aryaka aryaka

Haftungsausschluss: Dieses Dokument wurde auf der Grundlage des unter https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX%3A32021D0914&locale=en#ntc12-L_2021199EN.01003701-E0012 verfügbaren Textes erstellt und dient lediglich der Orientierung.
Es sollte nicht als maßgeblicher Text oder rechtliche Anleitung betrachtet werden.

STANDARDVERTRAGSKLAUSELN

Prozessor zu Prozessor

ABSCHNITT I

Klausel 1

Zweck und Umfang

    1. Zweck dieser Standardvertragsklauseln ist es, die Einhaltung der Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) ([1]) bei der Übermittlung personenbezogener Daten in ein Drittland zu gewährleisten.
    2. Die Parteien:
      1. die natürliche(n) oder juristische(n) Person(en), Behörde(n), Agentur(en) oder sonstige(n) Stelle(n) (im Folgenden „Stelle(n)“), die die personenbezogenen Daten übermitteln, wie in Anhang I.A aufgeführt (im Folgenden jeweils „Datenexporteur“), und
      2. die Einrichtung(en) in einem Drittland, die die personenbezogenen Daten vom Datenexporteur direkt oder indirekt über eine andere Einrichtung erhalten, die ebenfalls Vertragspartei dieser Klauseln ist und in Anhang I.A aufgeführt ist (im Folgenden „Datenimporteur“), haben diesen Standardvertragsklauseln (im Folgenden „Klauseln“) zugestimmt.
    3. Diese Klauseln gelten für die Übermittlung personenbezogener Daten, wie in Anhang I.B angegeben.
    4. Der Anhang zu diesen Klauseln, der die darin genannten Anhänge enthält, ist integraler Bestandteil dieser Klauseln.

Klausel 2Wirkung und Unveränderlichkeit der Klauseln

  1. Diese Klauseln enthalten angemessene Garantien, einschließlich durchsetzbarer Rechte der betroffenen Person und wirksamer Rechtsbehelfe, gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 sowie, in Bezug auf Datenübermittlungen von für die Verarbeitung Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter, Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679, sofern sie nicht geändert werden, außer um das/die geeignete(n) Modul(e) auszuwählen oder um Informationen im Anhang hinzuzufügen oder zu aktualisieren.
    Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfassenderen Vertrag einzubeziehen und/oder andere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese nicht direkt oder indirekt im Widerspruch zu diesen Klauseln stehen oder die Grundrechte oder -freiheiten der betroffenen Personen beeinträchtigen.
  2. Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Datenexporteur aufgrund der Verordnung (EU) 2016/679 unterliegt.

Klausel 3Drittbegünstigte

  1. Betroffene Personen können diese Klauseln als Drittbegünstigte gegenüber dem Datenexporteur und/oder Datenimporteur geltend machen und durchsetzen, mit den folgenden Ausnahmen:

    (i) Klausel 1, Klausel 2, Klausel 3, Klausel 6, Klausel 7;

    (ii) Klausel 8.1(a),
    (c) und
    (d) und Klausel 8.9 (a),
    (c),
    (d),
    (e),
    (f) und
    (g);

    (iii) Klausel 9(a),
    (c),
    (d) und
    (e);

    (iv) Klausel 12(a), (d) und (f);

    (v) Klausel 13;

    (vi) Klausel 15.1(c), (d) und (e);

    (vii) Klausel 16(e);

    (viii) Klausel 18(a) und (b).

  • Absatz (a) gilt unbeschadet der Rechte der betroffenen Personen gemäß der Verordnung (EU) 2016/679.

    • Klausel 4Auslegung

    1. Wenn in diesen Klauseln Begriffe verwendet werden, die in der Verordnung (EU) 2016/679 definiert sind, haben diese Begriffe dieselbe Bedeutung wie in dieser Verordnung.
    2. Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 zu lesen und auszulegen.
    3. Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die im Widerspruch zu den Rechten und Pflichten gemäß der Verordnung (EU) 2016/679 steht.

    Klausel 5Hierarchie Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen der damit zusammenhängenden Vereinbarungen zwischen den Parteien, die zum Zeitpunkt der Vereinbarung dieser Klauseln bestehen oder danach abgeschlossen werden, haben diese Klauseln Vorrang. Klausel 6Beschreibung der Übermittlung(en) Die Einzelheiten der Übermittlung(en), insbesondere die Kategorien personenbezogener Daten, die übermittelt werden, und der Zweck/die Zwecke, für den/die sie übermittelt werden, sind in Anhang I.B aufgeführt. Klausel 7 – FakultativAndock-Klausel

    1. Ein Unternehmen, das nicht Vertragspartei dieser Klauseln ist, kann diesen Klauseln mit Zustimmung der Parteien jederzeit beitreten, entweder als Datenexporteur oder als Datenimporteur, indem es die Anlage ausfüllt und Anhang I.A unterzeichnet.
    2. Sobald sie die Anlage ausgefüllt und Anhang I.A unterzeichnet hat, wird die beitretende Einrichtung Vertragspartei dieser Klauseln und hat die Rechte und Pflichten eines Datenexporteurs oder Datenimporteurs gemäß ihrer Bezeichnung in Anhang I.A.
    3. Der beitretende Rechtsträger hat keine Rechte oder Pflichten, die sich aus diesen Klauseln aus der Zeit vor seinem Beitritt zur Partei ergeben.

    ABSCHNITT II – VERPFLICHTUNGEN DER PARTEIENKlausel 8Datenschutzgarantien Der Datenexporteur gewährleistet, dass er sich in angemessener Weise vergewissert hat, dass der Datenimporteur durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen in der Lage ist, seinen Verpflichtungen aus diesen Klauseln nachzukommen. 8.1 Anweisungen

    1. Der Datenexporteur hat den Datenimporteur darüber informiert, dass er als Auftragsverarbeiter gemäß den Anweisungen seines/ihres für die Verarbeitung Verantwortlichen handelt, die der Datenexporteur dem Datenimporteur vor der Verarbeitung zur Verfügung stellen muss.
    2. Der Datenimporteur verarbeitet die personenbezogenen Daten nur auf der Grundlage der dokumentierten Anweisungen des für die Verarbeitung Verantwortlichen, die der Datenexporteur dem Datenimporteur mitgeteilt hat, sowie etwaiger zusätzlicher dokumentierter Anweisungen des Datenexporteurs.
      Solche zusätzlichen Anweisungen dürfen nicht im Widerspruch zu den Anweisungen des für die Verarbeitung Verantwortlichen stehen.
      Der für die Verarbeitung Verantwortliche oder der Datenexporteur kann während der gesamten Laufzeit des Vertrags weitere dokumentierte Anweisungen zur Datenverarbeitung erteilen.
    3. Der Datenimporteur informiert den Datenexporteur unverzüglich, wenn er diese Anweisungen nicht befolgen kann.
      Ist der Datenimporteur nicht in der Lage, die Anweisungen des für die Verarbeitung Verantwortlichen zu befolgen, benachrichtigt der Datenexporteur unverzüglich den für die Verarbeitung Verantwortlichen.
    4. Der Datenexporteur gewährleistet, dass er dem Datenimporteur dieselben Datenschutzverpflichtungen auferlegt hat, die in dem Vertrag oder einem anderen Rechtsakt nach dem Unionsrecht oder dem Recht eines Mitgliedstaats zwischen dem für die Verarbeitung Verantwortlichen und dem Datenexporteur festgelegt sind ([2]).

    8.2 Zweckbindung Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den/die spezifischen Zweck(e) der Übermittlung gemäß Anhang I.B., es sei denn, es liegen weitere Anweisungen des für die Verarbeitung Verantwortlichen vor, die dem Datenimporteur vom Datenexporteur mitgeteilt wurden, oder des Datenexporteurs. 8.3 Transparenz Der Datenexporteur stellt der betroffenen Person auf Anfrage unentgeltlich eine Kopie dieser Klauseln einschließlich des von den Parteien ausgefüllten Anhangs zur Verfügung.
    Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Datenexporteur Teile des Textes des Anhangs vor der Weitergabe einer Kopie unkenntlich machen, muss jedoch eine aussagekräftige Zusammenfassung zur Verfügung stellen, wenn die betroffene Person andernfalls nicht in der Lage wäre, den Inhalt zu verstehen oder ihre Rechte auszuüben.
    Auf Anfrage teilen die Parteien der betroffenen Person die Gründe für die Schwärzungen mit, soweit dies ohne Offenlegung der geschwärzten Informationen möglich ist. 8.4 Richtigkeit Stellt der Datenimporteur fest, dass die von ihm erhaltenen personenbezogenen Daten unrichtig sind oder veraltet sind, informiert er den Datenexporteur unverzüglich.
    In diesem Fall arbeitet der Datenimporteur mit dem Datenexporteur bei der Berichtigung oder Löschung der Daten zusammen.
    8.5 Dauer der Verarbeitung und Löschung oder Rückgabe der Daten Die Verarbeitung durch den Datenimporteur erfolgt nur für die in Anhang I.B angegebene Dauer. Nach Beendigung der Erbringung der Verarbeitungsdienste löscht der Datenimporteur nach Wahl des Datenexporteurs alle im Auftrag des für die Verarbeitung Verantwortlichen verarbeiteten personenbezogenen Daten und bescheinigt dem Datenexporteur, dass er dies getan hat, oder er gibt dem Datenexporteur alle in seinem Auftrag verarbeiteten personenbezogenen Daten zurück und löscht vorhandene Kopien.
    Bis zur Löschung oder Rückgabe der Daten muss der Datenimporteur weiterhin die Einhaltung dieser Klauseln gewährleisten.
    Falls für den Datenimporteur örtliche Gesetze gelten, die die Rückgabe oder Löschung der personenbezogenen Daten verbieten, garantiert der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln gewährleistet und die Daten nur in dem Umfang und so lange verarbeitet, wie dies nach dem jeweiligen örtlichen Gesetz erforderlich ist.
    Dies gilt unbeschadet der Klausel 14, insbesondere der Verpflichtung des Datenimporteurs gemäß Klausel 14(e), den Datenexporteur während der gesamten Vertragslaufzeit zu benachrichtigen, wenn er Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterworfen wurde, die nicht mit den Anforderungen gemäß Klausel 14(a) übereinstimmen. 8.6 Sicherheit der Verarbeitung

    1. Der Datenimporteur und bei der Übermittlung auch der Datenexporteur treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einer Sicherheitsverletzung, die zur zufälligen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Weitergabe oder zum unbefugten Zugang zu diesen Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“).
      Bei der Beurteilung des angemessenen Sicherheitsniveaus tragen sie dem Stand der Technik, den Kosten der Umsetzung, der Art, dem Umfang, den Umständen und dem Zweck/den Zwecken der Verarbeitung sowie den mit der Verarbeitung verbundenen Risiken für die betroffene Person angemessen Rechnung.
      Die Parteien erwägen insbesondere den Rückgriff auf Verschlüsselung oder Pseudonymisierung, auch während der Übermittlung, wenn der Zweck der Verarbeitung auf diese Weise erfüllt werden kann.
      Im Falle der Pseudonymisierung verbleiben die zusätzlichen Informationen zur Zuordnung der personenbezogenen Daten zu einer bestimmten betroffenen Person nach Möglichkeit unter der ausschließlichen Kontrolle des Datenexporteurs oder des für die Verarbeitung Verantwortlichen.
      Der Datenimporteur kommt seinen Verpflichtungen aus diesem Absatz nach, indem er zumindest die in Anhang II genannten technischen und organisatorischen Maßnahmen durchführt.
      Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Maß an Sicherheit bieten.
    2. Der Datenimporteur gewährt seinen Mitarbeitern nur insoweit Zugang zu den Daten, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist.
      Er stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen.
    3. Im Falle einer Verletzung des Schutzes personenbezogener Daten in Bezug auf personenbezogene Daten, die vom Datenimporteur im Rahmen dieser Klauseln verarbeitet werden, ergreift der Datenimporteur geeignete Maßnahmen, um die Verletzung zu beheben, einschließlich Maßnahmen zur Milderung ihrer negativen Auswirkungen.
      Der Datenimporteur benachrichtigt außerdem unverzüglich den Datenexporteur und, soweit angemessen und möglich, den für die Verarbeitung Verantwortlichen, nachdem er von der Verletzung Kenntnis erhalten hat.
      Diese Benachrichtigung enthält die Angaben zu einer Kontaktstelle, bei der weitere Informationen eingeholt werden können, eine Beschreibung der Art der Verletzung (einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen und der betroffenen personenbezogenen Datensätze), der wahrscheinlichen Folgen und der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenverletzung, einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
      Wenn es nicht möglich ist, alle Informationen gleichzeitig bereitzustellen, enthält die erste Benachrichtigung die zu diesem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, ohne unangemessene Verzögerung nachgereicht.
    4. Der Datenimporteur arbeitet mit dem Datenexporteur zusammen und unterstützt ihn, damit der Datenexporteur seinen Verpflichtungen gemäß der Verordnung (EU) 2016/679 nachkommen kann, insbesondere um seinen für die Verarbeitung Verantwortlichen zu benachrichtigen, damit dieser seinerseits die zuständige Aufsichtsbehörde und die betroffenen Personen benachrichtigen kann, wobei die Art der Verarbeitung und die dem Datenimporteur zur Verfügung stehenden Informationen berücksichtigt werden.

    8.7 Sensible Daten Betrifft die Übermittlung personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Mitgliedschaft in einer Gewerkschaft hervorgehen, genetische Daten oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit oder das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten (im Folgenden „sensible Daten“), so wendet der Datenimporteur die in Anhang I.B aufgeführten spezifischen Einschränkungen und/oder zusätzlichen Garantien an.
    8.8 Weitergabe Der Datenimporteur darf die personenbezogenen Daten nur auf dokumentierte Anweisung des für die Verarbeitung Verantwortlichen, die ihm vom Datenexporteur mitgeteilt wurde, an Dritte weitergeben.
    Darüber hinaus dürfen die Daten nur dann an einen Dritten außerhalb der Europäischen Union ([3]) (im selben Land wie der Datenimporteur oder in einem anderen Drittland, im Folgenden „Weiterübermittlung“) weitergegeben werden, wenn der Dritte im Rahmen des entsprechenden Moduls an diese Klauseln gebunden ist oder sich damit einverstanden erklärt, oder wenn:

    1. die Weiterübermittlung erfolgt in ein Land, das von einem Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 profitiert, der die Weiterübermittlung abdeckt;
    2. der Dritte anderweitig angemessene Garantien gemäß Artikel 46 oder 47 der Verordnung (EU) 2016/679 gewährleistet;
    3. die Weitergabe ist für die Begründung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen eines bestimmten Verwaltungs-, Aufsichts- oder Gerichtsverfahrens erforderlich; oder
    4. die Weitergabe ist erforderlich, um die lebenswichtigen Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.

    Jede Weitergabe unterliegt der Einhaltung aller anderen Garantien dieser Klauseln durch den Datenimporteur, insbesondere der Zweckbindung. 8.9 Dokumentation und Einhaltung der Vorschriften

    1. Der Datenimporteur ist verpflichtet, Anfragen des Datenexporteurs oder des für die Verarbeitung Verantwortlichen, die sich auf die Verarbeitung gemäß diesen Klauseln beziehen, unverzüglich und angemessen zu beantworten.
    2. Die Parteien müssen in der Lage sein, die Einhaltung dieser Klauseln nachzuweisen.
      Insbesondere muss der Datenimporteur eine angemessene Dokumentation über die im Auftrag des für die Verarbeitung Verantwortlichen durchgeführten Verarbeitungstätigkeiten führen.
    3. Der Datenimporteur stellt dem Datenexporteur alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in diesen Klauseln festgelegten Verpflichtungen nachzuweisen, und dieser stellt sie dem für die Verarbeitung Verantwortlichen zur Verfügung.
    4. Der Datenimporteur gestattet dem Datenexporteur in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung Audits der unter diese Klauseln fallenden Verarbeitungstätigkeiten und trägt zu diesen bei.
      Das Gleiche gilt, wenn der Datenexporteur auf Anweisung des für die Verarbeitung Verantwortlichen ein Audit verlangt.
      Bei der Entscheidung über ein Audit kann der Datenexporteur die einschlägigen Zertifizierungen des Datenimporteurs berücksichtigen.
    5. Wird das Audit auf Anweisung des für die Verarbeitung Verantwortlichen durchgeführt, so stellt der Datenexporteur dem für die Verarbeitung Verantwortlichen die Ergebnisse zur Verfügung.
    6. Der Datenexporteur kann wählen, ob er das Audit selbst durchführt oder einen unabhängigen Prüfer beauftragt.
      Die Audits können Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Datenimporteurs umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.
    7. Die Vertragsparteien stellen die Informationen gemäß den Absätzen
      (b) und
      (c) genannten Informationen, einschließlich der Ergebnisse von Prüfungen, der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung.

    Klausel 9Einsatz von Unterauftragsverarbeitern

    1. OPTION 1: BESONDERE VORHERIGE GENEHMIGUNG Der Datenimporteur darf keine seiner Verarbeitungstätigkeiten, die er im Auftrag des Datenexporteurs gemäß diesen Klauseln durchführt, ohne vorherige besondere schriftliche Genehmigung des für die Verarbeitung Verantwortlichen an einen Unterauftragsverarbeiter vergeben.
      Der Datenimporteur stellt den Antrag auf Sondergenehmigung mindestens[Zeitraum angeben] vor der Beauftragung des Unterauftragsverarbeiters zusammen mit den Informationen, die erforderlich sind, damit der für die Verarbeitung Verantwortliche über die Genehmigung entscheiden kann.
      Er unterrichtet den Datenexporteur über eine solche Beauftragung.
      Die Liste der von dem für die Verarbeitung Verantwortlichen bereits zugelassenen Unterauftragsverarbeiter finden Sie in Anhang III.
      Die Parteien halten Anhang III auf dem neuesten Stand.OPTION 2: ALLGEMEINE SCHRIFTLICHE GENEHMIGUNG Der Datenimporteur verfügt über die allgemeine Genehmigung des für die Verarbeitung Verantwortlichen für die Beauftragung von Unterauftragsverarbeitern aus einer vereinbarten Liste.
      Der Datenimporteur informiert den für die Verarbeitung Verantwortlichen schriftlich über alle beabsichtigten Änderungen dieser Liste durch Hinzufügung oder Ersetzung von Unterauftragsverarbeitern mindestens[Zeitraum angeben] im Voraus, so dass der für die Verarbeitung Verantwortliche genügend Zeit hat, um vor der Beauftragung des/der Unterauftragsverarbeiter(s) Einspruch gegen diese Änderungen zu erheben.
      Der Datenimporteur stellt dem für die Verarbeitung Verantwortlichen die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann.
      Der Datenimporteur unterrichtet den Datenexporteur über die Beauftragung des/der Unterauftragsverarbeiter(s).
    2. Beauftragt der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Namen des für die Verarbeitung Verantwortlichen), so erfolgt dies im Rahmen eines schriftlichen Vertrags, der im Wesentlichen dieselben Datenschutzverpflichtungen vorsieht, an die der Datenimporteur gemäß diesen Klauseln gebunden ist, auch in Bezug auf die Rechte der betroffenen Personen als Drittbegünstigte. ([4]) Die Parteien sind sich einig, dass der Datenimporteur durch die Einhaltung dieser Klausel seine Verpflichtungen aus Klausel 8.8 erfüllt.
      Der Datenimporteur stellt sicher, dass der Unterauftragsverarbeiter die Verpflichtungen einhält, denen der Datenimporteur gemäß diesen Klauseln unterliegt.
    3. Der Datenimporteur stellt auf Anfrage des Datenexporteurs oder des für die Verarbeitung Verantwortlichen eine Kopie eines solchen Unterauftragsverarbeitungsvertrags und aller nachfolgenden Änderungen zur Verfügung.
      Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Datenimporteur den Text der Vereinbarung vor der Weitergabe einer Kopie schwärzen.
    4. Der Datenimporteur bleibt gegenüber dem Datenexporteur in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters aus seinem Vertrag mit dem Datenimporteur verantwortlich.
      Der Datenimporteur meldet dem Datenexporteur, wenn der Unterauftragsverarbeiter seinen Verpflichtungen aus diesem Vertrag nicht nachkommt.
    5. Der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigungsklausel, wonach der Datenexporteur für den Fall, dass der Datenimporteur faktisch verschwunden ist, rechtlich nicht mehr existiert oder insolvent geworden ist, das Recht hat, den Unterauftragsverarbeitungsvertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

    Klausel 10Rechte der betroffenen Person

    1. Der Datenimporteur benachrichtigt den Datenexporteur und gegebenenfalls den für die Verarbeitung Verantwortlichen unverzüglich über jede Anfrage, die er von einer betroffenen Person erhalten hat, ohne auf diese Anfrage einzugehen, es sei denn, er wurde von dem für die Verarbeitung Verantwortlichen dazu ermächtigt.
    2. Der Datenimporteur unterstützt, gegebenenfalls in Zusammenarbeit mit dem Datenexporteur, den für die Verarbeitung Verantwortlichen bei der Erfüllung seiner Verpflichtungen, auf Anträge betroffener Personen zur Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 zu reagieren.
      Zu diesem Zweck legen die Parteien in Anhang II die geeigneten technischen und organisatorischen Maßnahmen fest, mit denen die Unterstützung unter Berücksichtigung der Art der Verarbeitung geleistet wird, sowie den Umfang und das Ausmaß der erforderlichen Unterstützung.
    3. Bei der Erfüllung seiner Verpflichtungen gemäß den Absätzen
      (a) und
      (b) erfüllt der Datenimporteur die Anweisungen des für die Verarbeitung Verantwortlichen, die ihm vom Datenexporteur mitgeteilt wurden.

    Klausel 11Abhilfe

    1. Der Datenimporteur informiert die betroffenen Personen in einem transparenten und leicht zugänglichen Format durch individuelle Mitteilung oder auf seiner Website über eine Kontaktstelle, die für die Bearbeitung von Beschwerden zuständig ist. Er bearbeitet alle Beschwerden, die er von einer betroffenen Person erhält, unverzüglich. [OPTION: Der Datenimporteur erklärt sich damit einverstanden, dass betroffene Personen auch eine Beschwerde bei einer unabhängigen Streitbeilegungsstelle einreichen können ([5]) ohne Kosten für die betroffene Person.
      Sie unterrichtet die betroffenen Personen in der unter Buchstabe a) beschriebenen Weise über diesen Rechtsbehelf und darüber, dass sie nicht verpflichtet sind, ihn in Anspruch zu nehmen oder eine bestimmte Reihenfolge bei der Einlegung von Rechtsbehelfen einzuhalten].
    2. Im Falle eines Rechtsstreits zwischen einer betroffenen Person und einer der Parteien über die Einhaltung dieser Klauseln bemüht sich die betreffende Partei nach besten Kräften, die Angelegenheit rechtzeitig gütlich zu regeln.
      Die Parteien halten sich gegenseitig über solche Streitigkeiten auf dem Laufenden und arbeiten gegebenenfalls bei deren Beilegung zusammen.
    3. Beruft sich die betroffene Person auf ein Drittbegünstigungsrecht gemäß Ziffer 3, so akzeptiert der Datenimporteur die Entscheidung der betroffenen Person:
      1. eine Beschwerde bei der Aufsichtsbehörde des Mitgliedstaats, in dem er seinen gewöhnlichen Aufenthalt oder seinen Arbeitsplatz hat, oder bei der zuständigen Aufsichtsbehörde gemäß Klausel 13 einreichen;
      2. den Streitfall an die zuständigen Gerichte im Sinne von Artikel 18 zu verweisen.
    4. Die Parteien akzeptieren, dass die betroffene Person unter den in Artikel 80 Absatz 1 der Verordnung (EU) 2016/679 genannten Bedingungen durch eine gemeinnützige Einrichtung, Organisation oder Vereinigung vertreten werden kann.
    5. Der Datenimporteur muss sich an eine Entscheidung halten, die nach dem geltenden Recht der EU oder eines Mitgliedstaats verbindlich ist.
    6. Der Datenimporteur erklärt sich damit einverstanden, dass die von der betroffenen Person getroffene Wahl ihre materiell- und verfahrensrechtlichen Rechte auf Einlegung von Rechtsmitteln gemäß den geltenden Gesetzen nicht beeinträchtigt.

    Klausel 12Haftung

    1. Jede Partei haftet gegenüber der/den anderen Partei(en) für alle Schäden, die sie der/den anderen Partei(en) durch einen Verstoß gegen diese Klauseln zufügt.
    2. Der Datenimporteur haftet gegenüber der betroffenen Person und die betroffene Person hat Anspruch auf Schadenersatz für alle materiellen oder immateriellen Schäden, die der Datenimporteur oder sein Unterauftragsverarbeiter der betroffenen Person durch die Verletzung der Rechte des Drittbegünstigten gemäß diesen Klauseln zufügt.
    3. Ungeachtet des Absatzes (b) haftet der Datenexporteur gegenüber der betroffenen Person für alle materiellen oder immateriellen Schäden, die der Datenexporteur oder der Datenimporteur (oder sein Unterauftragsverarbeiter) der betroffenen Person durch die Verletzung der Rechte des Drittbegünstigten gemäß diesen Klauseln zufügt, und die betroffene Person hat Anspruch auf Schadenersatz.
      Dies gilt unbeschadet der Haftung des Datenexporteurs und, wenn der Datenexporteur ein Auftragsverarbeiter ist, der im Auftrag eines für die Verarbeitung Verantwortlichen handelt, der Haftung des für die Verarbeitung Verantwortlichen gemäß der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725.
    4. Die Parteien vereinbaren, dass der Datenexporteur, wenn er gemäß Absatz (c) für Schäden haftbar gemacht wird, die durch den Datenimporteur (oder seinen Unterauftragsverarbeiter) verursacht wurden, berechtigt ist, vom Datenimporteur den Teil der Entschädigung zurückzufordern, der der Verantwortung des Datenimporteurs für den Schaden entspricht.
    5. Ist mehr als eine Partei für einen Schaden verantwortlich, der der betroffenen Person infolge eines Verstoßes gegen diese Klauseln entstanden ist, haften alle verantwortlichen Parteien gesamtschuldnerisch, und die betroffene Person ist berechtigt, gegen jede dieser Parteien gerichtlich vorzugehen.
    6. Die Parteien vereinbaren, dass eine Partei, die gemäß Absatz (e) haftbar gemacht wird, berechtigt ist, von der/den anderen Partei(en) den Teil der Entschädigung zurückzufordern, der ihrer Verantwortung für den Schaden entspricht.
    7. Der Datenimporteur kann sich nicht auf das Verhalten eines Unterverarbeiters berufen, um seine eigene Haftung zu umgehen.

    Klausel 13Beaufsichtigung

    1. [Where the data exporter is established in an EU Member State:] Die Aufsichtsbehörde, die dafür verantwortlich ist, dass der Datenexporteur die Verordnung (EU) 2016/679 in Bezug auf die Datenübermittlung einhält, wie in Anhang I.C angegeben, handelt als zuständige Aufsichtsbehörde. [Ist der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen, fällt aber in den territorialen Anwendungsbereich der Verordnung (EU) 2016/679 gemäß deren Artikel 3 Absatz 2 und hat einen Vertreter gemäß Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 bestellt:] Die Aufsichtsbehörde des Mitgliedstaats, in dem der Vertreter im Sinne von Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 niedergelassen ist, wie in Anhang I.C angegeben, handelt als zuständige Aufsichtsbehörde. [Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen ist, aber in den territorialen Anwendungsbereich der Verordnung (EU) 2016/679 gemäß deren Artikel 3 Absatz 2 fällt, ohne jedoch einen Vertreter gemäß Artikel 27 Absatz 2 der Verordnung (EU) 2016/679 benennen zu müssen:] Die Aufsichtsbehörde eines der Mitgliedstaaten, in dem sich die betroffenen Personen, deren personenbezogene Daten gemäß diesen Klauseln im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an sie übermittelt werden oder deren Verhalten überwacht wird, wie in Anhang I.C angegeben, befinden, handelt als zuständige Aufsichtsbehörde.
    2. Der Datenimporteur erklärt sich damit einverstanden, sich der Gerichtsbarkeit der zuständigen Aufsichtsbehörde zu unterwerfen und mit dieser in allen Verfahren zusammenzuarbeiten, die darauf abzielen, die Einhaltung dieser Klauseln zu gewährleisten.
      Insbesondere verpflichtet sich der Datenimporteur, auf Anfragen zu antworten, sich Prüfungen zu unterziehen und die von der Aufsichtsbehörde getroffenen Maßnahmen, einschließlich Abhilfe- und Ausgleichsmaßnahmen, zu befolgen.
      Er muss der Aufsichtsbehörde schriftlich bestätigen, dass die erforderlichen Maßnahmen ergriffen worden sind.

    ABSCHNITT III – LOKALE GESETZE UND VERPFLICHTUNGEN IM FALLE DES ZUGRIFFS DURCH BEHÖRDENKlausel 14Lokale Gesetze und Praktiken, die sich auf die Einhaltung der Klauseln auswirken

      1. Die Parteien garantieren, dass sie keinen Grund zu der Annahme haben, dass die Gesetze und Praktiken im Bestimmungsdrittland, die auf die Verarbeitung der personenbezogenen Daten durch den Datenimporteur anwendbar sind, einschließlich etwaiger Anforderungen an die Offenlegung personenbezogener Daten oder Maßnahmen, die den Zugang von Behörden ermöglichen, den Datenimporteur daran hindern, seinen Verpflichtungen gemäß diesen Klauseln nachzukommen.
        Dies beruht auf dem Verständnis, dass Gesetze und Praktiken, die den Kern der Grundrechte und -freiheiten respektieren und nicht über das hinausgehen, was in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um eines der in Artikel 23(1) der Verordnung (EU) 2016/679 aufgeführten Ziele zu schützen, nicht im Widerspruch zu diesen Klauseln stehen.
      2. Die Vertragsparteien erklären, dass sie bei der Abgabe der unter Buchstabe a) genannten Garantie insbesondere die folgenden Elemente gebührend berücksichtigt haben:
        1. die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übermittlungskanäle; beabsichtigte Weiterübermittlungen; die Art des Empfängers; der Zweck der Verarbeitung; die Kategorien und das Format der übermittelten personenbezogenen Daten; der Wirtschaftssektor, in dem die Übermittlung erfolgt; der Speicherort der übermittelten Daten;
        2. die Gesetze und Gepflogenheiten des Bestimmungsdrittlandes – einschließlich derjenigen, die die Weitergabe von Daten an Behörden vorschreiben oder den Zugriff durch solche Behörden gestatten -, die angesichts der besonderen Umstände der Übermittlung relevant sind, sowie die geltenden Beschränkungen und Garantien ([6]);
        3. alle relevanten vertraglichen, technischen oder organisatorischen Sicherheitsvorkehrungen, die zur Ergänzung der in diesen Klauseln vorgesehenen Garantien getroffen wurden, einschließlich Maßnahmen, die bei der Übermittlung und der Verarbeitung der personenbezogenen Daten im Bestimmungsland angewendet werden.
      3. Der Datenimporteur garantiert, dass er sich bei der Durchführung der Bewertung gemäß Absatz (b) nach besten Kräften bemüht hat, dem Datenexporteur relevante Informationen zur Verfügung zu stellen, und erklärt sich bereit, weiterhin mit dem Datenexporteur zusammenzuarbeiten, um die Einhaltung dieser Klauseln sicherzustellen.
      4. Die Vertragsparteien vereinbaren, die Bewertung gemäß Absatz (b) zu dokumentieren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
      5. Der Datenimporteur verpflichtet sich, den Datenexporteur unverzüglich zu benachrichtigen, wenn er nach der Zustimmung zu diesen Klauseln und während der Laufzeit des Vertrags Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterworfen wurde, die nicht mit den Anforderungen gemäß Absatz (a) übereinstimmen, einschließlich einer Änderung der Gesetze des Drittlandes oder einer Maßnahme (wie z. B. einer Aufforderung zur Offenlegung), die auf eine Anwendung dieser Gesetze in der Praxis hinweist, die nicht mit den Anforderungen in Absatz (a) übereinstimmt.
        Der Datenexporteur leitet die Meldung an den für die Verarbeitung Verantwortlichen weiter.
      6. Nach einer Meldung gemäß Buchstabe e oder wenn der Datenexporteur anderweitig Grund zu der Annahme hat, dass der Datenimporteur seinen Verpflichtungen gemäß diesen Klauseln nicht mehr nachkommen kann, bestimmt der Datenexporteur unverzüglich geeignete Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung von Sicherheit und Vertraulichkeit), die vom Datenexporteur und/oder Datenimporteur zu ergreifen sind, um der Situation zu begegnen, gegebenenfalls in Absprache mit dem für die Verarbeitung Verantwortlichen. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Ansicht ist, dass keine angemessenen Garantien für eine solche Übermittlung gewährleistet werden können, oder wenn er von dem für die Verarbeitung Verantwortlichen oder der zuständigen Aufsichtsbehörde dazu angewiesen wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft. Sind an dem Vertrag mehr als zwei Parteien beteiligt, kann der Datenexporteur dieses Kündigungsrecht nur in Bezug auf die betreffende Partei ausüben, es sei denn, die Parteien haben etwas anderes vereinbart. Wird der Vertrag gemäß dieser Klausel gekündigt, so gilt Klausel 16(d) und (e).

    Klausel 15Pflichten des Datenimporteurs im Falle eines Zugriffs durch öffentliche Stellen15.1 Benachrichtigung

      1. Der Datenimporteur verpflichtet sich, den Datenexporteur und, soweit möglich, die betroffene Person unverzüglich (gegebenenfalls mit Hilfe des Datenexporteurs) zu benachrichtigen, wenn er:
        1. ein rechtsverbindliches Ersuchen einer Behörde, einschließlich Justizbehörden, nach dem Recht des Bestimmungslandes um Offenlegung der gemäß diesen Klauseln übermittelten personenbezogenen Daten erhält; eine solche Benachrichtigung muss Informationen über die angeforderten personenbezogenen Daten, die ersuchende Behörde, die Rechtsgrundlage für das Ersuchen und die erteilte Antwort enthalten; oder
        2. von einem direkten Zugriff öffentlicher Stellen auf personenbezogene Daten erfährt, die gemäß den Gesetzen des Bestimmungslandes übermittelt wurden; diese Meldung muss alle Informationen enthalten, die dem Importeur zur Verfügung stehen Der Datenexporteur leitet die Meldung an den für die Verarbeitung Verantwortlichen weiter.
          • Falls es dem Datenimporteur nach dem Recht des Bestimmungslandes untersagt ist, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, erklärt sich der Datenimporteur bereit, sich nach besten Kräften um eine Aufhebung des Verbots zu bemühen, um so schnell wie möglich so viele Informationen wie möglich zu übermitteln.
            Der Datenimporteur verpflichtet sich, seine Bemühungen zu dokumentieren, damit er sie auf Anfrage des Datenexporteurs nachweisen kann.
          • Soweit nach den Gesetzen des Bestimmungslandes zulässig, erklärt sich der Datenimporteur bereit, dem Datenexporteur während der Laufzeit des Vertrags in regelmäßigen Abständen so viele sachdienliche Informationen wie möglich über die eingegangenen Ersuchen zu übermitteln (insbesondere die Anzahl der Ersuchen, die Art der angeforderten Daten, die ersuchende(n) Behörde(n), ob gegen die Ersuchen Widerspruch eingelegt wurde und wie dieser ausgegangen ist usw.).
            Der Datenexporteur leitet diese Informationen an den für die Verarbeitung Verantwortlichen weiter.
          • Der Datenimporteur verpflichtet sich, die Informationen gemäß den Buchstaben a) bis c) für die Dauer des Vertrages aufzubewahren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
          • Die Absätze (a) bis (c) berühren nicht die Verpflichtung des Datenimporteurs gemäß Klausel 14(e) und Klausel 16, den Datenexporteur unverzüglich zu informieren, wenn er diese Klauseln nicht einhalten kann.

        15.2 Überprüfung der Rechtmäßigkeit und Datensparsamkeit

        1. Der Datenimporteur erklärt sich bereit, die Rechtmäßigkeit des Offenlegungsantrags zu überprüfen, insbesondere ob er im Rahmen der Befugnisse der antragstellenden Behörde bleibt, und den Antrag anzufechten, wenn er nach sorgfältiger Prüfung zu dem Schluss kommt, dass es vernünftige Gründe für die Annahme gibt, dass der Antrag nach den Gesetzen des Bestimmungslandes, den geltenden völkerrechtlichen Verpflichtungen und den Grundsätzen der internationalen Komitologie unrechtmäßig ist.
          Der Datenimporteur muss unter den gleichen Bedingungen Rechtsmittel einlegen können.
          Bei der Anfechtung eines Ersuchens beantragt der Datenimporteur einstweilige Maßnahmen mit dem Ziel, die Wirkungen des Ersuchens auszusetzen, bis die zuständige Justizbehörde über die Begründetheit des Ersuchens entschieden hat.
          Er gibt die angeforderten personenbezogenen Daten erst dann weiter, wenn er nach den geltenden Verfahrensvorschriften dazu verpflichtet ist.
          Diese Anforderungen berühren nicht die Verpflichtungen des Datenimporteurs gemäß Klausel 14(e).
        2. Der Datenimporteur erklärt sich damit einverstanden, seine rechtliche Bewertung und jede Anfechtung des Auskunftsersuchens zu dokumentieren und, soweit dies nach den Gesetzen des Bestimmungslandes zulässig ist, dem Datenexporteur die Dokumentation zur Verfügung zu stellen.
          Er stellt sie auch der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung.
          Der Datenexporteur stellt die Bewertung dem für die Verarbeitung Verantwortlichen zur Verfügung.
        3. Der Datenimporteur erklärt sich damit einverstanden, bei der Beantwortung eines Auskunftsersuchens das zulässige Minimum an Informationen zur Verfügung zu stellen, das auf einer angemessenen Auslegung des Ersuchens beruht.

        ABSCHNITT IV – SCHLUSSBESTIMMUNGENKlausel 16Nichteinhaltung der Klauseln und Kündigung

        1. Der Datenimporteur informiert den Datenexporteur unverzüglich, wenn er diese Klauseln, aus welchen Gründen auch immer, nicht einhalten kann.
        2. Für den Fall, dass der Datenimporteur gegen diese Klauseln verstößt oder nicht in der Lage ist, diese Klauseln einzuhalten, setzt der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aus, bis die Einhaltung der Klauseln wieder gewährleistet ist oder der Vertrag gekündigt wird.
          Dies gilt unbeschadet der Klausel 14(f).
        3. Der Datenexporteur ist berechtigt, den Vertrag, soweit er die Verarbeitung personenbezogener Daten nach diesen Klauseln betrifft, zu kündigen, wenn:
          1. der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Absatz (b) ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wird;
          2. der Datenimporteur in erheblichem Maße oder anhaltend gegen diese Klauseln verstößt; oder
          3. der Datenimporteur einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer Aufsichtsbehörde in Bezug auf seine Verpflichtungen aus diesen Klauseln nicht nachkommt; in diesen Fällen informiert er die zuständige Aufsichtsbehörde und den für die Verarbeitung Verantwortlichen über diese Nichteinhaltung.
            Sind an dem Vertrag mehr als zwei Parteien beteiligt, kann der Datenexporteur dieses Kündigungsrecht nur in Bezug auf die betreffende Partei ausüben, es sei denn, die Parteien haben etwas anderes vereinbart.
        4. Personenbezogene Daten, die vor der Beendigung des Vertragsverhältnisses gemäß Absatz (c) übermittelt wurden, werden nach Wahl des Datenexporteurs unverzüglich an den Datenexporteur zurückgegeben oder vollständig gelöscht.
          Das Gleiche gilt für etwaige Kopien der Daten.
          Der Datenimporteur muss dem Datenexporteur die Löschung der Daten bescheinigen.
          Bis zur Löschung oder Rückgabe der Daten muss der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicherstellen.
          Falls für den Datenimporteur örtliche Gesetze gelten, die die Rückgabe oder Löschung der übermittelten personenbezogenen Daten verbieten, garantiert der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln gewährleistet und die Daten nur in dem Umfang und so lange verarbeitet, wie dies nach dem jeweiligen örtlichen Gesetz erforderlich ist.
        5. Jede Partei kann ihre Zustimmung, an diese Klauseln gebunden zu sein, widerrufen, wenn
          (i) die Europäische Kommission einen Beschluss gemäß Artikel 45(3) der Verordnung (EU) 2016/679 erlässt, der die Übermittlung personenbezogener Daten betrifft, für die diese Klauseln gelten; oder
          (ii) die Verordnung (EU) 2016/679 Teil des rechtlichen Rahmens des Landes wird, in das die personenbezogenen Daten übermittelt werden.
          Dies gilt unbeschadet anderer Verpflichtungen, die für die betreffende Verarbeitung gemäß der Verordnung (EU) 2016/679 gelten.

        Klausel 17Anwendbares Recht [OPTION 1: Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, sofern dieses Recht Rechte von Drittbegünstigten zulässt.
        Die Parteien vereinbaren, dass dies das Recht von _______(Mitgliedstaat angeben) sein soll.] [OPTION 2: Diese Klauseln unterliegen dem Recht des EU-Mitgliedstaates, in dem der Datenexporteur niedergelassen ist. Wenn dieses Recht keine Rechte von Drittbegünstigten zulässt, unterliegen sie dem Recht eines anderen EU-Mitgliedstaats, der Rechte von Drittbegünstigten zulässt. Die Parteien vereinbaren, dass dies das Recht von _______(Mitgliedstaat angeben) sein soll.] Klausel 18Wahl des Gerichtsstands und der Gerichtsbarkeit

        1. Alle Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten eines EU-Mitgliedstaates entschieden.
        2. Die Parteien vereinbaren, dass dies die Gerichte von _____(Mitgliedstaat angeben) sein sollen.
        3. Eine betroffene Person kann auch vor den Gerichten des Mitgliedstaates, in dem sie ihren gewöhnlichen Aufenthalt hat, gegen den Datenexporteur und/oder Datenimporteur klagen.
        4. Die Parteien verpflichten sich, sich der Gerichtsbarkeit dieser Gerichte zu unterwerfen.

        ERLÄUTERNDE ANMERKUNG ZUR ANLAGE: Es muss möglich sein, die für jede Übermittlung oder Kategorie von Übermittlungen geltenden Informationen klar zu unterscheiden und in diesem Zusammenhang die jeweilige(n) Rolle(n) der Parteien als Datenexporteur(en) und/oder Datenimporteur(en) zu bestimmen.
        Dies erfordert nicht unbedingt das Ausfüllen und Unterzeichnen separater Anhänge für jede Übermittlung/Kategorie von Übermittlungen und/oder vertragliche Beziehung, wenn diese Transparenz durch einen einzigen Anhang erreicht werden kann.
        Wo dies jedoch notwendig ist, um ausreichende Klarheit zu gewährleisten, sollten separate Anhänge verwendet werden.

        ANHANG I

        A. LISTE DER PARTEIEN

        Datenexporteur(e):[Identität und Kontaktdaten des/der Datenexporteure(s) und ggf. seines/ihres Datenschutzbeauftragten und/oder Vertreters in der Europäischen Union]

        • Name: ………………………………… Anschrift: ………………………………. Name, Position und Kontaktdaten der Kontaktperson: ………. …………………………………………………….. Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: ………………………………………………………. ………………………………………………………. Unterschrift und Datum:………………… Rolle (Verantwortlicher/Verarbeiter):
        • ……….

        Datenimporteur(e):[Identität und Kontaktdaten des/der Datenimporteure(s), einschließlich einer Kontaktperson, die für den Datenschutz verantwortlich ist]

        • Name: ………………………………. Anschrift: …………………………….. Name, Position und Kontaktdaten der Kontaktperson: ………. ……………………………………………………… Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: ………………………………………………………. ………………………………………………………. Unterschrift und Datum: ………………… Rolle (Verantwortlicher/Verarbeiter):
        • ………….

        B. BESCHREIBUNG DER ÜBERTRAGUNG
        Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden … Kategorien von übermittelten personenbezogenen Daten … Übermittelte sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Schutzmaßnahmen, die der Art der Daten und den damit verbundenen Risiken in vollem Umfang Rechnung tragen, wie z.B. strikte Zweckbindung, Zugangsbeschränkungen (einschließlich Zugang nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnung des Zugangs zu den Daten, Beschränkungen für die Weiterübermittlung oder zusätzliche Sicherheitsmaßnahmen.
        … Die Häufigkeit der Übermittlung (z.B. ob die Daten einmalig oder fortlaufend übermittelt werden).
        … Art der Verarbeitung … Zweck(e) der Datenübermittlung und -weiterverarbeitung … Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieses Zeitraums … Bei Übermittlungen an (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben …

        C. ZUSTÄNDIGE AUFSICHTSBEHÖRDENennen Sie die zuständige(n) Aufsichtsbehörde(n) gemäß Klausel 13 …

        ANHANG II

        TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MASSNAHMEN ZUR GEWÄHRLEISTUNG DER SICHERHEIT DER DATEN ERLÄUTERUNG: Die technischen und organisatorischen Maßnahmen müssen in spezifischen (und nicht in allgemeinen) Begriffen beschrieben werden.
        Siehe auch den allgemeinen Kommentar auf der ersten Seite des Anhangs, insbesondere zur Notwendigkeit, klar anzugeben, welche Maßnahmen für jeden Transfer/jede Gruppe von Transfers gelten. Beschreibung der von dem/den Datenimporteur(en) getroffenen technischen und organisatorischen Maßnahmen (einschließlich etwaiger einschlägiger Zertifizierungen) zur Gewährleistung eines angemessenen Sicherheitsniveaus unter Berücksichtigung der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen.

        [Beispiele für mögliche Maßnahmen:

        Maßnahmen zur Pseudonymisierung und Verschlüsselung von personenbezogenen Daten

        Maßnahmen zur Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der Verarbeitungssysteme und -dienste

        Maßnahmen zur Sicherstellung der Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Vorfalls rechtzeitig wiederherzustellen

        Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten

        Maßnahmen zur Benutzeridentifizierung und -autorisierung

        Maßnahmen zum Schutz der Daten während der Übertragung

        Maßnahmen zum Schutz der Daten während der Speicherung

        Maßnahmen zur Gewährleistung der physischen Sicherheit von Standorten, an denen personenbezogene Daten verarbeitet werden

        Maßnahmen zur Sicherstellung der Protokollierung von Ereignissen

        Maßnahmen zur Sicherstellung der Systemkonfiguration, einschließlich der Standardkonfiguration

        Maßnahmen zur internen IT- und IT-Sicherheitssteuerung und -verwaltung

        Maßnahmen zur Zertifizierung/Absicherung von Prozessen und Produkten

        Maßnahmen zur Gewährleistung der Datensparsamkeit

        Maßnahmen zur Sicherung der Datenqualität

        Maßnahmen zur Gewährleistung einer begrenzten Datenspeicherung

        Maßnahmen zur Gewährleistung der Rechenschaftspflicht

        Maßnahmen zur Ermöglichung der Datenübertragbarkeit und zur Gewährleistung der Löschung]

        Für Überweisungen an (Unter-)Prozessoren, auch die spezifischen technischen und organisatorischen Maßnahmen zu beschreiben, die der (Unter-)Auftragsverarbeiter ergreifen muss, um den für die Verarbeitung Verantwortlichen und – bei Übermittlungen von einem Auftragsverarbeiter an einen Unterauftragsverarbeiter – den Datenexporteur unterstützen zu können

        ANHANG III

        LISTE DER UNTERAUFTRAGSVERARBEITER ERLÄUTERUNG: Dieser Anhang ist auszufüllen, wenn eine besondere Genehmigung für Unterauftragsverarbeiter vorliegt (Klausel 9(a), Option 1).
        Der für die Verarbeitung Verantwortliche hat den Einsatz der folgenden Unterauftragsverarbeiter genehmigt:

        • Name: ……………. Anschrift: ………….. Name, Position und Kontaktdaten der Kontaktperson: … Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten für den Fall, dass mehrere Unterauftragsverarbeiter zugelassen sind): ……………………..
        • ………………….

        [1] Handelt es sich bei dem Datenexporteur um einen Auftragsverarbeiter, der der Verordnung (EU) 2016/679 unterliegt und im Namen eines Organs oder einer Einrichtung der Union als Verantwortlicher handelt, gewährleistet die Berufung auf diese Klauseln bei der Beauftragung eines anderen Auftragsverarbeiters (Unterauftragsverarbeiter), der nicht der Verordnung (EU) 2016/679 unterliegt, auch die Einhaltung von Artikel 29 Absatz 4 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Union, Einrichtungen, Ämtern und Agenturen der Union und zum freien Datenverkehr sowie zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (
        L 295 vom 21.11.2018, S. 39), soweit diese Klauseln und die Datenschutzverpflichtungen aus dem Vertrag oder einem anderen Rechtsakt zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter gemäß Artikel 29 Absatz 3 der Verordnung (EU) 2018/1725 aufeinander abgestimmt sind.
        Dies ist insbesondere dann der Fall, wenn sich der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter auf die im Beschluss 2021/915 enthaltenen Standardvertragsklauseln stützen. [ 2] Siehe Artikel 28 Absatz 4 der Verordnung (EU) 2016/679 und, wenn der für die Verarbeitung Verantwortliche ein Organ oder eine Einrichtung der EU ist, Artikel 29 Absatz 4 der Verordnung (EU) 2018/1725. [ 3] Das Abkommen über den Europäischen Wirtschaftsraum (EWR-Abkommen) sieht die Ausdehnung des Binnenmarktes der Europäischen Union auf die drei EWR-Staaten Island, Liechtenstein und Norwegen vor.
        Die Datenschutzvorschriften der Union, einschließlich der Verordnung (EU) 2016/679, fallen unter das EWR-Abkommen und wurden in dessen Anhang XI aufgenommen.
        Daher gilt jede Weitergabe von Daten durch den Datenimporteur an einen im EWR ansässigen Dritten nicht als Weitergabe im Sinne dieser Klauseln.
        (4) Diese Anforderung kann dadurch erfüllt werden, dass der Unterauftragsverarbeiter diesen Klauseln im Rahmen des entsprechenden Moduls gemäß Klausel 7 beitritt.
        [5] Der Datenimporteur kann nur dann eine unabhängige Streitbeilegung durch eine Schiedsstelle anbieten, wenn diese in einem Land ansässig ist, das das New Yorker Übereinkommen über die Vollstreckung von Schiedssprüchen ratifiziert hat.
        [6] Was die Auswirkungen solcher Gesetze und Praktiken auf die Einhaltung dieser Klauseln betrifft, so können verschiedene Elemente als Teil einer Gesamtbewertung berücksichtigt werden.
        Zu diesen Elementen können relevante und dokumentierte praktische Erfahrungen mit früheren Fällen von Auskunftsersuchen von Behörden oder das Ausbleiben solcher Ersuchen gehören, die einen ausreichend repräsentativen Zeitrahmen abdecken.
        Dies bezieht sich insbesondere auf interne Aufzeichnungen oder andere Unterlagen, die im Einklang mit der Sorgfaltspflicht kontinuierlich erstellt und auf der Ebene der Geschäftsleitung bestätigt werden, sofern diese Informationen rechtmäßig an Dritte weitergegeben werden können.
        Wenn man sich auf diese praktische Erfahrung stützt, um zu dem Schluss zu kommen, dass der Datenimporteur nicht daran gehindert wird, diese Klauseln einzuhalten, muss sie durch andere relevante, objektive Elemente gestützt werden, und es ist Sache der Parteien, sorgfältig zu prüfen, ob diese Elemente in Bezug auf ihre Zuverlässigkeit und Repräsentativität zusammengenommen genügend Gewicht haben, um diese Schlussfolgerung zu stützen.
        Insbesondere müssen die Parteien berücksichtigen, ob ihre praktischen Erfahrungen durch öffentlich zugängliche oder anderweitig zugängliche, zuverlässige Informationen über das Vorhandensein oder Nichtvorhandensein von Anträgen innerhalb desselben Sektors und/oder die Anwendung des Gesetzes in der Praxis, wie z.B. die Rechtsprechung und Berichte unabhängiger Aufsichtsgremien, bestätigt werden und nicht im Widerspruch dazu stehen.