aryaka aryaka

STANDARDVERTRAGSKLAUSELN

ABSCHNITT I

Klausel 1

Zweck und Umfang

  1. Zweck dieser Standardvertragsklauseln ist es, die Einhaltung der Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Allgemeine Datenschutzverordnung) (1) für die Übermittlung personenbezogener Daten in ein Drittland zu gewährleisten.
  2. Die Parteien:

    (i) die natürliche(n) oder juristische(n) Person(en), Behörde(n), Agentur(en) oder sonstige(n) Stelle(n) (im Folgenden „Stelle(n)“), die die personenbezogenen Daten übermitteln, wie in Anhang I.A aufgeführt (im Folgenden jeweils „Datenexporteur“), und

    die Einrichtung(en) in einem Drittland, die die personenbezogenen Daten vom Datenexporteur direkt oder indirekt über eine andere Einrichtung, die ebenfalls Vertragspartei dieser Klauseln ist und in Anhang I.A aufgeführt ist, erhält/erhalten (im Folgenden jeweils „Datenimporteur“)

    haben diesen Standardvertragsklauseln (im Folgenden: ‚Klauseln‘) zugestimmt.

  • Diese Klauseln gelten für die Übermittlung personenbezogener Daten, wie in Anhang I.B angegeben.
  • Der Anhang zu diesen Klauseln, der die darin genannten Anhänge enthält, ist integraler Bestandteil dieser Klauseln.

    • Klausel 2

    Wirkung und Unveränderlichkeit der Klauseln

    1. Diese Klauseln enthalten angemessene Garantien, einschließlich durchsetzbarer Rechte der betroffenen Person und wirksamer Rechtsbehelfe, gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 sowie, in Bezug auf Datenübermittlungen von für die Verarbeitung Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter, Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679, sofern sie nicht geändert werden, außer um das/die geeignete(n) Modul(e) auszuwählen oder um Informationen im Anhang hinzuzufügen oder zu aktualisieren.
      Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfassenderen Vertrag einzubeziehen und/oder andere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese nicht direkt oder indirekt im Widerspruch zu diesen Klauseln stehen oder die Grundrechte oder -freiheiten der betroffenen Personen beeinträchtigen.
    2. Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Datenexporteur aufgrund der Verordnung (EU) 2016/679 unterliegt.

    Klausel 2

    Wirkung und Unveränderlichkeit der Klauseln

    1. Diese Klauseln enthalten angemessene Garantien, einschließlich durchsetzbarer Rechte der betroffenen Person und wirksamer Rechtsbehelfe, gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 sowie, in Bezug auf Datenübermittlungen von für die Verarbeitung Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter, Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679, sofern sie nicht geändert werden, außer um das/die geeignete(n) Modul(e) auszuwählen oder um Informationen im Anhang hinzuzufügen oder zu aktualisieren.
      Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfassenderen Vertrag einzubeziehen und/oder andere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese nicht direkt oder indirekt im Widerspruch zu diesen Klauseln stehen oder die Grundrechte oder -freiheiten der betroffenen Personen beeinträchtigen.
    2. Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Datenexporteur aufgrund der Verordnung (EU) 2016/679 unterliegt.

    Klausel 3

    Drittbegünstigte

    1. Betroffene Personen können diese Klauseln als Drittbegünstigte gegenüber dem Datenexporteur und/oder Datenimporteur geltend machen und durchsetzen, mit den folgenden Ausnahmen:

      (i) Klausel 1, Klausel 2, Klausel 3, Klausel 6, Klausel 7;

      (ii) Klausel 8 – Modul Eins: Klausel 8.5 (e) und Klausel 8.9(b); Modul Zwei: Klausel 8.1(b), 8.9(a), (c), (d) und (e); Modul Drei: Klausel 8.1(a), (c) und (d) und Klausel 8.9(a), (c), (d), (e), (f) und (g); Modul Vier: Klausel 8.1 (b) und Klausel 8.3 (b);

      (iii) Klausel 9 – Modul Zwei: Klausel 9(a),
      (c),
      (d) und
      (e); Modul Drei: Klausel 9(a),
      (c),
      (d) und
      (e);

      (iv) Klausel 12 – Modul Eins: Klausel 12(a) und (d); Module Zwei und Drei: Klausel 12(a), (d) und (f);

      (v) Klausel 13;

      (vi) Klausel 15.1(c), (d) und (e);

      (vii) Klausel 16(e);

      (viii) Klausel 18 – Module Eins, Zwei und Drei: Klausel 18(a) und (b); Modul Vier: Klausel 18.

  • Absatz (a) gilt unbeschadet der Rechte der betroffenen Personen gemäß der Verordnung (EU) 2016/679.

    • Klausel 4

    Interpretation

    1. Wenn in diesen Klauseln Begriffe verwendet werden, die in der Verordnung (EU) 2016/679 definiert sind, haben diese Begriffe dieselbe Bedeutung wie in dieser Verordnung.
    2. Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 zu lesen und auszulegen.
    3. Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die im Widerspruch zu den Rechten und Pflichten gemäß der Verordnung (EU) 2016/679 steht.

    Klausel 5

    Hierarchie

    Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen der damit zusammenhängenden Verträge zwischen den Parteien, die zum Zeitpunkt der Vereinbarung dieser Klauseln bestehen oder danach abgeschlossen werden, haben diese Klauseln Vorrang.

    Klausel 6

    Beschreibung der Übertragung(en)

    Die Einzelheiten der Übermittlung(en), insbesondere die Kategorien personenbezogener Daten, die übermittelt werden, und der Zweck/die Zwecke, für den/die sie übermittelt werden, sind in Anhang I.B aufgeführt.

    Klausel 7 – Fakultativ

    Andockklausel

    1. Ein Unternehmen, das nicht Vertragspartei dieser Klauseln ist, kann diesen Klauseln mit Zustimmung der Parteien jederzeit beitreten, entweder als Datenexporteur oder als Datenimporteur, indem es die Anlage ausfüllt und Anhang I.A unterzeichnet.
    2. Sobald sie die Anlage ausgefüllt und Anhang I.A unterzeichnet hat, wird die beitretende Einrichtung Vertragspartei dieser Klauseln und hat die Rechte und Pflichten eines Datenexporteurs oder Datenimporteurs gemäß ihrer Bezeichnung in Anhang I.A.
    3. Der beitretende Rechtsträger hat keine Rechte oder Pflichten, die sich aus diesen Klauseln aus der Zeit vor seinem Beitritt zur Partei ergeben.

    ABSCHNITT II – VERPFLICHTUNGEN DER PARTEIEN

    Klausel 8

    Datenschutzgarantien

    Der Datenexporteur gewährleistet, dass er sich in angemessener Weise vergewissert hat, dass der Datenimporteur durch geeignete technische und organisatorische Maßnahmen in der Lage ist, seinen Verpflichtungen aus diesen Klauseln nachzukommen.

    8.1 Zweckbindung

    Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den/die spezifischen Zweck(e) der Übermittlung gemäß Anhang I.B. Er darf die personenbezogenen Daten nur für einen anderen Zweck verarbeiten:

    (i) wenn sie die vorherige Zustimmung der betroffenen Person erhalten hat;
    (ii) wenn dies für die Begründung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen eines bestimmten Verwaltungs-, Aufsichts- oder Gerichtsverfahrens erforderlich ist; oder
    (iii) wenn dies notwendig ist, um die lebenswichtigen Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.

    8.2 Transparenz

    1. Damit die betroffenen Personen ihre Rechte gemäß Klausel 10 wirksam ausüben können, informiert der Datenimporteur sie entweder direkt oder über den Datenexporteur:

      (i) über seine Identität und seine Kontaktangaben;

      (ii) die Kategorien der verarbeiteten personenbezogenen Daten;

      (iii) über das Recht, eine Kopie dieser Klauseln zu erhalten;

      (iv) wenn sie beabsichtigt, die personenbezogenen Daten an Dritte weiterzugeben, den Empfänger oder die Kategorien von Empfängern (gegebenenfalls im Hinblick auf die Bereitstellung aussagekräftiger Informationen), den Zweck einer solchen Weitergabe und den Grund dafür gemäß Klausel 8.7.

  • Buchstabe a gilt nicht, wenn die betroffene Person bereits über die Informationen verfügt, auch wenn diese Informationen bereits vom Datenexporteur zur Verfügung gestellt wurden, oder wenn sich die Bereitstellung der Informationen als unmöglich erweist oder für den Datenimporteur einen unverhältnismäßigen Aufwand bedeuten würde.
    Im letzteren Fall macht der Datenimporteur die Informationen so weit wie möglich öffentlich zugänglich.
  • Auf Anfrage stellen die Parteien der betroffenen Person kostenlos eine Kopie dieser Klauseln, einschließlich des von ihnen ausgefüllten Anhangs, zur Verfügung.
    Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, können die Parteien Teile des Textes des Anhangs vor der Weitergabe einer Kopie unkenntlich machen, müssen jedoch eine aussagekräftige Zusammenfassung zur Verfügung stellen, wenn die betroffene Person andernfalls nicht in der Lage wäre, den Inhalt zu verstehen oder ihre Rechte auszuüben.
    Auf Anfrage teilen die Parteien der betroffenen Person die Gründe für die Schwärzungen mit, soweit dies ohne Offenlegung der geschwärzten Informationen möglich ist.
  • Die Buchstaben a bis c gelten unbeschadet der Verpflichtungen des Datenexporteurs gemäß Artikel 13 und 14 der Verordnung (EU) 2016/679.

    • 8.3 Genauigkeit und Datensparsamkeit

    1. Jede Vertragspartei stellt sicher, dass die personenbezogenen Daten richtig sind und, soweit erforderlich, auf dem neuesten Stand gehalten werden.
      Der Datenimporteur unternimmt alle angemessenen Schritte, um sicherzustellen, dass personenbezogene Daten, die im Hinblick auf den/die Zweck(e) der Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.
    2. Stellt eine der Parteien fest, dass die von ihr übermittelten oder erhaltenen personenbezogenen Daten unrichtig oder veraltet sind, informiert sie die andere Partei unverzüglich.
    3. Der Datenimporteur stellt sicher, dass die personenbezogenen Daten angemessen und relevant sind und sich auf das beschränken, was im Hinblick auf den/die Zweck(e) der Verarbeitung erforderlich ist.

    8.4 Einschränkung der Speicherung

    Der Datenimporteur bewahrt die personenbezogenen Daten nicht länger auf, als es für den/die Zweck(e), für den/die sie verarbeitet werden, erforderlich ist.
    Er ergreift geeignete technische oder organisatorische Maßnahmen, um die Einhaltung dieser Verpflichtung zu gewährleisten, einschließlich der Löschung oder Anonymisierung (2) der Daten und aller Sicherungskopien am Ende der Aufbewahrungsfrist.

    8.5 Sicherheit der Verarbeitung

    1. Der Datenimporteur und bei der Übermittlung auch der Datenexporteur treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten, einschließlich des Schutzes vor einer Sicherheitsverletzung, die zu einer zufälligen oder unrechtmäßigen Zerstörung, einem Verlust, einer Veränderung, einer unbefugten Weitergabe oder einem unbefugten Zugang führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“).
      Bei der Beurteilung des angemessenen Sicherheitsniveaus berücksichtigen sie den Stand der Technik, die Kosten der Umsetzung, die Art, den Umfang, die Umstände und den Zweck/die Zwecke der Verarbeitung sowie die mit der Verarbeitung verbundenen Risiken für die betroffene Person.
      Die Parteien erwägen insbesondere den Rückgriff auf Verschlüsselung oder Pseudonymisierung, auch während der Übermittlung, wenn der Zweck der Verarbeitung auf diese Weise erfüllt werden kann.
    2. Die Parteien haben sich auf die in Anhang II aufgeführten technischen und organisatorischen Maßnahmen geeinigt.
      Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Maß an Sicherheit bieten.
    3. Der Datenimporteur stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Geheimhaltungspflicht unterliegen.
    4. Im Falle einer Verletzung des Schutzes personenbezogener Daten in Bezug auf personenbezogene Daten, die von dem Datenimporteur im Rahmen dieser Klauseln verarbeitet werden, ergreift der Datenimporteur geeignete Maßnahmen, um die Verletzung des Schutzes personenbezogener Daten zu beheben, einschließlich Maßnahmen zur Abmilderung ihrer möglichen negativen Auswirkungen.
    5. Im Falle einer Verletzung des Schutzes personenbezogener Daten, die wahrscheinlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, benachrichtigt der Datenimporteur unverzüglich sowohl den Datenexporteur als auch die zuständige Aufsichtsbehörde gemäß Klausel 13.
      Eine solche Meldung muss enthalten
      i) eine Beschreibung der Art des Verstoßes (einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen und der betroffenen personenbezogenen Datensätze),
      ii) die wahrscheinlichen Folgen,
      iii) die Maßnahmen, die zur Behebung der Verletzung ergriffen oder vorgeschlagen wurden, und
      iv) die Angaben zu einer Kontaktstelle, bei der Sie weitere Informationen erhalten können.
      Soweit es dem Datenimporteur nicht möglich ist, alle Informationen gleichzeitig zu übermitteln, kann er dies ohne unangemessene Verzögerung in mehreren Phasen tun.
    6. Im Falle einer Verletzung des Schutzes personenbezogener Daten, die wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, benachrichtigt der Datenimporteur auch unverzüglich die betroffenen Personen über die Verletzung des Schutzes personenbezogener Daten und deren Art, erforderlichenfalls in Zusammenarbeit mit dem Datenexporteur, zusammen mit den in Absatz e), Ziffern ii) bis iv) genannten Informationen, es sei denn, der Datenimporteur hat Maßnahmen ergriffen, um das Risiko für die Rechte oder Freiheiten natürlicher Personen erheblich zu verringern, oder die Benachrichtigung wäre mit unverhältnismäßigem Aufwand verbunden.
      Im letzteren Fall muss der Datenimporteur stattdessen eine öffentliche Mitteilung veröffentlichen oder eine ähnliche Maßnahme ergreifen, um die Öffentlichkeit über die Verletzung des Schutzes personenbezogener Daten zu informieren.
    7. Der Datenimporteur dokumentiert alle relevanten Fakten im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten, einschließlich der Auswirkungen und der ergriffenen Abhilfemaßnahmen, und führt Aufzeichnungen darüber.

    8.6 Sensible Daten

    Betrifft die Übermittlung personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetische Daten oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Daten über Gesundheit oder das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen oder Straftaten (im Folgenden „sensible Daten“), so wendet der Datenimporteur besondere Beschränkungen und/oder zusätzliche Garantien an, die auf die besondere Art der Daten und die damit verbundenen Risiken abgestimmt sind.
    Dies kann die Einschränkung des Personals, das Zugang zu den personenbezogenen Daten hat, zusätzliche Sicherheitsmaßnahmen (wie Pseudonymisierung) und/oder zusätzliche Beschränkungen in Bezug auf die weitere Offenlegung umfassen.

    8.7 Weitergehende Überweisungen

    Der Datenimporteur darf die personenbezogenen Daten nicht an einen Dritten weitergeben, der sich außerhalb der Europäischen Union (3) befindet (im selben Land wie der Datenimporteur oder in einem anderen Drittland, im Folgenden „Weitergabe“), es sei denn, der Dritte ist im Rahmen des entsprechenden Moduls an diese Klauseln gebunden oder stimmt ihnen zu.
    Andernfalls kann eine Weiterübermittlung durch den Datenimporteur nur erfolgen, wenn:

      (i) es handelt sich um ein Land, das von einem Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 profitiert, der die Weiterübermittlung abdeckt;

      (ii) der Dritte anderweitig angemessene Garantien gemäß Artikel 46 oder 47 der Verordnung (EU) 2016/679 in Bezug auf die betreffende Verarbeitung gewährleistet;

      (iii) der Dritte schließt mit dem Datenimporteur eine verbindliche Übereinkunft, die das gleiche Datenschutzniveau wie in diesen Klauseln gewährleistet, und der Datenimporteur stellt dem Datenexporteur eine Kopie dieser Garantien zur Verfügung;

      (iv) sie für die Begründung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen bestimmter Verwaltungs-, Aufsichts- oder Gerichtsverfahren erforderlich ist;

      (v) sie ist erforderlich, um die lebenswichtigen Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen; oder

      (vi) wenn keine der anderen Bedingungen zutrifft, hat der Datenimporteur die ausdrückliche Einwilligung der betroffenen Person für eine Weiterübermittlung in einer bestimmten Situation eingeholt, nachdem er sie über den/die Zweck(e), die Identität des Empfängers und die möglichen Risiken einer solchen Übermittlung für sie aufgrund des Fehlens angemessener Datenschutzgarantien informiert hat.
      In diesem Fall informiert der Datenimporteur den Datenexporteur und übermittelt diesem auf Anfrage eine Kopie der Informationen, die er der betroffenen Person gegeben hat.

    Jede Weitergabe unterliegt der Einhaltung aller anderen Garantien dieser Klauseln durch den Datenimporteur, insbesondere der Zweckbindung.

    8.8 Verarbeitung im Auftrag des Datenimporteurs

    Der Datenimporteur stellt sicher, dass jede Person, die unter seiner Aufsicht handelt, einschließlich eines Auftragsverarbeiters, die Daten nur auf seine Anweisung hin verarbeitet.

    8.9 Dokumentation und Einhaltung der Vorschriften

    1. Jede Partei muss in der Lage sein, die Einhaltung ihrer Verpflichtungen aus diesen Klauseln nachzuweisen.
      Insbesondere muss der Datenimporteur eine angemessene Dokumentation über die unter seiner Verantwortung durchgeführten Verarbeitungstätigkeiten führen.
    2. Der Datenimporteur stellt der zuständigen Aufsichtsbehörde diese Unterlagen auf Anfrage zur Verfügung.

    Klausel 9 [not applicable]

    Klausel 10

    Rechte der betroffenen Person

    1. Der Datenimporteur, gegebenenfalls mit Unterstützung des Datenexporteurs, bearbeitet alle Anfragen und Anträge, die er von einer betroffenen Person in Bezug auf die Verarbeitung ihrer personenbezogenen Daten und die Ausübung ihrer Rechte gemäß diesen Klauseln erhält, ohne unangemessene Verzögerung und spätestens innerhalb eines Monats nach Eingang der Anfrage oder des Antrags.
      (10)
      Der Datenimporteur trifft geeignete Maßnahmen, um solche Anfragen, Anträge und die Ausübung der Rechte der betroffenen Person zu erleichtern.
      Alle Informationen, die der betroffenen Person zur Verfügung gestellt werden, müssen in einer verständlichen und leicht zugänglichen Form und in einer klaren und einfachen Sprache abgefasst sein.
    2. Insbesondere muss der Datenimporteur auf Anfrage der betroffenen Person kostenlos:

      (i) der betroffenen Person eine Bestätigung darüber zukommen lassen, ob sie betreffende personenbezogene Daten verarbeitet werden, und, falls dies der Fall ist, eine Kopie der sie betreffenden Daten sowie die Informationen in Anhang I; falls personenbezogene Daten weitergegeben wurden oder werden, Informationen über die Empfänger oder Kategorien von Empfängern (gegebenenfalls im Hinblick auf die Bereitstellung aussagekräftiger Informationen), an die die personenbezogenen Daten weitergegeben wurden oder werden, den Zweck dieser Weitergabe und den Grund für diese Weitergabe gemäß Klausel 8.7; und Informationen über das Recht, eine Beschwerde bei einer Aufsichtsbehörde gemäß Klausel 12(c)(i) einzureichen;

      (ii) unrichtige oder unvollständige Daten über die betroffene Person zu berichtigen;

      (iii) die die betroffene Person betreffenden personenbezogenen Daten zu löschen, wenn diese Daten unter Verletzung einer dieser Klauseln verarbeitet werden oder wurden, die die Rechte von Drittbegünstigten sicherstellen, oder wenn die betroffene Person ihre Einwilligung, auf der die Verarbeitung beruht, zurückzieht.

  • Verarbeitet der Datenimporteur die personenbezogenen Daten für Zwecke der Direktwerbung, so stellt er die Verarbeitung für diese Zwecke ein, wenn die betroffene Person Widerspruch einlegt.
  • Der Datenimporteur trifft keine ausschließlich auf der automatisierten Verarbeitung der übermittelten personenbezogenen Daten beruhende Entscheidung (im Folgenden „automatisierte Entscheidung“), die für die betroffene Person rechtliche Folgen nach sich ziehen oder sie in ähnlicher Weise erheblich beeinträchtigen würde, es sei denn, die betroffene Person hat ausdrücklich eingewilligt oder ist nach dem Recht des Bestimmungslandes dazu befugt, sofern dieses Recht geeignete Maßnahmen zur Wahrung der Rechte und berechtigten Interessen der betroffenen Person vorsieht.
    In diesem Fall wird der Datenimporteur, wenn nötig in Zusammenarbeit mit dem Datenexporteur:

      • (i) die betroffene Person über die geplante automatisierte Entscheidung, die geplanten Folgen und die damit verbundene Logik zu informieren; und

      (ii) geeignete Garantien vorsehen, die es der betroffenen Person zumindest ermöglichen, die Entscheidung anzufechten, ihren Standpunkt darzulegen und eine Überprüfung durch einen Menschen zu erwirken.

  • Wenn die Anfragen einer betroffenen Person übermäßig sind, insbesondere aufgrund ihres wiederholten Charakters, kann der Datenimporteur entweder eine angemessene Gebühr unter Berücksichtigung der Verwaltungskosten für die Bearbeitung der Anfrage erheben oder die Bearbeitung der Anfrage ablehnen.
  • Der Datenimporteur kann den Antrag einer betroffenen Person ablehnen, wenn eine solche Ablehnung nach dem Recht des Bestimmungslandes zulässig und in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele zu schützen.
  • Beabsichtigt der Datenimporteur, den Antrag einer betroffenen Person abzulehnen, unterrichtet er die betroffene Person über die Gründe für die Ablehnung und die Möglichkeit, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen und/oder einen Rechtsbehelf einzulegen.

    • Klausel 11

    Abhilfe

    1. Der Datenimporteur informiert die betroffenen Personen in einem transparenten und leicht zugänglichen Format durch eine individuelle Mitteilung oder auf seiner Website über eine Kontaktstelle, die für die Bearbeitung von Beschwerden zuständig ist.
      Er bearbeitet alle Beschwerden, die er von einer betroffenen Person erhält, unverzüglich.
      [OPTION: Der Datenimporteur erklärt sich damit einverstanden, dass die betroffenen Personen auch eine Beschwerde bei einer unabhängigen Schlichtungsstelle (11) einreichen können, ohne dass für die betroffene Person Kosten anfallen. Er unterrichtet die betroffenen Personen in der unter Buchstabe a beschriebenen Weise über diesen Rechtsbehelfsmechanismus und weist sie darauf hin, dass sie nicht verpflichtet sind, ihn zu nutzen oder eine bestimmte Reihenfolge bei der Einlegung von Rechtsbehelfen einzuhalten].
    2. Im Falle eines Rechtsstreits zwischen einer betroffenen Person und einer der Parteien über die Einhaltung dieser Klauseln bemüht sich die betreffende Partei nach besten Kräften, die Angelegenheit rechtzeitig gütlich zu regeln.
      Die Parteien halten sich gegenseitig über solche Streitigkeiten auf dem Laufenden und arbeiten gegebenenfalls bei deren Beilegung zusammen.
    3. Beruft sich die betroffene Person auf ein Drittbegünstigungsrecht gemäß Ziffer 3, so akzeptiert der Datenimporteur die Entscheidung der betroffenen Person:

        (i) eine Beschwerde bei der Aufsichtsbehörde des Mitgliedstaats, in dem er seinen gewöhnlichen Aufenthalt oder seinen Arbeitsplatz hat, oder bei der zuständigen Aufsichtsbehörde gemäß Klausel 13 einreichen;

        (ii) die Streitigkeit an die zuständigen Gerichte im Sinne von Klausel 18 verweisen.

    4. Die Parteien akzeptieren, dass die betroffene Person unter den in Artikel 80 Absatz 1 der Verordnung (EU) 2016/679 genannten Bedingungen durch eine gemeinnützige Einrichtung, Organisation oder Vereinigung vertreten werden kann.
    5. Der Datenimporteur muss sich an eine Entscheidung halten, die nach dem geltenden Recht der EU oder eines Mitgliedstaats verbindlich ist.
    6. Der Datenimporteur erklärt sich damit einverstanden, dass die von der betroffenen Person getroffene Wahl ihre materiell- und verfahrensrechtlichen Rechte auf Einlegung von Rechtsmitteln gemäß den geltenden Gesetzen nicht beeinträchtigt.

    Klausel 12

    Haftung

    1. Jede Partei haftet gegenüber der/den anderen Partei(en) für alle Schäden, die sie der/den anderen Partei(en) durch einen Verstoß gegen diese Klauseln zufügt.
    2. Jede Partei haftet gegenüber der betroffenen Person und die betroffene Person hat Anspruch auf Schadenersatz für alle materiellen oder immateriellen Schäden, die die Partei der betroffenen Person durch die Verletzung der Rechte des Drittbegünstigten gemäß diesen Klauseln zufügt.
      Dies gilt unbeschadet der Haftung des Datenexporteurs gemäß der Verordnung (EU) 2016/679.
    3. Ist mehr als eine Partei für einen Schaden verantwortlich, der der betroffenen Person infolge eines Verstoßes gegen diese Klauseln entstanden ist, haften alle verantwortlichen Parteien gesamtschuldnerisch, und die betroffene Person ist berechtigt, gegen jede dieser Parteien gerichtlich vorzugehen.
    4. Die Parteien vereinbaren, dass eine Partei, die gemäß Absatz (c) haftbar gemacht wird, berechtigt ist, von der/den anderen Partei(en) den Teil der Entschädigung zurückzufordern, der ihrer Verantwortung für den Schaden entspricht.
    5. Der Datenimporteur kann sich nicht auf das Verhalten eines Auftragsverarbeiters oder Unterauftragsverarbeiters berufen, um seine eigene Haftung zu umgehen.

    Klausel 13

    Beaufsichtigung

    1. [Where the data exporter is established in an EU Member State:] Die Aufsichtsbehörde, die für die Einhaltung der Verordnung (EU) 2016/679 durch den Datenexporteur in Bezug auf die Datenübermittlung verantwortlich ist, wie in Anhang I.C angegeben, handelt als zuständige Aufsichtsbehörde.
      [Ist der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen, fällt aber in den territorialen Anwendungsbereich der Verordnung (EU) 2016/679 gemäß deren Artikel 3 Absatz 2 und hat einen Vertreter gemäß Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 bestellt:] Die Aufsichtsbehörde des Mitgliedstaats, in dem der Vertreter im Sinne von Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 niedergelassen ist, wie in Anhang I.C angegeben, handelt als zuständige Aufsichtsbehörde.
      [Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat ansässig ist, aber in den territorialen Anwendungsbereich der Verordnung (EU) 2016/679 gemäß deren Artikel 3 Absatz 2 fällt, ohne jedoch einen Vertreter gemäß Artikel 27 Absatz 2 der Verordnung (EU) 2016/679 benennen zu müssen:] Die Aufsichtsbehörde eines der Mitgliedstaaten, in dem sich die betroffenen Personen, deren personenbezogene Daten gemäß diesen Klauseln im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an sie übermittelt werden oder deren Verhalten überwacht wird, wie in Anhang I.C angegeben, befinden, fungiert als zuständige Aufsichtsbehörde.
    2. Der Datenimporteur erklärt sich damit einverstanden, sich der Gerichtsbarkeit der zuständigen Aufsichtsbehörde zu unterwerfen und mit dieser in allen Verfahren zusammenzuarbeiten, die darauf abzielen, die Einhaltung dieser Klauseln zu gewährleisten.
      Insbesondere verpflichtet sich der Datenimporteur, auf Anfragen zu antworten, sich Prüfungen zu unterziehen und die von der Aufsichtsbehörde getroffenen Maßnahmen, einschließlich Abhilfe- und Ausgleichsmaßnahmen, zu befolgen.
      Er muss der Aufsichtsbehörde schriftlich bestätigen, dass die erforderlichen Maßnahmen ergriffen worden sind.

    ABSCHNITT III – LOKALE GESETZE UND VERPFLICHTUNGEN IM FALLE DES ZUGRIFFS DURCH BEHÖRDEN

    Klausel 14

    Lokale Gesetze und Praktiken, die sich auf die Einhaltung der Klauseln auswirken

    1. Die Parteien garantieren, dass sie keinen Grund zu der Annahme haben, dass die Gesetze und Praktiken im Bestimmungsdrittland, die auf die Verarbeitung der personenbezogenen Daten durch den Datenimporteur anwendbar sind, einschließlich etwaiger Anforderungen an die Offenlegung personenbezogener Daten oder Maßnahmen, die den Zugang von Behörden ermöglichen, den Datenimporteur daran hindern, seinen Verpflichtungen gemäß diesen Klauseln nachzukommen.
      Dies beruht auf dem Verständnis, dass Gesetze und Praktiken, die den Kern der Grundrechte und -freiheiten respektieren und nicht über das hinausgehen, was in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um eines der in Artikel 23(1) der Verordnung (EU) 2016/679 aufgeführten Ziele zu schützen, nicht im Widerspruch zu diesen Klauseln stehen.
    2. Die Vertragsparteien erklären, dass sie bei der Abgabe der unter Buchstabe a) genannten Garantie insbesondere die folgenden Elemente gebührend berücksichtigt haben:

      (i) die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übermittlungskanäle; beabsichtigte Weiterübermittlungen; die Art des Empfängers; der Zweck der Verarbeitung; die Kategorien und das Format der übermittelten personenbezogenen Daten; der Wirtschaftssektor, in dem die Übermittlung erfolgt; der Speicherort der übermittelten Daten;

      (ii) die Gesetze und Gepflogenheiten des Bestimmungsdrittlandes – einschließlich derjenigen, die die Weitergabe von Daten an Behörden vorschreiben oder den Zugriff durch solche Behörden gestatten -, die angesichts der besonderen Umstände der Übermittlung relevant sind, sowie die geltenden Beschränkungen und Garantien (12);

      (iii) alle einschlägigen vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß diesen Klauseln eingeführt wurden, einschließlich der Maßnahmen, die bei der Übermittlung und der Verarbeitung der personenbezogenen Daten im Bestimmungsland angewendet werden.

  • Der Datenimporteur garantiert, dass er sich bei der Durchführung der Bewertung gemäß Absatz (b) nach besten Kräften bemüht hat, dem Datenexporteur relevante Informationen zur Verfügung zu stellen, und erklärt sich bereit, weiterhin mit dem Datenexporteur zusammenzuarbeiten, um die Einhaltung dieser Klauseln sicherzustellen.
  • Die Vertragsparteien vereinbaren, die Bewertung gemäß Absatz (b) zu dokumentieren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
  • Der Datenimporteur verpflichtet sich, den Datenexporteur unverzüglich zu benachrichtigen, wenn er nach der Zustimmung zu diesen Klauseln und während der Laufzeit des Vertrags Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterworfen wurde, die nicht mit den Anforderungen gemäß Absatz (a) übereinstimmen, einschließlich einer Änderung der Gesetze des Drittlandes oder einer Maßnahme (wie z.B. einer Aufforderung zur Offenlegung), die auf eine Anwendung dieser Gesetze in der Praxis hinweist, die nicht mit den Anforderungen in Absatz (a) übereinstimmt.
    [Für Modul Drei: Der Datenexporteur leitet die Meldung an den für die Verarbeitung Verantwortlichen weiter].
  • Nach einer Meldung gemäß Buchstabe e oder wenn der Datenexporteur anderweitig Grund zu der Annahme hat, dass der Datenimporteur seinen Verpflichtungen gemäß diesen Klauseln nicht mehr nachkommen kann, bestimmt der Datenexporteur unverzüglich geeignete Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung von Sicherheit und Vertraulichkeit), die vom Datenexporteur und/oder Datenimporteur zu ergreifen sind, um die Situation [für Modul Drei: gegebenenfalls in Absprache mit dem für die Verarbeitung Verantwortlichen] zu bewältigen. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Ansicht ist, dass keine angemessenen Garantien für eine solche Übermittlung gewährleistet werden können, oder wenn er von [für Modul Drei: dem für die Verarbeitung Verantwortlichen oder] der zuständigen Aufsichtsbehörde dazu angewiesen wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft. Sind an dem Vertrag mehr als zwei Parteien beteiligt, kann der Datenexporteur dieses Kündigungsrecht nur in Bezug auf die betreffende Partei ausüben, sofern die Parteien nichts anderes vereinbart haben. Wird der Vertrag gemäß dieser Klausel gekündigt, so gilt Klausel 16(d) und (e).

    • Klausel 15

    Pflichten des Datenimporteurs im Falle eines Zugriffs durch öffentliche Behörden

    15.1 Benachrichtigung

    1. Der Datenimporteur verpflichtet sich, den Datenexporteur und, soweit möglich, die betroffene Person unverzüglich (gegebenenfalls mit Hilfe des Datenexporteurs) zu benachrichtigen, wenn er:

      ein rechtsverbindliches Ersuchen einer Behörde, einschließlich Justizbehörden, nach dem Recht des Bestimmungslandes um Offenlegung der gemäß diesen Klauseln übermittelten personenbezogenen Daten erhält; eine solche Benachrichtigung muss Informationen über die angeforderten personenbezogenen Daten, die ersuchende Behörde, die Rechtsgrundlage für das Ersuchen und die erteilte Antwort enthalten; oder

      von einem direkten Zugriff öffentlicher Behörden auf personenbezogene Daten erfährt, die gemäß diesen Klauseln in Übereinstimmung mit den Gesetzen des Bestimmungslandes übermittelt wurden; diese Mitteilung muss alle dem Importeur zur Verfügung stehenden Informationen enthalten.

      [Für Modul 3: Der Datenexporteur leitet die Meldung an den für die Verarbeitung Verantwortlichen weiter].

  • Falls es dem Datenimporteur nach dem Recht des Bestimmungslandes untersagt ist, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, erklärt sich der Datenimporteur bereit, sich nach besten Kräften um eine Aufhebung des Verbots zu bemühen, um so schnell wie möglich so viele Informationen wie möglich zu übermitteln.
    Der Datenimporteur verpflichtet sich, seine Bemühungen zu dokumentieren, damit er sie auf Anfrage des Datenexporteurs nachweisen kann.
  • Soweit dies nach den Gesetzen des Bestimmungslandes zulässig ist, erklärt sich der Datenimporteur bereit, dem Datenexporteur während der Laufzeit des Vertrags in regelmäßigen Abständen so viele sachdienliche Informationen wie möglich über die eingegangenen Ersuchen zu übermitteln (insbesondere Anzahl der Ersuchen, Art der angeforderten Daten, ersuchende Behörde(n), ob Ersuchen angefochten wurden und das Ergebnis dieser Anfechtungen, usw.).
  • Der Datenimporteur verpflichtet sich, die Informationen gemäß den Buchstaben a) bis c) für die Dauer des Vertrages aufzubewahren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
  • Die Absätze (a) bis (c) berühren nicht die Verpflichtung des Datenimporteurs gemäß Klausel 14(e) und Klausel 16, den Datenexporteur unverzüglich zu informieren, wenn er diese Klauseln nicht einhalten kann.

    • 15.2 Überprüfung der Rechtmäßigkeit und Datenminimierung

    1. Der Datenimporteur erklärt sich bereit, die Rechtmäßigkeit des Offenlegungsantrags zu überprüfen, insbesondere ob er im Rahmen der Befugnisse der antragstellenden Behörde bleibt, und den Antrag anzufechten, wenn er nach sorgfältiger Prüfung zu dem Schluss kommt, dass es vernünftige Gründe für die Annahme gibt, dass der Antrag nach den Gesetzen des Bestimmungslandes, den geltenden völkerrechtlichen Verpflichtungen und den Grundsätzen der internationalen Komitologie unrechtmäßig ist.
      Der Datenimporteur muss unter den gleichen Bedingungen Rechtsmittel einlegen können.
      Bei der Anfechtung eines Ersuchens beantragt der Datenimporteur einstweilige Maßnahmen mit dem Ziel, die Wirkungen des Ersuchens auszusetzen, bis die zuständige Justizbehörde über die Begründetheit des Ersuchens entschieden hat.
      Er gibt die angeforderten personenbezogenen Daten erst dann weiter, wenn er nach den geltenden Verfahrensvorschriften dazu verpflichtet ist.
      Diese Anforderungen berühren nicht die Verpflichtungen des Datenimporteurs gemäß Klausel 14(e).
    2. Der Datenimporteur erklärt sich damit einverstanden, seine rechtliche Bewertung und jede Anfechtung des Auskunftsersuchens zu dokumentieren und, soweit dies nach den Gesetzen des Bestimmungslandes zulässig ist, dem Datenexporteur die Dokumentation zur Verfügung zu stellen.
      Er stellt sie auch der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung.
    3. Der Datenimporteur erklärt sich damit einverstanden, bei der Beantwortung eines Auskunftsersuchens das zulässige Minimum an Informationen zur Verfügung zu stellen, das auf einer angemessenen Auslegung des Ersuchens beruht.

    ABSCHNITT IV – SCHLUSSBESTIMMUNGEN

    Klausel 16

    Nichteinhaltung der Klauseln und Kündigung

    1. Der Datenimporteur informiert den Datenexporteur unverzüglich, wenn er diese Klauseln, aus welchen Gründen auch immer, nicht einhalten kann.
    2. Für den Fall, dass der Datenimporteur gegen diese Klauseln verstößt oder nicht in der Lage ist, diese Klauseln einzuhalten, setzt der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aus, bis die Einhaltung der Klauseln wieder gewährleistet ist oder der Vertrag gekündigt wird.
      Dies gilt unbeschadet der Klausel 14(f).
    3. Der Datenexporteur ist berechtigt, den Vertrag, soweit er die Verarbeitung personenbezogener Daten nach diesen Klauseln betrifft, zu kündigen, wenn:

        (i) der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Absatz (b) ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wird

        der Datenimporteur in erheblichem Maße oder anhaltend gegen diese Klauseln verstößt; oder

        (iii) der Datenimporteur einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer Aufsichtsbehörde in Bezug auf seine Verpflichtungen gemäß diesen Klauseln nicht nachkommt.

      In diesen Fällen unterrichtet er die zuständige Aufsichtsbehörde über diese Nichteinhaltung.
      Sind an dem Vertrag mehr als zwei Parteien beteiligt, kann der Datenexporteur dieses Kündigungsrecht nur in Bezug auf die betreffende Partei ausüben, es sei denn, die Parteien haben etwas anderes vereinbart.

    4. Personenbezogene Daten, die vor der Beendigung des Vertragsverhältnisses gemäß Absatz (c) übermittelt wurden, werden nach Wahl des Datenexporteurs unverzüglich an den Datenexporteur zurückgegeben oder vollständig gelöscht.
      Das Gleiche gilt für etwaige Kopien der Daten.
      Der Datenimporteur muss dem Datenexporteur die Löschung der Daten bescheinigen.
      Bis zur Löschung oder Rückgabe der Daten muss der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicherstellen.
      Falls für den Datenimporteur örtliche Gesetze gelten, die die Rückgabe oder Löschung der übermittelten personenbezogenen Daten verbieten, garantiert der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln gewährleistet und die Daten nur in dem Umfang und so lange verarbeitet, wie dies nach dem jeweiligen örtlichen Gesetz erforderlich ist.
    5. Jede Partei kann ihre Zustimmung, an diese Klauseln gebunden zu sein, widerrufen, wenn
      (i) die Europäische Kommission einen Beschluss gemäß Artikel 45(3) der Verordnung (EU) 2016/679 erlässt, der die Übermittlung personenbezogener Daten betrifft, für die diese Klauseln gelten; oder
      (ii) die Verordnung (EU) 2016/679 Teil des rechtlichen Rahmens des Landes wird, in das die personenbezogenen Daten übermittelt werden.
      Dies gilt unbeschadet anderer Verpflichtungen, die für die betreffende Verarbeitung gemäß der Verordnung (EU) 2016/679 gelten.

    Klausel 17

    Geltendes Recht

    OPTION 1: Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, sofern dieses Recht Drittbegünstigungsrechte zulässt.
    Die Parteien vereinbaren, dass dies das Recht Deutschlands sein soll.

    Klausel 18

    Wahl des Gerichtsstands und der Gerichtsbarkeit

    1. Alle Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten eines EU-Mitgliedstaates entschieden.
    2. Die Parteien vereinbaren, dass dies die Gerichte in Deutschland sein sollen.
    3. Eine betroffene Person kann auch vor den Gerichten des Mitgliedstaates, in dem sie ihren gewöhnlichen Aufenthalt hat, gegen den Datenexporteur und/oder Datenimporteur klagen.
    4. Die Parteien verpflichten sich, sich der Gerichtsbarkeit dieser Gerichte zu unterwerfen.

    (1) Handelt es sich bei dem Datenexporteur um einen Auftragsverarbeiter, der der Verordnung (EU) 2016/679 unterliegt und im Namen eines Organs oder einer Einrichtung der Union als Verantwortlicher handelt, gewährleistet die Berufung auf diese Klauseln bei der Beauftragung eines anderen Auftragsverarbeiters (Unterauftragsverarbeiters), der nicht der Verordnung (EU) 2016/679 unterliegt, auch die Einhaltung von Artikel 29 Absatz 4 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und Agenturen der Union, Einrichtungen, Ämtern und Agenturen der Union und zum freien Datenverkehr sowie zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39), soweit diese Klauseln und die Datenschutzverpflichtungen, die in dem Vertrag oder einem anderen Rechtsakt zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter gemäß Artikel 29 Absatz 3 der Verordnung (EU) 2018/1725 festgelegt sind, aufeinander abgestimmt sind.
    Dies ist insbesondere dann der Fall, wenn sich der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter auf die im Beschluss 2021/915 enthaltenen Standardvertragsklauseln stützen.
    (2) Dies setzt voraus, dass die Daten im Einklang mit Erwägungsgrund 26 der Verordnung (EU) 2016/679 so anonymisiert werden, dass die betroffene Person von niemandem mehr identifiziert werden kann, und dass dieser Vorgang unumkehrbar ist.
    (3) Das Abkommen über den Europäischen Wirtschaftsraum (EWR-Abkommen) sieht die Ausdehnung des Binnenmarktes der Europäischen Union auf die drei EWR-Staaten Island, Liechtenstein und Norwegen vor.
    Die Datenschutzvorschriften der Union, einschließlich der Verordnung (EU) 2016/679, fallen unter das EWR-Abkommen und wurden in Anhang XI desselben aufgenommen.
    Daher gilt eine Weitergabe durch den Datenimporteur an einen Dritten im EWR nicht als Weitergabe im Sinne dieser Klauseln.
    (4) Das Abkommen über den Europäischen Wirtschaftsraum (EWR-Abkommen) sieht die Ausdehnung des Binnenmarktes der Europäischen Union auf die drei EWR-Staaten Island, Liechtenstein und Norwegen vor.
    Die Datenschutzvorschriften der Union, einschließlich der Verordnung (EU) 2016/679, fallen unter das EWR-Abkommen und wurden in Anhang XI desselben aufgenommen.
    Daher gilt eine Weitergabe durch den Datenimporteur an einen Dritten im EWR nicht als Weitergabe im Sinne dieser Klauseln.
    (5) Siehe Artikel 28(4) der Verordnung (EU) 2016/679 und, wenn der für die Verarbeitung Verantwortliche ein Organ oder eine Einrichtung der EU ist, Artikel 29(4) der Verordnung (EU) 2018/1725.
    (6) Das Abkommen über den Europäischen Wirtschaftsraum (EWR-Abkommen) sieht die Ausweitung des Binnenmarktes der Europäischen Union auf die drei EWR-Staaten Island, Liechtenstein und Norwegen vor.
    Die Datenschutzvorschriften der Union, einschließlich der Verordnung (EU) 2016/679, fallen unter das EWR-Abkommen und wurden in Anhang XI desselben aufgenommen.
    Daher gilt jede Weitergabe von Daten durch den Datenimporteur an einen im EWR ansässigen Dritten nicht als Weitergabe im Sinne dieser Klauseln.
    (7) Dies gilt unabhängig davon, ob die Übermittlung und Weiterverarbeitung personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetische Daten oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Daten über Gesundheit oder das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen oder Straftaten umfasst.
    (8) Diese Anforderung kann dadurch erfüllt werden, dass der Unterauftragsverarbeiter diesen Klauseln im Rahmen des entsprechenden Moduls in Übereinstimmung mit Klausel 7 beitritt. (9) Diese Anforderung kann dadurch erfüllt werden, dass der Unterauftragsverarbeiter diesen Klauseln im Rahmen des entsprechenden Moduls in Übereinstimmung mit Klausel 7 beitritt.
    (10)
    Diese Frist kann um höchstens zwei weitere Monate verlängert werden, soweit dies unter Berücksichtigung der Komplexität und Anzahl der Anfragen erforderlich ist.
    Der Datenimporteur unterrichtet die betroffene Person ordnungsgemäß und unverzüglich über eine solche Verlängerung.
    (11)
    Der Datenimporteur kann nur dann eine unabhängige Streitbeilegung durch eine Schiedsstelle anbieten, wenn diese in einem Land ansässig ist, das das New Yorker Übereinkommen über die Vollstreckung von Schiedssprüchen ratifiziert hat.
    (12)
    Was die Auswirkungen solcher Gesetze und Praktiken auf die Einhaltung dieser Klauseln betrifft, so können verschiedene Elemente als Teil einer Gesamtbewertung berücksichtigt werden.
    Zu diesen Elementen können einschlägige und dokumentierte praktische Erfahrungen mit früheren Fällen von Auskunftsersuchen von Behörden oder dem Ausbleiben solcher Ersuchen gehören, die einen ausreichend repräsentativen Zeitrahmen abdecken.
    Dies bezieht sich insbesondere auf interne Aufzeichnungen oder andere Unterlagen, die kontinuierlich im Einklang mit der Sorgfaltspflicht erstellt und auf der Ebene der Geschäftsleitung bestätigt wurden, sofern diese Informationen rechtmäßig an Dritte weitergegeben werden können.
    Wenn man sich auf diese praktische Erfahrung stützt, um zu dem Schluss zu kommen, dass der Datenimporteur nicht daran gehindert wird, diese Klauseln einzuhalten, muss sie durch andere relevante, objektive Elemente gestützt werden, und es ist Sache der Parteien, sorgfältig zu prüfen, ob diese Elemente in Bezug auf ihre Zuverlässigkeit und Repräsentativität zusammengenommen genügend Gewicht haben, um diese Schlussfolgerung zu stützen.
    Insbesondere müssen die Parteien berücksichtigen, ob ihre praktischen Erfahrungen durch öffentlich zugängliche oder anderweitig zugängliche, verlässliche Informationen über das Vorhandensein oder Nichtvorhandensein von Anträgen innerhalb desselben Sektors und/oder die Anwendung des Gesetzes in der Praxis, wie z.B. die Rechtsprechung und Berichte unabhängiger Aufsichtsgremien, bestätigt werden und nicht im Widerspruch dazu stehen.

    APPENDIX

    ERLÄUTERUNG: Es muss möglich sein, die für jede Übermittlung oder Kategorie von Übermittlungen geltenden Informationen klar zu unterscheiden und in diesem Zusammenhang die jeweilige(n) Rolle(n) der Parteien als Datenexporteur(en) und/oder Datenimporteur(en) zu bestimmen.
    Dies erfordert nicht unbedingt das Ausfüllen und Unterzeichnen separater Anhänge für jede Übermittlung/Kategorie von Übermittlungen und/oder vertragliche Beziehung, wenn diese Transparenz durch einen einzigen Anhang erreicht werden kann.
    Wo dies jedoch notwendig ist, um ausreichende Klarheit zu gewährleisten, sollten separate Anhänge verwendet werden.

    ANHANG I

    A. LISTE DER PARTEIEN

    Datenexporteur(e): [Identität und Kontaktdaten des/der Datenexporteure(s) und ggf. seines/ihres Datenschutzbeauftragten und/oder Vertreters in der Europäischen Union].

    • Name: … Adresse: … Name, Position und Kontaktdaten der Kontaktperson: … Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: … Unterschrift und Datum: … Rolle (Verantwortlicher/Verarbeiter): …
    • ……

    Datenimporteur(e): [Identität und Kontaktdaten des/der Datenimporteure(s), einschließlich einer Kontaktperson, die für den Datenschutz verantwortlich ist]

    • Name: … Adresse: … Name, Position und Kontaktdaten der Kontaktperson: … Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: … Unterschrift und Datum: … Rolle (Verantwortlicher/Verarbeiter): …
    • …..

    B. BESCHREIBUNG DER ÜBERTRAGUNG

    Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden … Kategorien von übermittelten personenbezogenen Daten … Übermittelte sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Schutzmaßnahmen, die der Art der Daten und den damit verbundenen Risiken in vollem Umfang Rechnung tragen, wie z.B. strikte Zweckbindung, Zugangsbeschränkungen (einschließlich Zugang nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnung des Zugangs zu den Daten, Beschränkungen für die Weiterübermittlung oder zusätzliche Sicherheitsmaßnahmen.
    … Die Häufigkeit der Übermittlung (z.B. ob die Daten einmalig oder fortlaufend übermittelt werden).
    … Art der Verarbeitung … Zweck(e) der Datenübermittlung und -weiterverarbeitung … Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieses Zeitraums … Bei Übermittlungen an (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben …

    C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

    Identifizieren Sie die zuständige(n) Aufsichtsbehörde(n) gemäß Klausel 13 …

    ANHANG II

    TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MASSNAHMEN ZUR GEWÄHRLEISTUNG DER SICHERHEIT DER DATEN

    ERLÄUTERUNG: Die technischen und organisatorischen Maßnahmen müssen in spezifischen (und nicht in allgemeinen) Begriffen beschrieben werden.
    Siehe auch den allgemeinen Kommentar auf der ersten Seite des Anhangs, insbesondere zur Notwendigkeit, klar anzugeben, welche Maßnahmen für jeden Transfer/jede Gruppe von Transfers gelten. Beschreibung der von dem/den Datenimporteur(en) getroffenen technischen und organisatorischen Maßnahmen (einschließlich etwaiger einschlägiger Zertifizierungen) zur Gewährleistung eines angemessenen Sicherheitsniveaus unter Berücksichtigung der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen.
    [Beispiele für mögliche Maßnahmen: Maßnahmen zur Pseudonymisierung und Verschlüsselung personenbezogener Daten Maßnahmen zur Sicherstellung der kontinuierlichen Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten Maßnahmen zur Sicherstellung der Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Vorfalls zeitnah wiederherzustellen Verfahren zur regelmäßigen Prüfung, Beurteilung und Bewertung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung Maßnahmen zur Identifizierung und Autorisierung der Nutzer Maßnahmen zum Schutz der Daten bei der Übertragung Maßnahmen zum Schutz der Daten bei der Speicherung Maßnahmen zur Gewährleistung der physischen Sicherheit der Orte, an denen personenbezogene Daten verarbeitet werden Maßnahmen zur Gewährleistung der Protokollierung von Ereignissen Maßnahmen zur Gewährleistung der Systemkonfiguration, Maßnahmen zur Gewährleistung der Systemkonfiguration, einschließlich der Standardkonfiguration Maßnahmen zur internen IT- und IT-Sicherheitssteuerung und -verwaltung Maßnahmen zur Zertifizierung/Gewährleistung von Prozessen und Produkten Maßnahmen zur Gewährleistung der Datenminimierung Maßnahmen zur Gewährleistung der Datenqualität Maßnahmen zur Gewährleistung der Rechenschaftspflicht Maßnahmen zur Ermöglichung der Datenübertragbarkeit und zur Gewährleistung der Löschung] Bei Übermittlungen an (Unter-)Auftragsverarbeiter beschreiben Sie auch die spezifischen technischen und organisatorischen Maßnahmen, die der (Unter-)Auftragsverarbeiter ergreifen muss, um den für die Verarbeitung Verantwortlichen und – bei Übermittlungen von einem Auftragsverarbeiter an einen Unterauftragsverarbeiter – den Datenexporteur unterstützen zu können.