Diese Datenverarbeitungsvereinbarung ("Vereinbarung") ist Teil des Vertrages für
Dienstleistungen ("Hauptvertrag") zwischen XingZap (das "Unternehmen") und seinen Nutzern und Kunden (der "Datenverarbeiter")
(zusammen die "Parteien")
WENN
(A) Das Unternehmen handelt als Datenverantwortlicher.
(B) Das Unternehmen möchte bestimmte Dienstleistungen, die die Verarbeitung personenbezogener Daten beinhalten, an den Datenverarbeiter untervergeben.
(C) Die Parteien streben die Umsetzung einer Datenverarbeitungsvereinbarung an, die den Anforderungen des geltenden Rechtsrahmens für die Datenverarbeitung und der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) entspricht.
(D) Die Vertragsparteien wollen ihre Rechte und Pflichten festlegen.
WIRD WIE FOLGT VEREINBART:
1.1 Sofern hierin nicht anders definiert, haben die in diesem Vertrag verwendeten Begriffe und Ausdrücke in Großbuchstaben die folgende Bedeutung:
1.1.1 "Vertrag" bezeichnet diesen Datenverarbeitungsvertrag und alle Anhänge;
1.1.2 "Personenbezogene Daten des Unternehmens" sind alle personenbezogenen Daten, die von einem Auftragsverarbeiter im Namen des Unternehmens gemäß oder in Verbindung mit dem Hauptvertrag verarbeitet werden;
1.1.3 "Auftragsverarbeiter" ist ein Unterauftragsverarbeiter;
1.1.4 "Datenschutzgesetze" sind die EU-Datenschutzgesetze und, soweit anwendbar, die Datenschutzgesetze eines anderen Landes;
1.1.5 "EWR" bezeichnet den Europäischen Wirtschaftsraum;
1.1.6 "EU-Datenschutzgesetze" bezeichnet die EU-Richtlinie 95/46/EG in der in den einzelnen Mitgliedstaaten in nationales Recht umgesetzten Fassung, die von Zeit zu Zeit geändert, ersetzt oder ersetzt wird, einschließlich der DSGVO und der Gesetze zur Umsetzung oder Ergänzung der DSGVO;
1.1.7 "GDPR" bezeichnet die EU-Datenschutzgrundverordnung 2016/679;
1.1.8 "Datenübertragung" bedeutet:
1.1.8.1 eine Übertragung personenbezogener Unternehmensdaten vom Unternehmen an einen Auftragsverarbeiter; oder
1.1.8.2 eine Weitergabe von personenbezogenen Daten des Unternehmens von einem Auftragsverarbeiter an einen Unterauftragsverarbeiter oder zwischen zwei Niederlassungen eines Auftragsverarbeiters, wenn eine solche Weitergabe durch Datenschutzgesetze (oder durch die Bedingungen von Datenübertragungsvereinbarungen, die eingerichtet wurden, um die Datenübertragungsbeschränkungen der Datenschutzgesetze zu umgehen) untersagt ist;
1.1.9 "Dienste" bezeichnet alle Datenprodukte (API, Datensätze, Webanwendung...), die das Unternehmen bereitstellt.
1.1.10 "Unterauftragsverarbeiter" bezeichnet jede Person, die vom oder im Namen des Auftragsverarbeiters mit der Verarbeitung personenbezogener Daten im Auftrag des Unternehmens in Verbindung mit dem Vertrag beauftragt wird.
1.2 Die Begriffe "Kommission", "für die Verarbeitung Verantwortlicher", "betroffene Person", "Mitgliedstaat", "personenbezogene Daten", "Verletzung des Schutzes personenbezogener Daten", "Verarbeitung" und "Aufsichtsbehörde" haben die gleiche Bedeutung wie in der DSGVO, und die entsprechenden Begriffe sind entsprechend auszulegen.
2.1 Der Verarbeiter muss:
2.1.1 bei der Verarbeitung personenbezogener Daten des Unternehmens alle geltenden Datenschutzgesetze einhalten; und
2.1.2 die personenbezogenen Daten des Unternehmens nur auf der Grundlage der dokumentierten Anweisungen des betreffenden Unternehmens zu verarbeiten.
2.2 Das Unternehmen beauftragt den Auftragsverarbeiter mit der Verarbeitung der personenbezogenen Daten des Unternehmens.
3.1 Der Auftragsverarbeiter ergreift angemessene Maßnahmen, um die Zuverlässigkeit aller Mitarbeiter, Bevollmächtigten oder Auftragnehmer eines Auftragsverarbeiters, die Zugang zu den personenbezogenen Daten des Unternehmens haben, zu gewährleisten, wobei in jedem Fall sichergestellt wird, dass der Zugang streng auf die Personen beschränkt ist, die die betreffenden personenbezogenen Daten des Unternehmens kennen bzw. darauf zugreifen müssen, soweit dies für die Zwecke des Hauptvertrags unbedingt erforderlich ist, und um die geltenden Gesetze im Zusammenhang mit den Pflichten dieser Personen gegenüber dem Auftragsverarbeiter einzuhalten, wobei sichergestellt wird, dass alle diese Personen Vertraulichkeitsverpflichtungen oder beruflichen oder gesetzlichen Verschwiegenheitspflichten unterliegen.
4.1 Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen hat der Auftragsverarbeiter in Bezug auf die personenbezogenen Daten des Unternehmens geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein diesem Risiko angemessenes Sicherheitsniveau zu gewährleisten, gegebenenfalls einschließlich der in Artikel 32 Absatz 1 der DSGVO genannten Maßnahmen.
4.2 Bei der Beurteilung des angemessenen Sicherheitsniveaus hat der Auftragsverarbeiter insbesondere die Risiken zu berücksichtigen, die sich aus der Verarbeitung ergeben, vor allem aus einer Verletzung des Schutzes personenbezogener Daten.
5.1 Der Auftragsverarbeiter darf keinen Unterauftragsverarbeiter ernennen (oder personenbezogene Daten des Unternehmens an diesen weitergeben), es sei denn, er wird vom Unternehmen dazu aufgefordert oder ermächtigt.
6.1 Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter das Unternehmen, indem er geeignete technische und organisatorische Maßnahmen ergreift, soweit dies möglich ist, um die Verpflichtungen des Unternehmens zu erfüllen, wie sie vom Unternehmen vernünftigerweise verstanden werden, um auf Anfragen zur Ausübung der Rechte der betroffenen Person gemäß den Datenschutzgesetzen zu reagieren.
6.2 Der Verarbeiter muss:
6.2.1 das Unternehmen unverzüglich zu benachrichtigen, wenn es eine Anfrage von einer betroffenen Person gemäß einem Datenschutzgesetz in Bezug auf personenbezogene Daten des Unternehmens erhält; und
6.2.2 sicherstellen, dass er auf diese Anfrage nicht antwortet, es sei denn, dies geschieht auf dokumentierte Anweisung des Unternehmens oder gemäß den geltenden Gesetzen, denen der Auftragsverarbeiter unterliegt; in diesem Fall muss der Auftragsverarbeiter, soweit dies nach den geltenden Gesetzen zulässig ist, das Unternehmen über diese gesetzliche Anforderung informieren, bevor der Auftragsverarbeiter auf die Anfrage antwortet.
7.1 Der Auftragsverarbeiter hat das Unternehmen unverzüglich zu benachrichtigen, sobald er von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt, die personenbezogene Daten des Unternehmens betrifft, und dem Unternehmen ausreichende Informationen zur Verfügung zu stellen, damit das Unternehmen seinen Verpflichtungen zur Meldung oder Information der betroffenen Personen über die Verletzung des Schutzes personenbezogener Daten gemäß den Datenschutzgesetzen nachkommen kann.
7.2 Der Auftragsverarbeiter arbeitet mit dem Unternehmen zusammen und ergreift auf Anweisung des Unternehmens angemessene geschäftliche Maßnahmen, um bei der Untersuchung, Eindämmung und Behebung einer solchen Verletzung des Schutzes personenbezogener Daten zu helfen.
Der Auftragsverarbeiter unterstützt das Unternehmen in angemessener Weise bei allen Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Aufsichtsbehörden oder anderen zuständigen Datenschutzbehörden, die das Unternehmen nach vernünftigem Ermessen gemäß Artikel 35 oder 36 der DSGVO oder gleichwertigen Bestimmungen anderer Datenschutzgesetze für erforderlich hält, und zwar jeweils ausschließlich in Bezug auf die Verarbeitung personenbezogener Daten des Unternehmens durch die Auftragsverarbeiter und unter Berücksichtigung der Art der Verarbeitung und der den Auftragsverarbeitern vorliegenden Informationen.
9.1 Vorbehaltlich dieses Abschnitts 9 muss der Auftragsverarbeiter unverzüglich und in jedem Fall innerhalb von
10 Werktage nach dem Datum der Beendigung von Diensten, die die Verarbeitung personenbezogener Daten des Unternehmens beinhalten (das "Beendigungsdatum"), alle Kopien dieser personenbezogenen Daten des Unternehmens zu löschen und zu veranlassen, dass sie gelöscht werden.
10.1 Vorbehaltlich dieses Abschnitts 10 stellt der Auftragsverarbeiter dem Unternehmen auf Anfrage alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung dieser Vereinbarung nachzuweisen, und er muss Prüfungen, einschließlich Inspektionen, durch das Unternehmen oder einen vom Unternehmen beauftragten Prüfer in Bezug auf die Verarbeitung der personenbezogenen Daten des Unternehmens durch die Auftragsverarbeiter zulassen und dazu beitragen.
10.2 Auskunfts- und Prüfungsrechte des Unternehmens ergeben sich aus Abschnitt 10.1 nur insoweit, als der Vertrag ihnen nicht anderweitig Auskunfts- und Prüfungsrechte einräumt, die den einschlägigen datenschutzrechtlichen Anforderungen entsprechen.
11.1 Der Auftragsverarbeiter darf ohne vorherige schriftliche Zustimmung des Unternehmens keine Daten in Länder außerhalb der EU und/oder des Europäischen Wirtschaftsraums (EWR) übertragen oder deren Übertragung genehmigen. Werden personenbezogene Daten, die im Rahmen dieser Vereinbarung verarbeitet werden, von einem Land innerhalb des Europäischen Wirtschaftsraums in ein Land außerhalb des Europäischen Wirtschaftsraums übermittelt, stellen die Parteien sicher, dass die personenbezogenen Daten angemessen geschützt sind. Zu diesem Zweck stützen sich die Parteien, sofern nicht anders vereinbart, auf von der EU genehmigte Standardvertragsklauseln für die Übermittlung personenbezogener Daten.
12.1 Vertraulichkeit. Jede Partei muss diese Vereinbarung und die Informationen, die sie im Zusammenhang mit dieser Vereinbarung über die andere Partei und deren Geschäfte erhält ("vertrauliche Informationen"), vertraulich behandeln und darf diese vertraulichen Informationen nicht ohne die vorherige schriftliche Zustimmung der anderen Partei verwenden oder offenlegen, es sei denn:
(a) die Offenlegung ist gesetzlich vorgeschrieben;
(b) die betreffenden Informationen sind bereits öffentlich bekannt.
12.2 Bekanntmachungen. Alle Mitteilungen im Rahmen dieser Vereinbarung bedürfen der Schriftform und werden persönlich, per Post oder per E-Mail an die in der Überschrift dieser Vereinbarung angegebene Adresse oder E-Mail-Adresse bzw. an eine andere, von den Parteien von Zeit zu Zeit mitgeteilte Adresse zugestellt.
13.1 Dieser Vertrag unterliegt dem französischen Recht.
13.2 Alle Streitigkeiten, die sich im Zusammenhang mit diesem Vertrag ergeben und die die Parteien nicht gütlich beilegen können, unterliegen der ausschließlichen Zuständigkeit der Handelsgerichte von Paris (Tribunal de commerce de Paris, www.greffe-tc-paris.fr), vorbehaltlich einer möglichen Berufung bei den französischen Berufungsgerichten. (Cour de cassation www.courdecassation.fr/)
ZU URKUND DESSEN wird dieser Vertrag mit Wirkung ab dem Datum der ersten Nutzung der Dienste geschlossen.
Das XingZap-Team
Copyright © 2024 XingZap. Alle Rechte vorbehalten.
Made with extra 🚀in Paris !
