Addendum zur Datenverarbeitung


Dieses Addendum zur Datenverarbeitung ("DPA") wird in das Abkommen aufgenommen und unterliegt den Bestimmungen und Bedingungen des Abkommens zwischen Digidly und die Partei, die in der Vereinbarung als Kunde des Dienstes (oder "Sie") bezeichnet wird ("Kunde“).

Alle in Großbuchstaben geschriebenen Begriffe, die in dieser DPA nicht definiert sind, haben die in der Vereinbarung festgelegte Bedeutung. Zur Vermeidung von Zweifeln umfassen alle Verweise auf die "Vereinbarung" diese DPA (einschließlich der SCCs, wie hierin definiert). 

1. Begriffsbestimmungen

Tochtergesellschaft"ist ein Unternehmen, das direkt oder indirekt ein Unternehmen kontrolliert, von ihm kontrolliert wird oder mit ihm unter gemeinsamer Kontrolle steht.

Vereinbarung" bedeutet Digidly's Allgemeine Geschäftsbedingungenoder einer anderen schriftlichen oder elektronischen Vereinbarung, die die Bereitstellung des Dienstes für den Kunden regeln, wobei diese Bedingungen oder Vereinbarungen von Zeit zu Zeit aktualisiert werden können.

KontrolleDer Begriff "Beteiligung" bezeichnet eine Eigentums-, Stimmrechts- oder ähnliche Beteiligung, die fünfzig Prozent (50%) oder mehr der gesamten zu diesem Zeitpunkt ausstehenden Anteile des betreffenden Unternehmens ausmacht. Der Begriff "Kontrolliert" ist entsprechend auszulegen.

KundendatenDer Begriff "personenbezogene Daten" bezeichnet alle personenbezogenen Daten, die Digidly im Namen des Kunden als Auftragsverarbeiter im Rahmen der Erbringung des Dienstes verarbeitet, wie in dieser Datenschutzrichtlinie näher beschrieben.

Datenschutzgesetze"bezeichnet alle Datenschutzgesetze, die auf die Verarbeitung personenbezogener Daten im Rahmen des Abkommens anwendbar sind, gegebenenfalls einschließlich des EU-Datenschutzrechts.

EU-Datenschutzgesetz"(i) die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) ("GDPR"(ii) die Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und (iii) die anwendbaren nationalen Umsetzungen von (i) und (ii) (oder in Bezug auf das Vereinigte Königreich alle anwendbaren nationalen Rechtsvorschriften, die die Datenschutz-Grundverordnung oder andere Gesetze in Bezug auf Daten und den Schutz der Privatsphäre infolge des Austritts des Vereinigten Königreichs aus der Europäischen Union ersetzen oder in nationales Recht umwandeln), jeweils in der geänderten, ersetzten oder ersetzten Fassung.

EEAFür die Zwecke dieser DPA bedeutet "EU" die Europäische Union, den Europäischen Wirtschaftsraum und/oder ihre Mitgliedstaaten, die Schweiz und/oder das Vereinigte Königreich.

Datenschutz-Schutzschild" bezeichnet das Selbstzertifizierungsprogramm EU-US Privacy Shield und Swiss-U.S. Privacy Shield Framework, das vom US-Handelsministerium betrieben und von der Europäischen Kommission gemäß Beschluss C(2016)4176 vom 12. Juli 2016 bzw. vom Schweizer Bundesrat am 11. Januar 2017 genehmigt wurde.

Grundsätze des Datenschutzschildes"Die Grundsätze des Privacy Shield (in der durch die ergänzenden Grundsätze ergänzten Fassung), die in Anhang II des Beschlusses C(2016)4176 der Europäischen Kommission vom 12. Juli 2016 (in der jeweils geänderten, ersetzten oder ersetzten Fassung) enthalten sind.

SCCs"Die Standardvertragsklauseln für Auftragsverarbeiter, wie sie von der Europäischen Kommission oder der Eidgenössischen Datenschutzbehörde (je nach Fall) genehmigt wurden.

Sicherheitsvorfall"bezeichnet jede unbefugte oder unrechtmäßige Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust oder zur Änderung oder zur unbefugten Offenlegung von oder zum Zugriff auf Kundendaten auf Systemen führt, die von Digidly verwaltet oder anderweitig kontrolliert werden.

Sensible Daten"(a) Sozialversicherungsnummer, Reisepassnummer, Führerscheinnummer oder eine ähnliche Kennung (oder einen Teil davon); (b) Kredit- oder Debitkartennummer (mit Ausnahme der verkürzten (letzten vier Ziffern) einer Kredit- oder Debitkarte); (c) Beschäftigungs-, Finanz-, genetische, biometrische oder Gesundheitsdaten; (d) rassische, ethnische, politische oder religiöse Zugehörigkeit, Gewerkschaftszugehörigkeit oder Informationen über das Sexualleben oder die sexuelle Orientierung; (e) Kontopasswörter; oder (f) andere Informationen, die unter die Definition von "besonderen Datenkategorien" gemäß der Datenschutz-Grundverordnung oder anderen geltenden Datenschutzgesetzen fallen.

Sub-ProzessorUnter "Unterverarbeiter" ist jeder Auftragsverarbeiter zu verstehen, der von Digidly oder seinen verbundenen Unternehmen beauftragt wird, sie bei der Erfüllung ihrer Verpflichtungen in Bezug auf die Bereitstellung des Dienstes gemäß der Vereinbarung oder dieser DPA zu unterstützen. Zu den Unterauftragsverarbeitern können Dritte oder verbundene Unternehmen von Digidly gehören, nicht jedoch Mitarbeiter oder Berater von Digidly.

Die Begriffe "persönliche Daten“, “Controller“, “Prozessor" und "Verarbeitung"haben die Bedeutung, die ihnen in der Datenschutz-Grundverordnung gegeben wird, und "Prozess“, “Prozesse" und "verarbeitet" ist entsprechend auszulegen.

2. Rollen und Zuständigkeiten

2.1 Die Rollen der Parteien. Im Verhältnis zwischen Digidly und dem Kunden ist der Kunde der Verantwortliche für die Kundendaten, und Digidly verarbeitet die Kundendaten nur als Auftragsverarbeiter, der im Namen des Kunden handelt, wie in Anhang A (Einzelheiten der Datenverarbeitung) dieser DPA.

2.2 Zweckbindung. Digidly verarbeitet Kundendaten nur für die in dieser DPA beschriebenen Zwecke und in Übereinstimmung mit den dokumentierten rechtmäßigen Anweisungen des Kunden, es sei denn, das geltende Recht schreibt etwas anderes vor. Die Parteien sind sich einig, dass der Vertrag die vollständigen und endgültigen Anweisungen des Kunden an Digidly in Bezug auf die Verarbeitung von Kundendaten enthält, und dass eine Verarbeitung außerhalb des Anwendungsbereichs dieser Anweisungen (falls zutreffend) eine vorherige schriftliche Vereinbarung zwischen den Parteien erfordert.

2.3 Verbotene Daten. Der Kunde wird Digidly keine sensiblen Daten zur Verarbeitung im Rahmen der Vereinbarung zur Verfügung stellen (oder zur Verfügung stellen lassen), und Digidly übernimmt keinerlei Haftung für sensible Daten, sei es in Verbindung mit einem Sicherheitsvorfall oder anderweitig. Um jeden Zweifel auszuschließen, gilt diese DSGVO nicht für sensible Daten.

2.4 Einhaltung der Kundenvorschriften. Der Kunde sichert zu und gewährleistet, dass (i) er alle geltenden Datenschutzgesetze in Bezug auf die Verarbeitung von Kundendaten und alle Verarbeitungsanweisungen, die er Digidly erteilt, eingehalten hat und weiterhin einhalten wird; und (ii) er alle Mitteilungen gemacht hat und weiterhin machen wird und alle Zustimmungen und Rechte eingeholt hat und weiterhin einholen wird, die nach den Datenschutzgesetzen erforderlich sind, damit Digidly Kundendaten für die im Vertrag beschriebenen Zwecke verarbeiten kann. Der Kunde trägt die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der Kundendaten und für die Mittel, mit denen der Kunde die Kundendaten erworben hat. Unbeschadet der Allgemeingültigkeit des Vorstehenden erklärt sich der Kunde damit einverstanden, dass er für die Einhaltung aller Gesetze (einschließlich der Datenschutzgesetze) verantwortlich ist, die für E-Mails oder andere Inhalte gelten, die über den Service erstellt, versandt oder verwaltet werden, einschließlich derjenigen, die sich auf die Einholung von Genehmigungen (sofern erforderlich) für den Versand von E-Mails, den Inhalt der E-Mails und seine Praktiken zur Bereitstellung von E-Mails beziehen.

2.5 Mitteilungspflichten bezüglich der Anweisungen des Kunden. Digidly benachrichtigt den Kunden unverzüglich schriftlich, es sei denn, dies ist nach den Datenschutzgesetzen nicht zulässig, wenn es feststellt oder glaubt, dass eine Datenverarbeitungsanweisung des Kunden gegen Datenschutzgesetze verstößt.

3. Weiterverarbeitung

3.1 Zugelassene Unterauftragsverarbeiter. Der Kunde erklärt sich damit einverstanden, dass Digidly Unterauftragsverarbeiter mit der Verarbeitung von Kundendaten im Namen des Kunden beauftragt. 

3.2 Einspruch gegen Unterauftragsverarbeiter. Der Kunde kann der Ernennung eines neuen Unterauftragsverarbeiters durch Digidly innerhalb von fünf (5) Kalendertagen nach Erhalt der Mitteilung gemäß Abschnitt 3.1 schriftlich widersprechen, sofern ein solcher Widerspruch auf angemessenen Gründen im Zusammenhang mit dem Datenschutz beruht. In einem solchen Fall erörtern die Parteien diese Bedenken nach Treu und Glauben, um eine wirtschaftlich angemessene Lösung zu finden. Kann eine solche Lösung nicht erreicht werden, wird Digidly nach eigenem Ermessen entweder den Unterauftragsverarbeiter nicht ernennen oder dem Kunden gestatten, den betroffenen Dienst gemäß den Kündigungsbestimmungen der Vereinbarung auszusetzen oder zu beenden, ohne dass eine der Parteien dafür haftet (jedoch unbeschadet der Gebühren, die dem Kunden vor der Aussetzung oder Beendigung entstanden sind).

3.3 Verpflichtungen des Unterauftragsverarbeiters. Digidly muss: (i) mit jedem Unterauftragsverarbeiter einen schriftlichen Vertrag abschließen, der Datenschutzverpflichtungen enthält, die mindestens das gleiche Schutzniveau für Kundendaten bieten wie die in dieser DPA enthaltenen, soweit dies auf die Art der von diesem Unterauftragsverarbeiter erbrachten Dienstleistungen zutrifft; und (ii) für die Einhaltung der Verpflichtungen dieser DPA durch diesen Unterauftragsverarbeiter und für alle Handlungen oder Unterlassungen dieses Unterauftragsverarbeiters, die zu einem Verstoß von Digidly gegen eine seiner Verpflichtungen aus dieser DPA führen, verantwortlich bleiben.

4. Sicherheit

4.1 Sicherheitsmaßnahmen. Digidly implementiert und unterhält angemessene technische und organisatorische Sicherheitsmaßnahmen zum Schutz der Kundendaten vor Sicherheitsvorfällen

4.2 Vertraulichkeit der Verarbeitung. Digidly stellt sicher, dass alle Personen, die von Digidly zur Verarbeitung von Kundendaten ermächtigt sind (einschließlich seiner Mitarbeiter, Vertreter und Unterauftragnehmer), einer angemessenen Vertraulichkeitsverpflichtung unterliegen (sei es eine vertragliche oder gesetzliche Verpflichtung).

4.3 Aktualisierungen der Sicherheitsmaßnahmen. Der Kunde ist dafür verantwortlich, die von Digidly zur Verfügung gestellten Informationen in Bezug auf die Datensicherheit zu überprüfen und eine unabhängige Entscheidung darüber zu treffen, ob der Dienst den Anforderungen des Kunden und seinen gesetzlichen Verpflichtungen gemäß den Datenschutzgesetzen entspricht. Der Kunde erkennt an, dass die Sicherheitsmaßnahmen dem technischen Fortschritt und der Entwicklung unterliegen und dass Digidly die Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren oder ändern kann, vorausgesetzt, dass solche Aktualisierungen und Änderungen nicht zu einer Verschlechterung der Gesamtsicherheit des dem Kunden bereitgestellten Dienstes führen.

4.4 Reaktion auf Sicherheitsvorfälle. Nach Bekanntwerden eines Sicherheitsvorfalls wird Digidly: (i) den Kunden ohne unangemessene Verzögerung zu benachrichtigen, wenn möglich spätestens 48 Stunden nach Bekanntwerden des Sicherheitsvorfalls; (ii) rechtzeitig Informationen über den Sicherheitsvorfall bereitzustellen, sobald dieser bekannt wird oder vom Kunden in angemessener Weise angefordert wird; und (iii) unverzüglich angemessene Schritte zur Eindämmung und Untersuchung eines Sicherheitsvorfalls zu unternehmen. Die Benachrichtigung von Digidly über einen Sicherheitsvorfall oder die Reaktion auf einen Sicherheitsvorfall gemäß diesem Abschnitt 4.4 ist nicht als Anerkennung eines Verschuldens oder einer Haftung von Digidly in Bezug auf den Sicherheitsvorfall auszulegen.

4.5 Verantwortlichkeiten der Kunden. Ungeachtet des Vorstehenden erklärt sich der Kunde damit einverstanden, dass er für die sichere Nutzung des Dienstes verantwortlich ist, einschließlich der Sicherung seiner Kontoauthentifizierungsdaten, des Schutzes der Kundendaten bei der Übertragung zum und vom Dienst und der Ergreifung geeigneter Maßnahmen zur sicheren Verschlüsselung oder Sicherung der auf den Dienst hochgeladenen Kundendaten.

5. Sicherheitsberichte und Audits

5.1 Prüfungsrechte. Digidly stellt dem Kunden alle Informationen zur Verfügung, die vernünftigerweise erforderlich sind, um die Einhaltung dieser DPA nachzuweisen, und ermöglicht und unterstützt Prüfungen, einschließlich Inspektionen durch den Kunden, um die Einhaltung dieser DPA zu beurteilen. Der Kunde erkennt an und erklärt sich damit einverstanden, dass er seine Prüfungsrechte im Rahmen dieser DPA (einschließlich dieses Abschnitts 5.1 und gegebenenfalls der SCC) ausübt, indem er Digidly anweist, die in den nachstehenden Abschnitten 5.2 und 5.3 beschriebenen Prüfungsmaßnahmen einzuhalten.

5.2 Sicherheitsberichte. Der Kunde erkennt an, dass Digidly regelmäßig von unabhängigen Drittprüfern und internen Prüfern nach SSAE 16 und PCI-Standards geprüft wird. Auf schriftliche Anfrage stellt Digidly (auf vertraulicher Basis) eine zusammenfassende Kopie des/der aktuellsten Audit-Berichts/e ("Bericht") an den Kunden zu übermitteln, damit der Kunde überprüfen kann, ob Digidly die Prüfungsstandards, nach denen es bewertet wurde, und diese DSGVO einhält.

5.3 Due-Diligence-Prüfung der Sicherheit. Zusätzlich zu dem Bericht beantwortet Digidly alle angemessenen Informationsanfragen des Kunden, um die Einhaltung dieser DPA durch Digidly zu bestätigen, einschließlich der Antworten auf Fragebögen zur Informationssicherheit, zur Sorgfaltspflicht und zu Audits, indem es auf schriftliche Anfrage des Kunden an [email protected] zusätzliche Informationen zu seinem Informationssicherheitsprogramm zur Verfügung stellt, vorausgesetzt, dass der Kunde dieses Recht nicht öfter als einmal pro Kalenderjahr ausübt.

6. Internationale Überweisungen

6.1 Standorte von Rechenzentren. Digidly kann Kundendaten nach und in Europa und überall sonst auf der Welt, wo Digidly, seine verbundenen Unternehmen oder seine Unterauftragsverarbeiter Datenverarbeitungsvorgänge unterhalten, übertragen und verarbeiten. Digidly stellt zu jeder Zeit sicher, dass solche Übermittlungen in Übereinstimmung mit den Anforderungen der Datenschutzgesetze durchgeführt werden.

6.2 EWR-Datenübertragungen. Soweit Digidly Empfänger von Kundendaten ist, die durch im EWR geltende Datenschutzgesetze geschützt sind ("EWR-Daten"), vereinbaren die Parteien, dass Digidly die unten aufgeführten Mechanismen für alle Übermittlungen von EWR-Daten in oder an ein Land zur Verfügung stellt, das kein angemessenes Schutzniveau für personenbezogene Daten bietet (wie in den geltenden Datenschutzgesetzen beschrieben):

  • (a) Datenschutz-Schutzschild: Wenn Digidly nach dem Privacy Shield selbstzertifiziert ist: (i) erkennen die Parteien an und vereinbaren, dass Digidly aufgrund der Selbstzertifizierung nach dem Privacy Shield einen angemessenen Schutz (im Sinne der geltenden Datenschutzgesetze) für EWR-Daten bietet; (ii) erklärt sich Digidly bereit, EWR-Daten in Übereinstimmung mit den Grundsätzen des Privacy Shield zu verarbeiten; und (iii) falls Digidly diese Anforderung nicht erfüllen kann, wird Digidly den Kunden informieren.
  • (b) SCCs: Soweit der in Abschnitt 6.2(a) genannte Übermittlungsmechanismus nicht auf die Übermittlung anwendbar ist und/oder für ungültig erklärt wird, erklärt sich Digidly damit einverstanden, EWR-Daten in Übereinstimmung mit den SCC zu verarbeiten, die in vollem Umfang durch Verweis einbezogen sind und einen integralen Bestandteil dieser DPA bilden. Für die Zwecke der SCC: (i) stimmt Digidly zu, dass sie der "Datenimporteur" und der Kunde der "Datenexporteur" im Sinne der SCC ist (ungeachtet dessen, dass der Kunde selbst eine außerhalb des EWR ansässige Einrichtung sein kann); (ii) die Anhänge A und B dieser DPA ersetzen die Anhänge 1 bzw. 2 der SCC; und (iii) Anhang C bildet Anhang 3 der SCC.

7. Rückgabe oder Löschung von Daten

7.1 Löschung bei Beendigung. Bei Beendigung oder Ablauf der Vereinbarung wird Digidly (nach Wahl des Kunden) alle Kundendaten (einschließlich Kopien), die sich in seinem Besitz oder unter seiner Kontrolle befinden, löschen oder an den Kunden zurückgeben, mit der Ausnahme, dass diese Anforderung nicht gilt, soweit Digidly nach geltendem Recht verpflichtet ist, einige oder alle Kundendaten aufzubewahren, oder für Kundendaten, die es auf Backup-Systemen archiviert hat, wobei diese Kundendaten von Digidly sicher isoliert, vor weiterer Verarbeitung geschützt und schließlich gemäß den Löschungsrichtlinien von Digidly gelöscht werden, es sei denn, dies ist nach geltendem Recht erforderlich.

8. Rechte der betroffenen Person und Zusammenarbeit

8.1 Anträge der betroffenen Personen. Der Service bietet dem Kunden eine Reihe von Kontrollmöglichkeiten, die der Kunde nutzen kann, um Kundendaten abzurufen, zu korrigieren, zu löschen oder einzuschränken, die der Kunde nutzen kann, um ihn bei der Erfüllung seiner Pflichten gemäß der DSGVO zu unterstützen, einschließlich seiner Pflichten in Bezug auf die Beantwortung von Anfragen von betroffenen Personen oder zuständigen Datenschutzbehörden. Soweit der Kunde nicht in der Lage ist, selbstständig auf die relevanten Kundendaten innerhalb des Dienstes zuzugreifen, wird Digidly (auf Kosten des Kunden) in angemessener Weise kooperieren, um den Kunden bei der Beantwortung von Anfragen von Einzelpersonen oder geltenden Datenschutzbehörden in Bezug auf die Verarbeitung von Kundendaten im Rahmen des Vertrags zu unterstützen. Falls eine solche Anfrage direkt an Digidly gerichtet wird, wird Digidly ohne vorherige Genehmigung des Kunden nicht direkt auf eine solche Mitteilung reagieren, es sei denn, dies ist angemessen (z. B. um die betroffene Person anzuweisen, den Kunden zu kontaktieren) oder gesetzlich vorgeschrieben. Wenn Digidly verpflichtet ist, auf eine solche Anfrage zu antworten, wird Digidly den Kunden unverzüglich benachrichtigen und ihm eine Kopie der Anfrage zukommen lassen, es sei denn, Digidly ist gesetzlich dazu verpflichtet. Um Zweifel auszuschließen, soll nichts in der Vereinbarung (einschließlich dieser DPA) Digidly daran hindern oder einschränken, auf Anfragen von Betroffenen oder Datenschutzbehörden in Bezug auf personenbezogene Daten, für die Digidly verantwortlich ist, zu antworten.

8.2 Vorladungen und Gerichtsbeschlüsse. Wenn eine Strafverfolgungsbehörde Digidly ein Ersuchen um Kundendaten sendet (z. B. durch eine Vorladung oder einen Gerichtsbeschluss), wird Digidly versuchen, die Strafverfolgungsbehörde umzuleiten, damit sie diese Daten direkt vom Kunden anfordert. Im Rahmen dieser Bemühungen kann Digidly der Strafverfolgungsbehörde die grundlegenden Kontaktinformationen des Kunden zur Verfügung stellen. Wenn Digidly gezwungen ist, Kundendaten an eine Strafverfolgungsbehörde weiterzugeben, wird der Kunde in angemessener Weise über die Forderung informiert, um ihm die Möglichkeit zu geben, eine Schutzverfügung oder ein anderes geeignetes Rechtsmittel zu erwirken, es sei denn, Digidly ist gesetzlich daran gehindert, dies zu tun.

8.3 Datenschutz-Folgenabschätzung. Soweit dies nach den geltenden Datenschutzgesetzen erforderlich ist, stellt Digidly (auf Kosten des Kunden) alle vernünftigerweise angeforderten Informationen in Bezug auf den Dienst zur Verfügung, um den Kunden in die Lage zu versetzen, Datenschutz-Folgenabschätzungen oder vorherige Konsultationen mit Datenschutzbehörden durchzuführen, wie dies gesetzlich vorgeschrieben ist.

9. Begrenzung der Haftung

9.1 Die Gesamthaftung jeder Partei und aller ihrer verbundenen Unternehmen, die sich aus dieser DPA (einschließlich der SCC) ergibt, unterliegt den Haftungsausschlüssen und -beschränkungen, die in der Vereinbarung festgelegt sind.

9.2 Jegliche Ansprüche gegen Digidly oder seine verbundenen Unternehmen im Rahmen oder in Verbindung mit dieser DPA (gegebenenfalls einschließlich der SCC) sind ausschließlich gegen das Unternehmen geltend zu machen, das Partei der Vereinbarung ist.

9.3 In keinem Fall darf eine Partei ihre Haftung in Bezug auf die Datenschutzrechte einer Person im Rahmen dieser DPA oder anderweitig einschränken.

10. Beziehung zum Abkommen

10.1 Diese DPA bleibt so lange in Kraft, wie Digidly die Verarbeitung von Kundendaten im Auftrag des Kunden durchführt oder bis zur Beendigung der Vereinbarung (und bis alle Kundendaten gemäß Abschnitt 7.1 zurückgegeben oder gelöscht worden sind).

10.2 Die Parteien vereinbaren, dass diese DPA alle bestehenden Datenverarbeitungsverträge oder ähnlichen Dokumente ersetzt, die die Parteien zuvor in Verbindung mit dem Dienst abgeschlossen haben.

10.3 Im Falle eines Widerspruchs oder einer Unstimmigkeit zwischen dieser DPA und den Digidly-Standardnutzungsbedingungen haben die Bestimmungen der folgenden Dokumente (in der Reihenfolge ihres Vorrangs) Vorrang: (a) SCCs, dann (b) diese DPA und dann (c) die Digidly-Standardnutzungsbedingungen.

10.4 Abgesehen von den Änderungen, die durch diese DPA vorgenommen werden, bleibt die Vereinbarung unverändert und in vollem Umfang in Kraft und wirksam.

10.5 Ungeachtet anderslautender Bestimmungen in der Vereinbarung (einschließlich dieser DPA) hat Digidly das Recht, Daten im Zusammenhang mit der Nutzung, dem Support und/oder dem Betrieb des Dienstes zu sammeln, zu verwenden und offenzulegen ("Service-Daten") für seine legitimen Geschäftszwecke, wie z. B. Rechnungsstellung, Kontoverwaltung, technische Unterstützung und Produktentwicklung. Soweit solche Servicedaten als personenbezogene Daten im Sinne der Datenschutzgesetze gelten, ist Digidly für diese Daten verantwortlich und verarbeitet sie in Übereinstimmung mit unseren Datenschutzbestimmungen und Datenschutzgesetze. Um Zweifel auszuschließen, gilt diese DPA nicht für Dienstleistungsdaten.

10.6 Niemand außer den Vertragspartnern dieser DPA, ihren Nachfolgern und zulässigen Rechtsnachfolgern hat das Recht, eine der Bestimmungen dieser DPA durchzusetzen.

10.7 Diese DPA unterliegt den Bestimmungen des geltenden Rechts und der Gerichtsbarkeit in der Vereinbarung und ist entsprechend auszulegen, sofern die geltenden Datenschutzgesetze nichts anderes vorschreiben.

Anhang A - Einzelheiten der Datenverarbeitung

(a) Gegenstand: Der Gegenstand der Datenverarbeitung im Rahmen dieser DPA sind die Kundendaten.

(b) Dauer: Zwischen Digidly und dem Kunden dauert die Datenverarbeitung im Rahmen dieser DPA bis zum Ablauf oder zur Beendigung des Vertrags gemäß dessen Bestimmungen.

(c) Zweck: Digidly verarbeitet Kundendaten nur zu folgenden Zwecken: (i) Verarbeitung zur Erbringung des Dienstes in Übereinstimmung mit dem Vertrag; (ii) Verarbeitung, die vom Kunden bei der Nutzung des Dienstes veranlasst wird; und (ii) Verarbeitung zur Erfüllung sonstiger angemessener Anweisungen des Kunden (z. B. per E-Mail oder Support-Tickets), die mit den Bedingungen des Vertrags übereinstimmen (einzeln und zusammen die "Zweck“).

(d) Art der Verarbeitung: Digidly bietet einen E-Mail-Service, eine Automatisierungs- und Marketingplattform und andere damit verbundene Dienstleistungen an, die in der Vereinbarung näher beschrieben sind.

(e) Kategorien von betroffenen Personen(i) Mitglieder; und (ii) Kontakte, jeweils wie in der Satzung definiert Datenschutzbestimmungen.

(f) Arten von Kundendaten: Der Kunde kann bestimmte personenbezogene Daten in den Dienst hochladen, übermitteln oder anderweitig bereitstellen, deren Umfang in der Regel vom Kunden nach eigenem Ermessen bestimmt und kontrolliert wird und die folgende Arten von personenbezogenen Daten umfassen können:

  • Mitglieder: Identifikations- und Kontaktdaten (Name, Adresse, Titel, Kontaktdaten, Benutzername); Finanzdaten (Kreditkartendaten, Kontodaten, Zahlungsinformationen); Beschäftigungsdaten (Arbeitgeber, Berufsbezeichnung, geografischer Standort, Verantwortungsbereich);
  • Kontakte: Identifizierungs- und Kontaktdaten (Name, Adresse, Titel, Kontaktdaten, einschließlich E-Mail-Adresse), persönliche Interessen oder Präferenzen (einschließlich Kaufhistorie, Marketingpräferenzen und öffentlich zugängliche Profilinformationen in sozialen Medien); IT-Informationen (IP-Adressen, Nutzungsdaten, Cookie-Daten, Online-Navigationsdaten, Standortdaten, Browserdaten); finanzielle Informationen (Kreditkartendaten, Kontodaten, Zahlungsinformationen).

(g) Sensible Daten: Digidly möchte keine sensiblen Daten im Zusammenhang mit der Bereitstellung des Dienstes sammeln oder verarbeiten und tut dies auch nicht absichtlich.

(h) Bearbeitung von Vorgängen: Die Kundendaten werden in Übereinstimmung mit dem Vertrag (einschließlich dieser DSGVO) verarbeitet und können Gegenstand der folgenden Verarbeitungstätigkeiten sein:

  • Speicherung und sonstige Verarbeitung, die zur Bereitstellung, Aufrechterhaltung und Verbesserung des dem Kunden gemäß dem Vertrag bereitgestellten Dienstes erforderlich sind; und/oder
  • Offenlegungen im Einklang mit dem Abkommen und/oder nach geltendem Recht.

Anhang B

Alle in diesem Anhang B definierten Begriffe haben die ihnen in den SCC zugewiesene Bedeutung, sofern sie in diesem Anhang nicht anders definiert sind.

Anhang 3 zu den Standardvertragsklauseln

Dieser Anhang ist Teil der Klauseln und muss von den Parteien ausgefüllt werden.

In diesem Anhang wird die Auslegung der Parteien hinsichtlich ihrer jeweiligen Verpflichtungen aus den nachstehend aufgeführten Klauseln dargelegt. Hält sich eine Partei an die in diesem Anhang dargelegten Auslegungen, so geht die andere Partei davon aus, dass sie ihre Verpflichtungen aus den Klauseln erfüllt hat.

Für die Zwecke dieses Anhangs bedeutet "DPA" das zwischen dem Datenimporteur und dem Datenexporteur bestehende Addendum zur Datenverarbeitung, in das diese Klauseln aufgenommen werden, und "Abkommen" hat die Bedeutung, die ihm im DPA gegeben wird.

Klausel 5(a): Aussetzung der Datenübermittlung und Kündigung

  1. Die Parteien erkennen an, dass der Datenimporteur die personenbezogenen Daten nur im Auftrag des Datenexporteurs und unter Einhaltung der vom Datenexporteur erteilten Anweisungen sowie der Klauseln verarbeiten darf.
  2. Die Parteien erkennen an, dass der Datenimporteur den Datenexporteur unverzüglich darüber informiert, wenn er aus irgendeinem Grund nicht in der Lage ist, diese Anforderungen zu erfüllen; in diesem Fall ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder die Klauseln zu kündigen.
  3. Beabsichtigt der Datenexporteur, die Übermittlung personenbezogener Daten auszusetzen und/oder diese Klauseln zu kündigen, ist er bestrebt, den Datenimporteur davon in Kenntnis zu setzen und ihm eine angemessene Frist einzuräumen, um die Nichteinhaltung zu beheben ("Aushärtungszeit").
  4. Hat der Datenimporteur die Nichteinhaltung nach Ablauf der Frist nicht behoben oder kann er sie nicht beheben, kann der Datenexporteur die Übermittlung personenbezogener Daten unverzüglich aussetzen oder beenden. Der Datenexporteur ist nicht verpflichtet, eine solche Mitteilung zu machen, wenn er der Auffassung ist, dass ein erhebliches Risiko für die betroffenen Personen oder ihre personenbezogenen Daten besteht.

Klausel 5(f): Prüfung

  1. Der Datenexporteur erkennt an und erklärt sich damit einverstanden, dass er sein Audit-Recht gemäß Klausel 5 Buchstabe f ausübt, indem er den Datenimporteur anweist, die in Abschnitt 5 (Sicherheitsberichte und Audits) der DSGVO beschriebenen Audit-Maßnahmen einzuhalten.

Klausel 5(j): Offenlegung von Vereinbarungen mit Unterauftragsverarbeitern

  1. Die Parteien erkennen die Verpflichtung des Datenimporteurs an, dem Datenexporteur unverzüglich eine Kopie der von ihm im Rahmen der Klauseln abgeschlossenen Weiterverarbeitungsvereinbarung zu übermitteln.
  2. Die Parteien erkennen ferner an, dass es dem Datenimporteur aufgrund von Beschränkungen der Vertraulichkeit von Unterauftragsverarbeitern untersagt sein kann, dem Datenexporteur Weiterverarbeitungsverträge offenzulegen. Dessen ungeachtet bemüht sich der Datenimporteur in angemessener Weise, von jedem von ihm beauftragten Unterauftragsverarbeiter zu verlangen, dass er dem Datenexporteur die Offenlegung der Unterauftragsverarbeitervereinbarung gestattet.
  3. Selbst wenn der Datenimporteur dem Datenexporteur eine Unterverarbeitungsvereinbarung nicht offenlegen kann, vereinbaren die Parteien, dass der Datenimporteur auf Anfrage des Datenexporteurs (auf vertraulicher Basis) dem Datenexporteur alle Informationen zur Verfügung stellt, die er im Zusammenhang mit einer solchen Unterverarbeitungsvereinbarung vernünftigerweise erhalten kann.

Klausel 6: Haftung

  1. Alle Ansprüche, die aufgrund der Klauseln geltend gemacht werden, unterliegen den Bedingungen, einschließlich, aber nicht beschränkt auf die Ausschlüsse und Beschränkungen, die in der Vereinbarung festgelegt sind. In keinem Fall darf eine Partei ihre Haftung in Bezug auf die Rechte der betroffenen Personen gemäß diesen Klauseln einschränken.

Klausel 11: Weitergehende Unterverarbeitungen

  1. Die Parteien erkennen an, dass der Datenexporteur gemäß FAQ II.1 des Papiers WP 176 der Artikel-29-Datenschutzgruppe mit dem Titel "FAQs zur Klärung einiger Fragen, die durch das Inkrafttreten des Beschlusses 2010/87/EU der EU-Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gemäß der Richtlinie 95/46/EG aufgeworfen wurden" eine allgemeine Zustimmung zur Weiterverarbeitung durch den Datenimporteur erteilen kann.
  2. Dementsprechend erteilt der Datenexporteur dem Datenimporteur gemäß Klausel 11 dieser Klauseln eine allgemeine Einwilligung zur Beauftragung von Unterauftragsverarbeitern. Diese Zustimmung ist an die Bedingung geknüpft, dass der Datenimporteur die in Abschnitt 3 (Unterverarbeitungen) der DSGVO festgelegten Anforderungen erfüllt.