aryaka aryaka

ARYAKA NETWORKS – ZUSATZ ZUM DATENSCHUTZ – GDPR / CCPA

Vorbemerkungen – Die folgende Datenschutzvereinbarung:

  • wird so abgefasst, dass sie die Bedingungen enthält, die gemäß
    (A) Artikel 28 der Allgemeinen Datenschutzverordnung (DSGVO) 2016/679 zwischen „für die Verarbeitung Verantwortlichen“ und „Auftragsverarbeitern“, wenn der Lieferant (Aryaka) als Datenverarbeiter fungiert, und
    (B) das kalifornische Verbraucherschutzgesetz von 2018 (CCPA), wenn der Lieferant, der Kunde oder beide als „Unternehmen“ handeln;
  • ist der Schutz der „Persönlichen Daten“ von „betroffenen Personen“ gemäß der GDPR und der Schutz der „Persönlichen Informationen“ von „Verbrauchern“ gemäß dem CCPA; und
  • ist dazu bestimmt, dem zugrundeliegenden Vertrag (Master Subscription Agreement) als Nachtrag oder Anhang beigefügt zu werden – es handelt sich nicht um einen eigenständigen Vertrag.

DATENSCHUTZVEREINBARUNG

(für den Europäischen Wirtschaftsraum (GDPR), Kalifornien (CCPA) und andere Länder)

Die folgenden Bestimmungen und Bedingungen dieser Datenschutzvereinbarung für Lieferanten (die “
DPA„) werden abgeschlossen zwischen [INSERT CUSTOMER ENTITY](„Kunde„) im eigenen Namen und im Namen seiner autorisierten Tochtergesellschaften und Aryaka Networks, Inc. im eigenen Namen und im Namen seiner Tochtergesellschaften (zusammen „Lieferant„) und gilt für die Verträge und wird Teil der Verträge, jede eine „Partei„, zusammen die „Parteien„.
Nur für die Zwecke dieser DPA und sofern nicht anders angegeben, umfasst der Begriff „Kunde“ den Kunden und seine autorisierten verbundenen Unternehmen.

HINTERGRUND

  1. Der Lieferant hat einen oder mehrere Rahmenverträge, Bestellungen, Verträge, Vereinbarungen und Ähnliches (die „Verträge„) mit dem Kunden abgeschlossen, zu denen auch autorisierte verbundene Unternehmen gehören können.
  2. Bei der Erbringung der Dienstleistungen im Rahmen der Verträge (die „Dienstleistungen„) kann der Anbieter personenbezogene Daten des Kunden oder personenbezogene Verbraucherdaten verarbeiten, die vom Kunden oder seinen jeweiligen Kunden, Lieferanten oder Geschäftspartnern kontrolliert werden.
  3. Im Rahmen ihrer Datenschutzprogramme und vertraglichen Vereinbarungen haben die Parteien ihren Mitarbeitern, unabhängigen Auftragnehmern, Bewerbern, Kunden, Verbrauchern, Lieferanten oder Geschäftspartnern bestimmte Zusicherungen gegeben, um den angemessenen Schutz der persönlichen Daten von Kunden und Verbrauchern zu gewährleisten.
  4. Daher möchten die Parteien gemäß dieser DPA bestimmten Datenschutzgesetzen, -vorschriften und -regelungen im Europäischen Wirtschaftsraum, in Kalifornien, USA, und allen anderen anwendbaren Gebieten der Welt (die „anwendbaren Datenschutzgesetze“) unterliegen.

Vereinbarung

1. DEFINITIONEN

  • 1.1 „Verbundenes Unternehmen“ bedeutet jedes Unternehmen, das direkt oder indirekt von einer Partei kontrolliert wird, sie kontrolliert oder unter gemeinsamer Kontrolle mit ihr steht. „Kontrolle“ im Sinne dieser Definition bedeutet direktes oder indirektes Eigentum oder Kontrolle von mehr als 50% der stimmberechtigten Anteile des betreffenden Unternehmens.
  • 1.2 „Anwendbare Datenschutzgesetze“ bedeutet
    (a) alle weltweiten Datenschutzgesetze und -vorschriften, die auf die betreffenden persönlichen Daten des Kunden und die persönlichen Informationen des Verbrauchers anwendbar sind,
    (b) einschließlich, soweit anwendbar, des EWR-Datenschutzgesetzes und
    (c) das kalifornische Verbraucherschutzgesetz.
  • 1.3 „Autorisiertes verbundenes Unternehmen“ bezeichnet jedes verbundene Unternehmen des Kunden, das gemäß den Verträgen die Dienste in Anspruch nehmen darf oder anderweitig davon profitiert.
  • 1.4 „Bevollmächtigte Personen“ sind alle Personen, die im Rahmen dieser DPA im Namen einer Partei personenbezogene Daten oder persönliche Informationen verarbeiten, einschließlich der Angestellten, leitenden Angestellten, Direktoren, Partner, Auftraggeber, Bevollmächtigten, Vertreter, Auftragnehmer und im Falle des Lieferanten dessen Unterverarbeiter.
  • 1.5 „Unternehmen“ oder „Unternehmen“ bedeutet im Sinne des CCPA jede juristische Person mit Gewinnerzielungsabsicht, die im US-Bundesstaat Kalifornien geschäftlich tätig ist und personenbezogene Daten von Verbrauchern sammelt und kontrolliert und einen oder mehrere der folgenden Schwellenwerte erfüllt:
    (a) jährliche Bruttoeinnahmen von mehr als 25 Millionen US-Dollar,
    (b) kauft, empfängt, verkauft oder teilt allein oder gemeinsam die persönlichen Daten von 50.000 oder mehr Verbrauchern, Haushalten oder Geräten auf jährlicher Basis zu kommerziellen Zwecken, und
    (c) 50 % oder mehr seiner jährlichen Einnahmen aus dem Verkauf personenbezogener Daten von Verbrauchern erzielt.
    Ein „Unternehmen“ umfasst auch jede juristische Person, die ein Unternehmen, das diese Kriterien erfüllt, kontrolliert oder von ihm kontrolliert wird.
    Um Zweifel auszuschließen, werden „Kunden“, die auch für die Verarbeitung Verantwortliche im Sinne der DSGVO sind, für die Zwecke dieser Vereinbarung als „Unternehmen“ betrachtet.
  • 1.6 „Kalifornisches Verbraucherschutzgesetz“ oder „CCPA“ bezeichnet das kalifornische Verbraucherschutzgesetz von 2018, insbesondere das Gesetz Nr. 375 der kalifornischen Versammlung von 2017, reguläre Sitzungsperiode Kalifornien 2017-2018 (zur Änderung von Teil 4 der Abteilung 3 des kalifornischen Bürgerlichen Gesetzbuchs), geändert durch das Gesetz Nr. 1121 des kalifornischen Senats von 2017, das die „personenbezogenen Daten“ definiert, die seinem Schutz unterliegen, und den Verbrauchern weitreichende Rechte zur Kontrolle dieser Daten einräumt, das ungefähr am 1. Januar 2020 in Kraft treten und ab ungefähr dem 1. Juni 2020 durchgesetzt werden soll (in der jeweils gültigen, geänderten oder ersetzten Fassung).
  • 1.7 „Verbraucher“ oder „Verbraucher“ bezeichnet im Sinne des CCPA jede natürliche Person mit Wohnsitz in Kalifornien, auf die sich personenbezogene Daten beziehen, nicht jedoch Einzelunternehmen, Personengesellschaften, Gesellschaften mit beschränkter Haftung oder Kapitalgesellschaften sowie bestimmte andere im CCPA genannte juristische Personen.
  • 1.8 „Persönliche Daten des Kunden“ oder „Kundendaten“ bedeutet und umfasst alle persönlichen Informationen und persönlichen Daten, sofern nicht anders angegeben
    (i) die dem Lieferanten vom oder auf Anweisung des Kunden in Verbindung mit den Dienstleistungen zur Verfügung gestellt werden;
    (ii) die der Lieferant im Namen des Kunden bei der Erbringung der Dienstleistungen erstellt oder erhält; oder
    (iii) auf die der Anbieter auf Anweisung des Auftraggebers im Rahmen der Erbringung der Dienstleistungen zugreift, wobei es sich versteht, dass der Anbieter im Rahmen der Dienstleistungen nicht auf personenbezogene Informationen, personenbezogene Daten oder andere personenbezogene Daten zugreift, sondern stattdessen ein proprietäres Software-defined Wide Area Network (SD-WAN) bereitstellt, über das Daten übertragen werden.
    Um Zweifel auszuschließen, werden „Kunden“, die auch für die Verarbeitung Verantwortliche im Sinne der DSGVO sind, für die Zwecke dieser Vereinbarung als „Unternehmen“ betrachtet.
  • 1.9 „Verantwortlicher“ bezeichnet die Stelle, die den Zweck und die Mittel der Verarbeitung personenbezogener Daten oder persönlicher Informationen bestimmt.
  • 1.10„C2C-Musterklauseln“ bezeichnet die von der Europäischen Kommission genehmigten und unter http://ec.europa.eu/justice/data-protection/international-transfers/files/clauses_for_personal_data_transfer_set_ii_c2004-5721.doc abrufbaren Standardvertragsklauseln für für die Verarbeitung Verantwortliche (in der jeweils geänderten, ersetzten oder aktualisierten Fassung).
    Die aktuelle Version (zum Datum des Inkrafttretens) dieser Klauseln ist in Anhang 1.8 zu dieser DPA.
  • 1.11„C2P-Musterklauseln“ bezeichnet die Standardvertragsklauseln für Auftragsverarbeiter, die von der Europäischen Kommission genehmigt wurden und unter https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en verfügbar sind .
    (in der von Zeit zu Zeit geänderten, ersetzten oder aktualisierten Fassung).
    Die aktuelle Version (zum Datum des Inkrafttretens) dieser Klauseln ist in Anhang 1.9 zu dieser DPA.
  • 1.12 „Betroffene Person“ oder „Datensubjekt“ bezeichnet die identifizierte oder identifizierbare Person, auf die sich die personenbezogenen Daten beziehen.
  • 1.13 „EWR-Datenschutzrecht“ bezeichnet (i) vor dem 25. Mai 2018 die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Kundendaten und zum freien Datenverkehr (die „Richtlinie“) und ab dem 25. Mai 2018 die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Kundendaten und zum freien Datenverkehr (Allgemeine Datenschutzverordnung) („GDPR„);
    (ii) die e-Privacy-Richtlinie (Richtlinie 2002/58/EG); und
    (iii) alle nationalen Datenschutzgesetze, die im Rahmen oder in Anwendung von
    (i) oder
    (ii) erlassenen nationalen Datenschutzgesetze (in jedem Fall in der jeweils gültigen, geänderten oder ersetzten Fassung).
  • 1.14„Personenbezogene Daten„, „personenbezogene Informationen“,„Verarbeitung„,„verarbeiten„, „verkaufen“, „erheben“ und „Aufsichtsbehörde“ haben die Bedeutung, die im anwendbaren Datenschutzgesetz angegeben ist.
  • 1.15„Privacy Shield“ bedeutet das EU-US und das Swiss-US Privacy Shield Framework, wie es vom US-Handelsministerium verwaltet wird.
  • 1.16„Privacy-Shield-Prinzipien“ bezeichnet die Privacy-Shield-Rahmenprinzipien (ergänzt durch die ergänzenden Prinzipien), die in Anhang II des Beschlusses der Europäischen Kommission vom 12. Juli 2016 gemäß der Richtlinie enthalten sind und deren Einzelheiten Sie unter www.privacyshield.gov/eu-us-framework finden.
  • 1.17 „Auftragsverarbeiter“ bezeichnet das Unternehmen, das personenbezogene Daten oder persönliche Informationen im Auftrag des Verantwortlichen verarbeitet.
  • 1.18 „Verbindliche Unternehmensregeln des Verarbeiters“ bezeichnet die verbindlichen Unternehmensregeln des Verarbeiters (oder BCR-P) des Lieferanten, die von einer Aufsichtsbehörde genehmigt wurden.
  • 1.19 „Sicherheitsvorfall“ bezeichnet jede unbefugte oder rechtswidrige Verletzung der Sicherheit, die zur versehentlichen oder rechtswidrigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum Zugriff auf personenbezogene Daten oder personenbezogene Informationen, die vom Lieferanten oder seinen Unterauftragsverarbeitern übermittelt, gespeichert oder anderweitig verarbeitet werden, führt oder von der vernünftigerweise angenommen wird, dass sie dazu geführt hat.
  • 1.20 „Unterauftragsverarbeiter“ bezeichnet jeden Auftragsverarbeiter, den der Lieferant oder seine verbundenen Unternehmen beauftragt haben, um ihn bei der Erfüllung seiner Verpflichtungen in Bezug auf die Erbringung der Dienstleistungen zu unterstützen, und der Kundendaten verarbeitet.

2. ANWENDUNGSBEREICH, GDPR / CCPA-ANFORDERUNGEN, RECHTE UND RECHTSMITTEL

  • 2.1 Diese Vereinbarung deckt den Schutz personenbezogener Daten betroffener Personen, die von für die Datenverarbeitung Verantwortlichen und Auftragsverarbeitern kontrolliert oder verarbeitet werden, im Rahmen der DSGVO und den Schutz personenbezogener Daten von Verbrauchern, die von Unternehmen gesammelt oder verwendet werden, im Rahmen des CCPA ab.
    Datenverantwortliche und Datenverarbeiter werden im Rahmen dieses Abkommens als „Unternehmen“ betrachtet.     Im Einzelnen:
    (a) In Bezug auf die GDPR: Gilt für die Verarbeitung von personenbezogenen Daten:
    (i) von EU- oder Nicht-EU-Betroffenen im Rahmen der Tätigkeiten einer Niederlassung eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters in der EU, unabhängig davon, ob die Verarbeitung in der EU stattfindet oder nicht, und
    (ii) von betroffenen Personen in der EU durch für die Verarbeitung Verantwortliche oder Auftragsverarbeiter außerhalb der EU, wenn die Verarbeitungstätigkeiten mit dem Angebot von Waren oder Dienstleistungen an Personen mit Wohnsitz in der EU oder der Überwachung des Verhaltens dieser Personen verbunden sind.
    (b) In Bezug auf das CCPA: Gilt für Unternehmen mit Sitz innerhalb oder außerhalb Kaliforniens, wenn personenbezogene Daten kalifornischer Verbraucher erhoben werden.
    Zur Klarstellung: Der Schutz des CCPA bezieht sich auf in Kalifornien ansässige Personen.
    Dementsprechend kann jedes Unternehmen, das in Kalifornien „Geschäfte macht“, unabhängig von seinem physischen Standort, aufgrund seiner Interaktion mit kalifornischen Einwohnern unter den CCPA fallen.
  • 2.2 Rollen der Parteien und Einzelheiten der Verarbeitung. Der Lieferant verarbeitet Persönliche Informationen und Persönliche Daten im Rahmen der Verträge als Auftragsverarbeiter im Namen des Kunden.
    Der Lieferant erklärt sich damit einverstanden, persönliche Informationen und persönliche Daten wie in Anhang A beschrieben zu verarbeiten, der einen integralen Bestandteil dieser DPA bildet.
  • 2.3 Die Verarbeitung von Daten und Informationen durch den Lieferanten. Der Lieferant wird die persönlichen Informationen und die persönlichen Daten zu jeder Zeit nur zum Zweck der Erbringung der Dienstleistungen für den Kunden im Rahmen der Verträge und in Übereinstimmung mit den dokumentierten Anweisungen des Kunden verarbeiten.

  • 2.4 Benachrichtigungspflichten des Lieferanten in Bezug auf Kundenanweisungen. Der Lieferant ist verpflichtet, den Kunden unverzüglich schriftlich zu benachrichtigen, es sei denn, dies ist nach geltendem Datenschutzrecht nicht zulässig, wenn:

    1. Es erfährt oder glaubt, dass eine Datenverarbeitungsanweisung des Kunden gegen geltendes Datenschutzrecht verstößt;
    2. es aus irgendeinem Grund nicht in der Lage ist, die Anweisungen des Kunden zur Datenverarbeitung zu befolgen; oder
    3. Es ist aus irgendeinem Grund nicht in der Lage, die Bedingungen der Verträge (einschließlich dieser DPA) einzuhalten, die sich auf die Verarbeitung personenbezogener Informationen oder personenbezogener Daten oder die Sicherheit personenbezogener Informationen oder personenbezogener Daten beziehen oder diese regeln.

  • 2.5 Informationsanforderungen:

    • (a) In Bezug auf das CCPA: (i) Nach Erhalt eines Antrags eines Verbrauchers auf Offenlegung der Kategorien und spezifischen Teile der persönlichen Daten, die ein Unternehmen über diesen Verbraucher gesammelt hat, muss das Unternehmen diese Informationen innerhalb von 45 Tagen nach Erhalt eines überprüfbaren Antrags kostenlos an den Verbraucher weitergeben. Die Frist für die Auskunftserteilung kann einmalig um weitere 45 Tage verlängert werden, wenn der Verbraucher davon in Kenntnis gesetzt wird. Die Übermittlung der Informationen kann auf dem Postweg oder elektronisch erfolgen. Elektronische Informationen müssen jedoch, soweit möglich, in einem tragbaren Format bereitgestellt werden. (ii) Unternehmen, die personenbezogene Daten eines Verbrauchers erheben, müssen den Verbraucher entweder bei oder vor der Erhebung über die Kategorien der zu erhebenden personenbezogenen Daten und die Zwecke, für die die Kategorien der personenbezogenen Daten verwendet werden, informieren. Unternehmen dürfen keine zusätzlichen Kategorien von persönlichen Daten sammeln oder gesammelte Daten für zusätzliche Zwecke verwenden, ohne den Verbraucher davon in Kenntnis zu setzen. (iii) Unternehmen müssen die in 2.5(a)(i) und 2.5(a)(ii) genannten Informationen in ihre Datenschutzrichtlinien aufnehmen und diese mindestens alle 12 Monate aktualisieren.
    • (b) In Bezug auf die Datenschutz-Grundverordnung: (i) Eine Liste mit Informationen wird den betroffenen Personen (A) zum Zeitpunkt der Erhebung ihrer personenbezogenen Daten, wenn diese direkt bei ihnen erhoben wurden, oder (B) innerhalb von 30 Tagen oder innerhalb eines anderen anwendbaren Zeitrahmens, der danach im anwendbaren Datenschutzgesetz festgelegt wird, wenn die personenbezogenen Daten nicht direkt bei ihnen erhoben wurden, zur Verfügung gestellt, es sei denn, die Bereitstellung dieser Daten wäre unmöglich oder mit unverhältnismäßigem Aufwand verbunden. (ii) Die Liste der bereitzustellenden Informationen umfasst die Identität und die Kontaktdaten des für die Verarbeitung Verantwortlichen, die Kontaktdaten des Datenschutzbeauftragten, die Zwecke der Verarbeitung und die Rechtsgrundlagen für die Verarbeitung, die Empfänger der personenbezogenen Daten, die Aufbewahrungsfrist für personenbezogene Daten, die Rechte der betroffenen Personen und die geeigneten Garantien für die Übermittlung der personenbezogenen Daten aus der EU. (iii) Die unter 2.5(b)(i) und 2.5(b)(ii) genannten Informationen werden in eine Richtlinie oder einen Hinweis aufgenommen, wie z.B. die Datenschutzerklärung des Verantwortlichen oder des Auftragsverarbeiters oder eine GDPR-spezifische Richtlinie.

  • 2.6 Zustimmungserfordernisse:

    • (a) In Bezug auf den CCPA: Um die Bestimmungen zum Ausschluss der Verbraucher einzuhalten, müssen Unternehmen zwei oder mehr Methoden für die Einreichung von Anträgen auf Offenlegung von Informationen zur Verfügung stellen, darunter mindestens eine gebührenfreie Telefonnummer und eine öffentliche Website.
      Die Websites der Unternehmen müssen einen klaren und auffälligen Link mit der Überschrift „Meine persönlichen Daten nicht verkaufen“ enthalten, über den Verbraucher den Verkauf ihrer persönlichen Daten ablehnen können.
      Darüber hinaus müssen Unternehmen in ihren Datenschutzrichtlinien auf der Website oder in einer kalifornienspezifischen Beschreibung der Datenschutzrechte der Verbraucher eine Beschreibung des Rechts der Verbraucher, dem Verkauf ihrer persönlichen Daten zu widersprechen, zusammen mit dem oben beschriebenen Link zur Website bereitstellen.
      Unternehmen müssen außerdem in einer Form, die den Verbrauchern in angemessener Weise zugänglich ist, und in Übereinstimmung mit einem festgelegten Verfahren darüber informieren, dass die Verbraucher das Recht haben, die Löschung ihrer persönlichen Daten zu verlangen.
    • (b) In Bezug auf die DSGVO: Wenn die Gründe für die Verarbeitung personenbezogener Daten auf der Einwilligung der betroffenen Person beruhen, sind sich der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter darüber im Klaren und stimmen zu, dass eine solche Einwilligung im Sinne des anwendbaren Datenschutzgesetzes wie folgt definiert sein muss: „jede ohne Zwang, für den konkreten Fall, in Kenntnis der Sachlage und unmissverständlich abgegebene Willensbekundung der betroffenen Person, mit der sie durch eine Erklärung oder eine eindeutige bestätigende Handlung ihr Einverständnis mit der Verarbeitung der sie betreffenden personenbezogenen Daten zum Ausdruck bringt.“

  • 2.7 Anforderungen an die Datenaufbewahrung:

    • (a) In Bezug auf den CCPA: Unternehmen sind nicht verpflichtet, personenbezogene Daten, die für eine einzelne, einmalige Transaktion erhoben wurden, aufzubewahren, wenn die Daten nicht von dem Unternehmen verkauft oder aufbewahrt werden.
      Unternehmen, die personenbezogene Daten verkaufen oder aufbewahren, müssen den Verbrauchern jedoch Informationen über die Erfassung und Verwendung ihrer personenbezogenen Daten für den vorangegangenen Zeitraum von 12 Monaten ab dem Datum des Eingangs der Anfrage zur Verfügung stellen.
    • (b) In Bezug auf die GDPR: Personenbezogene Daten müssen in einer Form aufbewahrt werden, die die Identifizierung der betroffenen Personen ermöglicht, und zwar nicht länger, als es für die Zwecke, für die die personenbezogenen Daten verarbeitet werden, erforderlich ist, es sei denn, dies ist in den geltenden Datenschutzgesetzen vorgesehen.
      Informationen über den Zeitraum, für den personenbezogene Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien, die zur Bestimmung dieses Zeitraums herangezogen werden, müssen als Teil der Informationspflichten aufgenommen werden (siehe Abschnitt 2.5(b) oben).

  • 2.8 Individuelle Rechte:

    • (a) In Bezug auf den CCPA: Vorbehaltlich von Ausnahmen oder Bedingungen im anwendbaren Datenschutzgesetz, falls vorhanden, hat jeder Verbraucher das Recht:
      (i) zu verlangen, dass ein Unternehmen persönliche Daten, die es über ihn gesammelt hat, löscht;
      (ii) Informationen über personenbezogene Daten des Verbrauchers, die von einem Unternehmen gesammelt, verkauft oder an Dritte weitergegeben wurden, zu verlangen und zu erhalten;
      (iii) dem Verkauf der persönlichen Daten eines Verbrauchers widersprechen zu können; und
      (iv) nicht aufgrund der Ausübung eines durch das CCPA festgelegten Rechts diskriminiert zu werden.
    • (b) In Bezug auf die Datenschutz-Grundverordnung: Vorbehaltlich von Ausnahmen oder Bedingungen im anwendbaren Datenschutzgesetz, falls vorhanden, hat jede betroffene Person das Recht:
      (i) zu verlangen, dass ein für die Datenverarbeitung Verantwortlicher oder ein Datenverarbeiter personenbezogene Daten löscht, die er über die betroffene Person gesammelt hat;
      (ii) Informationen über bestimmte personenbezogene Daten der betroffenen Person, die von einem für die Datenverarbeitung Verantwortlichen oder einem Datenverarbeiter erhoben, verkauft oder an Dritte weitergegeben wurden, zu verlangen und zu erhalten;
      (iii) die Berichtigung von Persönlichen Daten zu verlangen;
      (iv) die Verarbeitung personenbezogener Daten einschränken zu lassen;
      (v) Persönliche Daten, die ihm zur Verfügung gestellt wurden, an eine andere Organisation weitergeben zu lassen;
      (vi) Widerspruch gegen die Verarbeitung seiner personenbezogenen Daten einlegen;
      (vii) die Zustimmung zur Verarbeitung seiner personenbezogenen Daten zurückziehen;
      (viii) sich bei einer Aufsichtsbehörde über die Verarbeitung seiner personenbezogenen Daten beschweren; und
      (ix) nicht einer Entscheidung unterworfen zu werden, die ausschließlich auf bestimmten Formen der automatischen Verarbeitung, einschließlich Profiling, beruht.

  • 2.9 Abmelden:

    • (a) In Bezug auf den CCPA: Jedes Unternehmen, das beabsichtigt, die persönlichen Daten von Verbrauchern zu verkaufen, muss diese Tatsache den Verbrauchern mitteilen, die das Recht haben, dem Verkauf ihrer persönlichen Daten zu widersprechen.
      Bei Verbrauchern unter 16 Jahren haben die Eltern eines solchen Verbrauchers das Recht, dem Verkauf der persönlichen Daten dieses Verbrauchers zuzustimmen.
    • (b) In Bezug auf die GDPR: Betroffene Personen können versuchen, ihre in Abschnitt 2.8(b) beschriebenen Rechte in Bezug auf den Verkauf ihrer persönlichen Daten durchzusetzen.

  • 2.10 Abhilfemaßnahmen:

    • (a) In Bezug auf den CCPA:
      (i) Der CCPA sieht ein privates Klagerecht für jeden Verbraucher vor, dessen nicht verschlüsselte oder nicht zensierte persönliche Daten Gegenstand eines unbefugten Zugriffs und einer unbefugten Weitergabe, eines Diebstahls oder einer unbefugten Offenlegung waren, weil ein Unternehmen es versäumt hat, angemessene Sicherheitsverfahren einzuführen und aufrechtzuerhalten.
      Das geltende Datenschutzgesetz sieht gesetzlichen Schadensersatz sowie Unterlassungs- und Feststellungsansprüche und andere vom Gericht als angemessen erachtete Ansprüche vor.
      (ii) Das CCPA sieht auch eine administrative Durchsetzung vor, unter anderem durch die Ermächtigung des Generalstaatsanwalts von Kalifornien, Zivilklagen gegen Unternehmen zu erheben, die einen mutmaßlichen Verstoß gegen das anwendbare Datenschutzgesetz nicht innerhalb von 30 Tagen nach der Benachrichtigung über einen solchen Verstoß abstellen.
    • (b) In Bezug auf die GDPR: Betroffene Personen haben das Recht auf:
      (i) Einen Rechtsbehelf gegen eine rechtsverbindliche Entscheidung einer Aufsichtsbehörde.
      (ii) Einen Rechtsbehelf gegen einen für die Verarbeitung Verantwortlichen oder einen Auftragsverarbeiter.
      (iii) Entschädigung durch einen für die Verarbeitung Verantwortlichen oder einen Auftragsverarbeiter.
      Die Aufsichtsbehörden können auch Geldstrafen gegen für die Verarbeitung Verantwortliche oder Auftragsverarbeiter verhängen, wie im geltenden Datenschutzgesetz vorgesehen.
  • 2.11 Eingeschränkte Rechte des Lieferanten. Sofern in dieser DPA oder den Verträgen nicht ausdrücklich etwas anderes festgelegt ist, erkennt der Lieferant an, dass er kein Recht, keinen Titel und kein Interesse an Persönlichen Informationen oder Persönlichen Daten hat und keine Persönlichen Informationen oder Persönlichen Daten an irgendjemanden verkaufen, vermieten oder verleasen darf.

3. UNTERVERARBEITUNG

  • 3.1 Ernennung von Unterauftragsverarbeitern.
    Der Lieferant darf ohne vorherige schriftliche Zustimmung des Kunden keine Unterauftragsverarbeiter mit der Verarbeitung der personenbezogenen Daten oder persönlichen Informationen beauftragen.
    Eine solche Zustimmung wird nicht unangemessen verweigert, verzögert oder an Bedingungen geknüpft.
    Ungeachtet dessen willigt der Kunde hiermit ein, dass der Lieferant Unterauftragsverarbeiter mit der Verarbeitung der Persönlichen Daten und Persönlichen Informationen beauftragt, vorausgesetzt, dass:

    • (a) Benachrichtigung über neue Unterauftragsverarbeiter.
      Der Lieferant benachrichtigt den Kunden mindestens 30 Tage im Voraus schriftlich über jede Änderung bei seinen Unterauftragsverarbeitern (einschließlich der Einzelheiten der Verarbeitung, des Standorts und aller anderen vom Kunden vernünftigerweise geforderten Informationen) und der Lieferant aktualisiert die Liste aller Unterauftragsverarbeiter, die mit der Verarbeitung personenbezogener Daten und persönlicher Informationen im Rahmen dieser DPA beauftragt sind, in Anhang C und sendet diese aktualisierte Version vor der Änderung des Unterauftragsverarbeiters an den Kunden;
    • (b) Widerspruchsrecht für neue Unterauftragsverarbeiter.
      Der Kunde kann gegen die Ernennung oder den Austausch eines Unterauftragsverarbeiters innerhalb von 10 Tagen, nachdem der Kunde zum ersten Mal von einer solchen Änderung in Kenntnis gesetzt wurde, Einspruch erheben, sofern ein solcher Einspruch auf angemessenen Gründen in Bezug auf den Datenschutz beruht.
      In einem solchen Fall werden die Parteien nach Treu und Glauben kommerziell vernünftige Alternativlösungen erörtern;
    • (c) Datenschutzbestimmungen für Unterauftragsverarbeiter.
      Der Lieferant erlegt allen Unterauftragsverarbeitern, die er beauftragt, dieselben Datenschutzbedingungen auf, die in dieser DPA enthalten sind; und
    • (d) Haftung.
      Der Anbieter haftet in vollem Umfang für die Handlungen oder Unterlassungen seiner Unterauftragsverarbeiter, und zwar in demselben Umfang, in dem der Anbieter haften würde, wenn er die Dienstleistungen jedes Unterauftragsverarbeiters direkt gemäß den Bedingungen dieser DPA ausführen würde.

4. RECHTE DER BETROFFENEN PERSONEN UND VERBRAUCHER UND ZUSAMMENARBEIT

  • 4.1 Ersuchen der betroffenen Person oder des Verbrauchers. Der Lieferant wird unter Berücksichtigung der Art der Verarbeitung in angemessener Weise mit dem Kunden zusammenarbeiten, um es ihm zu ermöglichen, auf Anfragen, Beschwerden oder andere Mitteilungen von betroffenen Personen oder Verbrauchern oder von Aufsichtsbehörden oder Gerichten zu reagieren, die sich auf die Verarbeitung personenbezogener Daten oder persönlicher Informationen beziehen, einschließlich Anfragen von betroffenen Personen oder Verbrauchern, die ihre Rechte gemäß den geltenden Datenschutzgesetzen ausüben wollen („Datenanfrage“).
    Falls eine Datenanfrage direkt an den Lieferanten gerichtet wird, muss der Lieferant den Kunden unverzüglich über die Anfrage informieren und darf ohne die ausdrückliche Genehmigung des Kunden nicht auf eine solche Mitteilung reagieren.
  • 4.2 Vorladungen und Gerichtsbeschlüsse. Wenn der Lieferant eine Vorladung, einen Gerichtsbeschluss, einen Haftbefehl oder eine andere rechtliche Aufforderung von einem Dritten (einschließlich Strafverfolgungsbehörden oder anderen öffentlichen oder gerichtlichen Behörden) erhält, der die Offenlegung von persönlichen Daten oder persönlichen Informationen verlangt, wird der Lieferant keine Informationen offenlegen, sondern den Kunden unverzüglich schriftlich über eine solche Aufforderung informieren und in angemessener Weise mit dem Kunden zusammenarbeiten, wenn dieser die Offenlegung einschränken, anfechten oder sich dagegen schützen möchte, soweit dies nach geltendem Recht zulässig ist.
  • 4.3 Datenschutz-Folgenabschätzungen („DPIAs“).
    Soweit der Lieferant nach den anwendbaren Datenschutzgesetzen verpflichtet ist, unterstützt er den Kunden (oder den für die Datenverarbeitung verantwortlichen Dritten) bei der Durchführung einer Datenschutz-Folgenabschätzung (DPIA) und konsultiert, soweit gesetzlich vorgeschrieben, die zuständigen Datenschutzbehörden in Bezug auf alle vorgeschlagenen Verarbeitungsaktivitäten, die im Zusammenhang mit den Dienstleistungen und der Erfüllung der Verträge durchgeführt werden und die ein hohes Risiko für die betroffenen Personen oder Verbraucher im Hinblick auf eine unbefugte Offenlegung von Daten darstellen können.

5. DATENZUGANG & SICHERHEITSMASSNAHMEN

  • 5.1 Vertraulichkeit und Zugangsbeschränkung. Der Lieferant stellt sicher, dass alle autorisierten Personen einer Vertraulichkeitspflicht unterliegen (unabhängig davon, ob es sich dabei um eine vertragliche oder gesetzliche Pflicht handelt) und dass sie personenbezogene Daten und persönliche Informationen nur zum Zweck der Erbringung der Dienstleistungen im Rahmen der Verträge für den Kunden verarbeiten.
    Der Lieferant stellt sicher, dass der Zugang des Lieferanten zu Persönlichen Daten und Persönlichen Informationen auf das Personal beschränkt ist, das die Dienstleistungen erbringt.
  • 5.2 Sicherheitsmaßnahmen. Der Lieferant wird alle angemessenen technischen und organisatorischen Maßnahmen ergreifen und aufrechterhalten, um persönliche Daten und persönliche Informationen vor Sicherheitsvorfällen zu schützen und die Sicherheit und Vertraulichkeit dieser persönlichen Daten und persönlichen Informationen zu wahren.
    Diese Maßnahmen müssen dem Stand der Technik, den Kosten der Umsetzung und der Art, dem Umfang, dem Kontext und den Zwecken der Verarbeitung sowie dem Risiko unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen Rechnung tragen.
    Der Lieferant stimmt mindestens den in Anhang B aufgeführten Sicherheitsmaßnahmen zum Schutz von personenbezogenen Daten und persönlichen Informationen zu.

6. SICHERHEITSVORFÄLLE

  • 6.1 Benachrichtigung über Sicherheitsvorfälle. Im Falle eines Sicherheitsvorfalls informiert der Lieferant den Kunden unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden eines solchen Sicherheitsvorfalls, und übermittelt schriftliche Einzelheiten über den Sicherheitsvorfall, einschließlich der Art der betroffenen Daten und der Identität der betroffenen Personen, sobald diese Informationen dem Lieferanten bekannt oder zugänglich sind.

  • 6.2 Verpflichtungen des Lieferanten nach einem Sicherheitsvorfall. Im Falle eines Sicherheitsvorfalls ist der Lieferant verpflichtet:

    • (a) alle Informationen und Kooperationen rechtzeitig zur Verfügung stellen, die der Kunde vernünftigerweise benötigt, um seinen Verpflichtungen zur Meldung von Datenschutzverletzungen gemäß (und in Übereinstimmung mit den von den anwendbaren Datenschutzgesetzen vorgesehenen Fristen) nachzukommen oder um Anfragen von Datenschutzbehörden oder Gerichtsverfahren, die sich aus dem Sicherheitsvorfall ergeben, nachzukommen oder darauf zu reagieren, einschließlich des Sammelns und Bewahrens aller Beweise, die sich auf den Sicherheitsvorfall und alle vom Lieferanten durchgeführten Untersuchungen beziehen.
      Diese Informationen umfassen ohne Einschränkung:

      • (i) die Art des Sicherheitsvorfalls, einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen und Verbraucher sowie der Kategorien und der ungefähren Anzahl der betroffenen Datensätze;
      • (ii) den Namen und die Kontaktdaten der Kontaktstelle innerhalb des Lieferanten (oder ggf. des Unterauftragsverarbeiters des Lieferanten), die weitere Informationen zu dem Sicherheitsvorfall liefern kann;
      • (iii) eine Beschreibung der wahrscheinlichen Folgen des Sicherheitsvorfalls auf der Grundlage einer angemessenen Einschätzung des Lieferanten; und
      • (iv) eine Beschreibung der Maßnahmen, die der Lieferant (bzw. sein Unterauftragsverarbeiter) ergreift, zu ergreifen vorschlägt oder dem Kunden vorschlägt, um den Sicherheitsvorfall zu beheben, gegebenenfalls auch, um seine möglichen nachteiligen Auswirkungen abzumildern.
    • (b) unverzüglich alle Maßnahmen und Aktionen zu ergreifen, die geeignet sind, die Auswirkungen des Sicherheitsvorfalls zu beheben oder abzumildern, und den Kunden über alle Entwicklungen im Zusammenhang mit dem Sicherheitsvorfall zu informieren; und
    • (c) den Kunden auf seine Kosten und auf Wunsch des Kunden in angemessener Weise dabei zu unterstützen, alle gesetzlich vorgeschriebenen oder vernünftigerweise erforderlichen Benachrichtigungen in Bezug auf jeden Datensicherheitsvorfall, der personenbezogene Daten und persönliche Informationen betrifft, vorzubereiten und zu versenden.
  • 6.3 Der Inhalt und die Bereitstellung von Benachrichtigungen, öffentlichen und behördlichen Mitteilungen oder Pressemitteilungen über den Sicherheitsvorfall liegen ausschließlich im Ermessen des Kunden, sofern nicht anderweitig durch geltende Datenschutzgesetze vorgeschrieben.

7. SICHERHEITSBERICHTE & INSPEKTIONEN

  • 7.1 Sicherheitsstandards des Lieferanten. Der Lieferant muss Aufzeichnungen über seine Sicherheitsstandards führen.
    Auf Anfrage stellt der Lieferant dem Kunden Kopien relevanter externer Zertifizierungen, Zusammenfassungen von Prüfberichten oder anderer Unterlagen zur Verfügung, die der Lieferant aufbewahrt oder erhalten hat, um die Einhaltung dieser DPA durch den Lieferanten zu überprüfen.
  • 7.2 Recht auf Inspektion. Die Parteien beabsichtigen zwar in der Regel, sich auf die in Abschnitt 7.1 dargelegten Verpflichtungen des Lieferanten zu verlassen, um die Einhaltung dieser DPA durch den Lieferanten zu überprüfen, doch kann der Kunde (oder ein von ihm benannter Vertreter) auf eigene Kosten eine Inspektion des Betriebs und der Einrichtungen des Lieferanten durchführen, wenn der Kunde dies für notwendig oder angemessen hält (z. B. wenn der Kunde begründete Bedenken hinsichtlich der Einhaltung des Datenschutzes durch den Lieferanten hat, nach einem Sicherheitsvorfall oder auf Anweisung einer Datenschutzbehörde).
    Im Hinblick auf eine solche Inspektion stellt der Lieferant alle Informationen zur Verfügung, die vernünftigerweise erforderlich sind, um die Einhaltung der geltenden Datenschutzgesetze nachzuweisen.
    Ungeachtet des Vorstehenden ist eine solche Inspektion
    (a) auf die Bereitstellung der zum jeweiligen Zeitpunkt aktuellen technischen Dokumentation des Lieferanten, die sich auf die Verarbeitung personenbezogener Daten und persönlicher Informationen bezieht, beschränkt, sofern nicht eine Datenschutzbehörde etwas anderes verlangt,
    (b) unterliegt den Vertraulichkeits-, Sicherheits- und Schutzbestimmungen und -richtlinien des Lieferanten und
    (c) während der üblichen Geschäftszeiten und nach angemessener schriftlicher Vorankündigung durchgeführt werden

8. INTERNATIONALE ÜBERWEISUNGEN

  • 8.1 Internationale Übertragungen. Der Lieferant oder seine verbundenen Unternehmen werden keine personenbezogenen Daten oder persönlichen Informationen in oder an ein anderes Gebiet als das Gebiet, in dem die personenbezogenen Daten und persönlichen Informationen zuerst erhoben wurden, verarbeiten oder übermitteln (und auch nicht zulassen, dass diese Daten auf diese Weise verarbeitet oder übermittelt werden), es sei denn, sie ergreifen alle erforderlichen Maßnahmen, um sicherzustellen, dass eine solche Verarbeitung oder Übermittlung im Einklang mit den geltenden Datenschutzgesetzen (einschließlich der Maßnahmen, die der Kunde dem Lieferanten mitteilen kann) und in Übereinstimmung mit den geltenden Bestimmungen für Übermittlungsmechanismen, die in Abschnitt 8.3 unten aufgeführt sind, erfolgt.
    Die Unterzeichnung eines jeden Vertrages durch den Kunden gilt jedoch als Anweisung des Kunden an den Lieferanten in Bezug auf die Übermittlung personenbezogener Daten und persönlicher Informationen im Rahmen der unter den Verträgen erbrachten Dienstleistungen.
    Mit Ausnahme solcher Übermittlungen im Rahmen der Verträge informiert der Lieferant den Kunden über alle internationalen Übermittlungen von Persönlichen Daten und Persönlichen Informationen, bevor er die Übermittlung vornimmt, und unterstützt den Kunden bei der Beurteilung der jeweiligen Verpflichtungen der Parteien zur Einhaltung der anwendbaren Datenschutzgesetze.

  • 8.2 Privacy Shield Flow Downs. Soweit der Kunde oder die autorisierten verbundenen Unternehmen sich selbst für das Privacy Shield zertifiziert haben, sichert der Lieferant zu und gewährleistet, dass er:

    • (a) mindestens das gleiche Schutzniveau für die personenbezogenen Daten des Kunden bieten, wie es die Privacy-Shield-Grundsätze und die in Abschnitt 5.2 dieser DPA dargelegten Sicherheitsmaßnahmen erfordern; und
    • (b) den Kunden unverzüglich zu benachrichtigen, wenn er feststellt, dass er seinen Verpflichtungen gemäß Abschnitt 8.2(a) nicht mehr nachkommen kann, und in einem solchen Fall mit dem Kunden zusammenzuarbeiten und unverzüglich alle angemessenen und geeigneten Schritte zu unternehmen, um die Verarbeitung zu stoppen und zu berichtigen (sofern dies möglich ist), bis die Verarbeitung das in Abschnitt 8.2(a) geforderte Schutzniveau erreicht.

  • 8.3 Übertragungsmechanismen.

    1. Selbstzertifizierung der Lieferanten zum Privacy Shield. Soweit der Lieferant oder seine US-Verbindungsunternehmen selbst nach dem Privacy Shield zertifiziert sind, stimmt der Lieferant zu:
      (i) dass er oder seine US-Verbindungsunternehmen (je nach Fall) eine solche Privacy-Shield-Zertifizierung aufrechterhalten; und
      (ii) in Bezug auf personenbezogene Kundendaten, die durch das EWR-Datenschutzrecht geschützt sind oder aus der Schweiz stammen, die Grundsätze des Privacy Shield bei der Verarbeitung dieser Daten einzuhalten.
    2. Processor Binding Corporate Rules. Soweit der Lieferant verbindliche Unternehmensregeln für den Auftragsverarbeiter aufgestellt hat, erklärt er sich damit einverstanden, diese verbindlichen Unternehmensregeln für den Auftragsverarbeiter beim Umgang mit personenbezogenen Daten des Kunden einzuhalten.
    3. Einbindung von Musterklauseln. Für den Fall, dass der Lieferant oder seine Verbundenen Unternehmen die in 8.3 genannten Übertragungsmechanismen nicht nutzen
      (a) oder
      (b) dargelegten Mechanismen nutzen, vereinbaren die Parteien ferner:
      (i) Die Musterklauseln werden durch Verweis einbezogen und bilden einen integralen Bestandteil dieser DPA;
      (ii) der Lieferant oder seine Verbundenen Unternehmen (soweit zutreffend) ist der „Datenimporteur“ und der Kunde (der im Namen von sich selbst und allen Verbundenen Unternehmen handelt) ist der „Datenexporteur“ (ungeachtet dessen, dass der Kunde außerhalb des Europäischen Wirtschaftsraums oder der Schweiz ansässig sein kann und selbst ein Auftragsverarbeiter sein kann, der im Namen von dritten Verantwortlichen handelt); und
      (iii) die Anhänge A und B dieser DPA treten an die Stelle der Anhänge 1 bzw. 2 der Musterklauseln.
  • 8.4 Offenlegung der DPA. Jede Partei erkennt an, dass die andere Partei oder ihre verbundenen Unternehmen diese DPA und alle relevanten Datenschutzbestimmungen in den Verträgen gegenüber dem US-Handelsministerium, der Federal Trade Commission, der europäischen Datenschutzbehörde oder jeder anderen US- oder EU-Justiz- oder Regulierungsbehörde auf deren legitime und berechtigte Anfrage hin offenlegen können.

9. LÖSCHUNG UND RÜCKGABE VON PERSÖNLICHEN DATEN

  • 9.1 Auf Verlangen des Kunden oder bei Beendigung oder Ablauf dieser DPA vernichtet der Lieferant alle in seinem Besitz oder unter seiner Kontrolle befindlichen Personenbezogenen Daten und Personenbezogenen Informationen (einschließlich Kopien) (einschließlich aller Personenbezogenen Daten und Personenbezogenen Informationen, die von seinen Unterauftragsverarbeitern verarbeitet oder kontrolliert werden) oder gibt sie an den Kunden zurück.
    Diese Anforderung gilt nicht, soweit der Lieferant nach geltendem Recht verpflichtet ist, einige oder alle personenbezogenen Daten oder persönlichen Informationen aufzubewahren, oder in Bezug auf personenbezogene Daten oder persönliche Informationen, die er auf Backup-Systemen archiviert hat; in diesem Fall schützt der Lieferant die personenbezogenen Daten und persönlichen Informationen vor jeder weiteren Verarbeitung, es sei denn, dies ist gesetzlich vorgeschrieben.

10. HAFTUNG

  • 10.1 Die Haftung des Kunden und jedes bevollmächtigten Tochterunternehmens gemäß dieser DPA und den Musterklauseln ist gesamtschuldnerisch, und die anderen Kundenunternehmen haften nicht für die Haftung eines solchen Kundenunternehmens gemäß dieser DPA oder den Musterklauseln.
  • 10.2 In jedem Fall kann ein Lieferant oder ein mit ihm verbundenes Unternehmen nicht mehr als einmal für denselben Schaden in Anspruch genommen werden, wenn ein solcher Anspruch bereits von einem solchen Lieferantenunternehmen gegenüber einem der anderen Kundenunternehmen geltend gemacht wurde.
  • 10.3 Die Haftung jedes Lieferanten und jedes mit dem Lieferanten verbundenen Unternehmens gemäß dieser DPA und den Modellklauseln ist eine gesamtschuldnerische Haftung, und die anderen Lieferantenunternehmen haften nicht für die Haftung eines solchen Lieferantenunternehmens gemäß dieser DPA oder den Modellklauseln:
  • 10.4 In jedem Fall kann kein Kunde eines autorisierten verbundenen Unternehmens mehr als einmal für denselben Schaden in Anspruch genommen werden, wenn ein solcher Anspruch von diesem Kundenunternehmen bereits gegenüber einem der anderen Lieferantenunternehmen geltend gemacht wurde.

11. ALLGEMEIN

  • 11.1 Die Verpflichtungen, die den Parteien im Rahmen dieser DPA auferlegt werden, bleiben bestehen, solange der Lieferant oder seine Unterauftragsverarbeiter personenbezogene Daten oder persönliche Informationen im Auftrag des Kunden verarbeiten.
    Die in dieser DPA und ihren Anlagen, Anhängen, Exponaten und Zeitplänen enthaltenen Bestimmungen, die ihrem Kontext nach eine Beendigung oder ein Auslaufen überdauern sollen, bleiben entsprechend bestehen.
  • 11.2 Diese DPA kann nur durch ein nachträgliches, von beiden Parteien unterzeichnetes schriftliches Dokument geändert werden.
  • 11.3 Sollte ein Teil dieser DPA für nicht durchsetzbar erklärt werden, so wird die Gültigkeit der übrigen Teile davon nicht berührt.
  • 11.4 Abgesehen von den durch diese DSGVO vorgenommenen Änderungen bleiben die Verträge unverändert und in vollem Umfang gültig und wirksam.
    Im Falle eines Widerspruchs oder einer Unstimmigkeit zwischen dieser DPA und einer oder mehreren anderen Bestimmungen der Verträge hat diese DPA in Bezug auf den Gegenstand (d.h. den Schutz personenbezogener Daten oder persönlicher Informationen) Vorrang.
    Diese Vereinbarung, einschließlich der Anhänge, Anlagen, Exponate und dergleichen, stellt zusammen mit den Verträgen die gesamte, endgültige, ausschließliche und vollständige Vereinbarung in Bezug auf den betreffenden Gegenstand dar.
  • 11.5 Klauselüberschriften und andere Überschriften in dieser DPA dienen nur der besseren Übersichtlichkeit und stellen keinen Teil dieser DPA dar und haben keinen Einfluss auf die Bedeutung oder Auslegung dieser DPA.
    Anlagen, Anhänge, Exponate und Zeitpläne zu dieser DPA gelten in gleichem Maße als integraler Bestandteil dieser DPA, als ob sie hier wörtlich wiedergegeben worden wären.
  • 11.6 Diese DPA unterliegt in jeder Hinsicht dem geltenden Recht und den Bestimmungen zur Gerichtsbarkeit, die in dem Vertrag, bei dem es sich um den Rahmen-Abonnementvertrag handelt, festgelegt sind, und ist entsprechend auszulegen, es sei denn, die geltenden Datenschutzgesetze schreiben etwas anderes vor.
  • 11.7 Nichts in dieser DPA ist so zu verstehen, dass:
    (a) ein Kundenunternehmen zum Beauftragten eines Lieferantenunternehmens zu machen oder ein Kundenunternehmen zu ermächtigen, Verpflichtungen für oder im Namen eines Lieferantenunternehmens einzugehen; oder
    (b) ein Lieferantenunternehmen zum Beauftragten eines Kundenunternehmens zu machen oder ein Lieferantenunternehmen zu ermächtigen, Verpflichtungen für ein Kundenunternehmen einzugehen oder in dessen Namen zu handeln; oder
    (c) eine Partnerschaft, ein Joint Venture oder eine andere Beziehung begründen.
  • 11.8 Jede Partei garantiert, dass sie befugt ist, in ihrem eigenen Namen und dem ihrer verbundenen Unternehmen zu handeln, einschließlich solcher Unternehmen, die von einer der Parteien als Partei zu dieser DPA hinzugefügt werden können.
  • 11.9 Diese DPA kann in zwei oder mehr Ausfertigungen ausgefertigt werden, von denen jede als Original und alle zusammen als ein und dasselbe Dokument gelten.
    Die Parteien können diese DPA per E-Mail unterzeichnen und zustellen.