser seinen Verpflichtungen nach den Datenschutzgesetzen nachkommen und die betroffenen Personen über die Verletzung des Schutzes personenbezogener Daten informieren kann.

8.2. Der Auftragsverarbeiter arbeitet mit dem Verantwortlichen zusammen und ergreift die vom Verantwortlichen angewiesenen angemessenen kommerziellen Maßnahmen, um bei der Untersuchung, Eindämmung und Behebung jeder solchen Verletzung des Schutzes personenbezogener Daten behilflich zu sein.

9. Weitere Pflichten des Auftragsverarbeiters

Der Prozessor:

a) verarbeitet die personenbezogenen Daten ausschließlich gemäß dieser AVV und auf Grundlage der dokumentierten Weisungen des Verantwortlichen, auch im Hinblick auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, es sei denn, er ist hierzu durch das Recht der Union oder der Mitgliedstaaten verpflichtet, dem der Auftragsverarbeiter unterliegt; in einem solchen Fall informiert der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung über diese rechtlichen Anforderungen, es sei denn, dieses Recht verbietet eine solche Information wegen eines wichtigen öffentlichen Interesses.

b) stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten des Verantwortlichen befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Geheimhaltungspflicht unterliegen;

c) ergreift alle in der DPA genannten Maßnahmen hinsichtlich der Sicherheit der Verarbeitung;

d) die in dieser Datenverarbeitungsvereinbarung genannten Bedingungen für die Einschaltung eines weiteren Auftragsverarbeiters beachtet;

e) unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist, bei der Erfüllung seiner Verpflichtung, auf Anträge auf Ausübung der Rechte der betroffenen Person zu antworten.

f) unterstützt den Verantwortlichen dabei, die Einhaltung der Verpflichtungen hinsichtlich der Sicherheit der Verarbeitung und der vorherigen Konsultation unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen zu gewährleisten;

g) nach Abschluss der Bereitstellung von Diensten im Zusammenhang mit der Verarbeitung alle personenbezogenen Daten des Verantwortlichen nach Wahl des Verantwortlichen löscht oder zurückgibt, und löscht vorhandene Kopien, es sei denn, das Recht der Union oder der Mitgliedstaaten schreibt eine Pflicht zur Aufbewahrung der personenbezogenen Daten vor;

h) dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel festgelegten Verpflichtungen zur Verfügung stellt und notwendige und angemessene Überprüfungen, einschließlich Inspektionen, durch den Verantwortlichen oder einen anderen vom Verantwortlichen beauftragten Prüfer ermöglicht und dazu beiträgt.

i) Der Begünstigte informiert den Verantwortlichen über die Unmöglichkeit, den Anweisungen nachzukommen, und ist berechtigt, die Auftragsvergabevereinbarung auszusetzen oder zu beenden, ohne dass für eine der Parteien eine Strafe entsteht.

10. Weitere Pflichten des Verantwortlichen

Der Verantwortliche wird:

A. Dokumentieren Sie schriftlich alle Anweisungen, die sich auf die Verarbeitung von Daten durch den Verarbeiter beziehen.

B. Sicherstellen, dass der Verarbeiter vor und während der Verarbeitung die in der Datenschutz-Grundverordnung festgelegten Verpflichtungen einhält, sofern zutreffend.

11. Allgemeine Bestimmungen

11.1. Die in dieser DPA verwendeten Begriffe haben die in der DPA, in der DSGVO und in der Vereinbarung definierte Bedeutung, sofern der Kontext nichts anderes erfordert oder hierin nichts anderes vorgesehen ist.

11.2. Im Falle von Konflikten oder Unstimmigkeiten zwischen den Bestimmungen dieses Nachtrags und anderen Vereinbarungen zwischen den Parteien, einschließlich der Hauptvereinbarung, in Bezug auf die Verarbeitung der personenbezogenen Daten des Verantwortlichen haben die Bestimmungen dieses Nachtrags Vorrang.

11.3. Sollte eine Bestimmung dieses Nachtrags ungültig oder nicht durchsetzbar sein, bleibt der Rest dieses Nachtrags gültig und in Kraft. Die ungültige oder nicht durchsetzbare Bestimmung wird entweder (i) soweit erforderlich geändert, um ihre Gültigkeit und Durchsetzbarkeit sicherzustellen, wobei die Absichten der Parteien so genau wie möglich gewahrt werden, oder, falls dies nicht möglich ist, (ii) so ausgelegt, als ob der ungültige oder nicht durchsetzbare Teil nie darin enthalten gewesen wäre.