Datenverarbeitungszusatz

Diese Datenverarbeitungsvereinbarung („DPA“) wird zwischen Benchmark Email („Auftragsverarbeiter“ oder „Benchmark Email“) und dem Kunden („Auftragsverarbeiter“ oder „Benutzer“) geschlossen, der die Dienste von Benchmark Email (die „Dienste“) nutzt.

Diese DPA regelt die Verarbeitung personenbezogener Daten durch Benchmark Email im Auftrag des Verantwortlichen gemäß den in den Allgemeinen Geschäftsbedingungen von Benchmark Email dargelegten Bedingungen. Durch die Nutzung der Dienste erklärt sich der Verantwortliche mit den Bedingungen dieser DPA einverstanden, die Teil der gesamten Vertragsbeziehung zwischen den Parteien ist.

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Zweck der Bereitstellung der Dienste für den Verantwortlichen in Übereinstimmung mit den geltenden Datenschutzgesetzen, einschließlich der Datenschutz-Grundverordnung (DSGVO) und anderer relevanter Datenschutzgesetze.

Diese DPA spiegelt die gemeinsame Verpflichtung beider Parteien wider, die geltenden Datenschutzgesetze einzuhalten und die Sicherheit und Vertraulichkeit personenbezogener Daten zu gewährleisten. Alle in dieser DPA nicht definierten Begriffe haben die in den Allgemeinen Geschäftsbedingungen von Benchmark Email festgelegte Bedeutung.

1. Definitionen

Für die Zwecke dieser DPA haben die folgenden Begriffe die unten angegebenen Bedeutungen:

Kundendaten: Alle personenbezogenen Daten, die Benchmark Email im Auftrag des Kunden (Datenverantwortlicher) als Datenverarbeiter im Rahmen der Erbringung seiner Dienstleistung verarbeitet.

Datenverantwortlicher: Die Stelle, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten gemäß der Definition in der DSGVO festlegt. Im Rahmen dieser DPA ist der Verantwortliche der Kunde von Benchmark Email, der die personenbezogenen Daten, die mithilfe der Dienste verarbeitet werden, erhebt, besitzt und für diese verantwortlich ist.

Datenverarbeiter: Die Stelle, die personenbezogene Daten im Auftrag des Datenverantwortlichen gemäß der Definition in der DSGVO verarbeitet. Im Rahmen dieser DPA fungiert Benchmark Email als Datenverarbeiter.

Datenschutzgesetze: Alle geltenden Gesetze und Vorschriften, die die Verarbeitung personenbezogener Daten regeln, einschließlich der DSGVO, des California Consumer Privacy Act (CCPA) und anderer nationaler oder regionaler Datenschutzgesetze.

Betroffene Person: Eine identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten im Rahmen dieser DPA verarbeitet werden. Dies bezieht sich auf die Person, deren Daten erfasst, gespeichert und verarbeitet werden.

Europa/EU: Bezieht sich auf die Europäische Union (EU) oder den Europäischen Wirtschaftsraum (EWR), einschließlich aller EU-Mitgliedstaaten und Länder des EWR, die der DSGVO unterliegen.

DSGVO: Die Datenschutz-Grundverordnung (EU) 2016/679 in ihrer jeweils gültigen Fassung und alle anderen geltenden Datenschutzgesetze, die die Verarbeitung personenbezogener Daten im Europäischen Wirtschaftsraum (EWR) regeln.

Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wie in der DSGVO definiert. Dazu gehören unter anderem Namen, Kontaktinformationen und alle anderen Daten, die eine Person direkt oder indirekt identifizieren können.

Verletzung des Schutzes personenbezogener Daten: Eine Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf personenbezogene Daten führt, die übermittelt, gespeichert oder anderweitig verarbeitet werden.

Verarbeitung: Jeder Vorgang oder jede Reihe von Vorgängen, die mit personenbezogenen Daten durchgeführt werden, unabhängig davon, ob dies automatisiert oder auf andere Weise geschieht, einschließlich, aber nicht beschränkt auf die Erhebung, Speicherung, Abfrage, Verwendung, Offenlegung, Löschung oder Vernichtung personenbezogener Daten.

Dienste: Die E-Mail-Marketing- und damit verbundenen Dienste, die von Benchmark Email bereitgestellt werden, wie in den Allgemeinen Geschäftsbedingungen von Benchmark Email beschrieben, die der Verantwortliche abonniert und zur Verarbeitung personenbezogener Daten nutzt.

Unterauftragsverarbeiter: Jeder Dritte, der von Benchmark Email mit der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen beauftragt wird. Zu den Unterauftragsverarbeitern können Dienstleister, Auftragnehmer oder andere Unternehmen gehören, die Dienstleistungen im Zusammenhang mit der Verarbeitung personenbezogener Daten erbringen.

Standardvertragsklauseln (SCCs): Die von der Europäischen Kommission verabschiedeten Rechtsvorschriften, die die rechtmäßige Übermittlung personenbezogener Daten aus dem EWR in Drittländer außerhalb des EWR in Übereinstimmung mit den Anforderungen der DSGVO ermöglichen.

Bedingungen: Bezieht sich auf die Allgemeinen Geschäftsbedingungen und alle damit verbundenen Richtlinien, auf die hierin Bezug genommen wird, einschließlich unserer Datenschutzrichtlinie, Anti-Spam-Richtlinie und aller anderen Dokumente, auf die Bezug genommen wird.

Anhang für das Vereinigte Königreich: Die Bestimmungen, die die Einhaltung der britischen Datenschutzgesetze für Datenübertragungen aus dem Vereinigten Königreich gemäß der britischen DSGVO nach dem Brexit gewährleisten.

US-Datenschutzgesetze: Bezieht sich auf die in den Vereinigten Staaten geltenden Datenschutzgesetze, einschließlich des California Consumer Privacy Act (CCPA) und anderer Bundes- und Landesgesetze zum Datenschutz.

2. Rollen und Verantwortlichkeiten

In diesem Abschnitt werden die Rollen und Verantwortlichkeiten sowohl des Kunden als auch von Benchmark Email bei der Verarbeitung von Kundendaten im Rahmen dieser DPA beschrieben.

2.1 Rolle des Kunden

Der Kunde ist die Stelle, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt und somit der Datenverantwortliche gemäß den geltenden Datenschutzgesetzen, einschließlich der DSGVO, ist. Der Kunde hat die folgenden wesentlichen Verantwortlichkeiten:

• Rechtsgrundlage für die Verarbeitung: Der Kunde ist dafür verantwortlich, sicherzustellen, dass die Verarbeitung personenbezogener Daten gemäß den geltenden Datenschutzgesetzen rechtmäßig ist. Dazu gehört auch, alle erforderlichen Einwilligungen von den betroffenen Personen einzuholen und sicherzustellen, dass der Kunde berechtigt ist, personenbezogene Daten zur Verarbeitung an Benchmark Email weiterzugeben.
• Erteilung von Anweisungen: Der Kunde erteilt Benchmark Email klare und rechtmäßige Anweisungen für die Verarbeitung von Kundendaten im Rahmen der Erbringung der Dienstleistung. Benchmark Email verarbeitet Kundendaten nur in Übereinstimmung mit diesen Anweisungen, wie in dieser DPA dargelegt.
• Rechte der betroffenen Personen: Der Kunde ist dafür verantwortlich, die Rechte der betroffenen Personen, wie z. B. das Recht auf Zugang, Berichtigung, Löschen und Datenübertragbarkeit, in Übereinstimmung mit den geltenden Datenschutzgesetzen zu erfüllen. Benchmark Email unterstützt den Kunden bei der Erfüllung dieser Anforderungen nach Bedarf.
• Einhaltung der Datenschutzgesetze: Der Kunde ist dafür verantwortlich, sicherzustellen, dass die personenbezogenen Daten, die er Benchmark Email zur Verfügung stellt, in Übereinstimmung mit den geltenden Datenschutzgesetzen erhoben, verarbeitet und übertragen werden.
• Benachrichtigung über Datenschutzverletzungen: Der Kunde muss Benchmark Email unverzüglich benachrichtigen, wenn er Kenntnis von einer Datenschutzverletzung erhält, die seine personenbezogenen Daten betrifft.

2.2 Rolle von Benchmark Email

Benchmark Email verarbeitet als Datenverarbeiter Kundendaten im Auftrag des Kunden gemäß den bereitgestellten Anweisungen. Der Verarbeiter hat die folgenden wesentlichen Aufgaben:

• Verarbeitungsanweisungen: Benchmark Email verarbeitet Kundendaten nur gemäß den Anweisungen des Kunden zum Zweck der Erbringung der vereinbarten Dienstleistung. Benchmark Email verarbeitet personenbezogene Daten nicht für andere Zwecke, es sei denn, dies ist nach geltendem Recht erforderlich. Eine detaillierte Beschreibung der spezifischen Datenverarbeitungsaktivitäten, einschließlich der Typen von Daten, betroffenen Personen und Verarbeitungsvorgängen, finden Sie in Anhang 1: Details zur Datenverarbeitung.
• Unterauftragsverarbeiter: Benchmark Email kann Unterauftragsverarbeiter mit der Verarbeitung von Kundendaten beauftragen. Der Kunde stimmt der Beauftragung von Unterauftragsverarbeitern durch Benchmark Email zu. Benchmark Email stellt eine Liste der zugelassenen Unterauftragsverarbeiter in Anhang 3: Liste der Unterauftragsverarbeiter zur Verfügung und benachrichtigt den Kunden über alle Änderungen an dieser Liste.
• Sicherheit personenbezogener Daten: Benchmark Email ergreift geeignete technische und organisatorische Maßnahmen, um die Sicherheit und Vertraulichkeit personenbezogener Daten zu gewährleisten.
• Unterstützung bei der Wahrung der Rechte betroffener Personen: Benchmark Email unterstützt den Kunden bei der Beantwortung von Anfragen betroffener Personen, einschließlich Anfragen bezüglich Zugriff, Berichtigung, Löschung und Datenübertragbarkeit.
• Benachrichtigung bei Datenschutzverletzungen: Benchmark Email benachrichtigt den Kunden unverzüglich über jede Verletzung des Schutzes personenbezogener Daten, die Kundendaten betrifft. Diese Benachrichtigung erfolgt ohne unangemessene Verzögerung und, soweit möglich, innerhalb von 72 Stunden.
• Einhaltung der Datenschutzgesetze: Benchmark Email hält bei der Verarbeitung personenbezogener Daten alle geltenden Datenschutzgesetze, einschließlich der DSGVO, ein.

2.3 Gemeinsame Verantwortlichkeiten

Obwohl der Kunde und Benchmark Email jeweils ihre eigenen unterschiedlichen Rollen haben, teilen beide Parteien die Verantwortung, sicherzustellen, dass personenbezogene Daten in Übereinstimmung mit den geltenden Datenschutzgesetzen verarbeitet werden. Beide Parteien vereinbaren Folgendes:

• Prüfung und Überwachung: Der Kunde kann Informationen oder Prüfungen anfordern, um zu überprüfen, ob die Verarbeitung in Übereinstimmung mit dieser DPA erfolgt. Benchmark Email wird angemessenen Zugang und Unterstützung gewähren, um solche Prüfungen oder Überwachungen zu erleichtern.
• Einhaltung der Datenübertragungsvorschriften: Beide Parteien stellen sicher, dass jede grenzübergreifende Übertragung personenbezogener Daten den einschlägigen Datenschutzgesetzen entspricht, einschließlich der Verwendung von Standardvertragsklauseln (SCCs) oder anderen rechtlichen Mechanismen für grenzübergreifende Datenübertragungen.
• Zusammenarbeit: Der Kunde und Benchmark Email arbeiten zusammen, um alle Bedenken im Zusammenhang mit der Verarbeitung personenbezogener Daten auszuräumen und die Einhaltung der geltenden Gesetze sicherzustellen.

2.4 Anweisungen zur Datenverarbeitung

Benchmark Email verarbeitet personenbezogene Daten nur gemäß den Anweisungen des Kunden. Wenn Benchmark Email der Ansicht ist, dass eine Anweisung des Kunden rechtswidrig ist, wird Benchmark Email den Kunden unverzüglich darüber informieren.

3. Sicherheit

Benchmark Email wird geeignete technische und organisatorische Maßnahmen implementieren und aufrechterhalten, um ein Sicherheitsniveau zu gewährleisten, das dem mit der Verarbeitung personenbezogener Daten verbundenen Risiko angemessen ist, einschließlich der in Anhang 2: „Sicherheitsmaßnahmen” beschriebenen Maßnahmen. Diese Maßnahmen dienen dem Schutz personenbezogener Daten vor unbefugter oder unrechtmäßiger Verarbeitung, versehentlichem Verlust, Zerstörung oder Beschädigung und der Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit der Daten.

3.1 Vertraulichkeit

Benchmark Email stellt sicher, dass alle Personen, die es zur Verarbeitung personenbezogener Daten autorisiert, einer Vertraulichkeitspflicht unterliegen, sei es aufgrund einer vertraglichen Verpflichtung oder aufgrund gesetzlicher Vorschriften, um die Vertraulichkeit personenbezogener Daten zu schützen.

3.2 Verantwortlichkeiten des Kunden

Der Kunde erkennt an, dass er dafür verantwortlich ist, sicherzustellen, dass alle personenbezogenen Daten, die er Benchmark Email zur Verfügung stellt, in Übereinstimmung mit den geltenden Datenschutzgesetzen erhoben, verarbeitet und übertragen werden. Der Kunde ist dafür verantwortlich, die von Benchmark Email zur Verfügung gestellten Informationen zur Datensicherheit zu überprüfen und unabhängig zu entscheiden, ob die Dienste den Anforderungen des Kunden und den gesetzlichen Verpflichtungen gemäß den Datenschutzgesetzen entsprechen.

Der Kunde verpflichtet sich:

• die Vertraulichkeit aller Anmeldedaten oder anderer Authentifizierungsinformationen, die für den Zugriff auf die Dienste erforderlich sind, zu wahren
• geeignete Sicherheitsmaßnahmen auf seinen eigenen Systemen und Geräten zu implementieren, um personenbezogene Daten zu schützen und unbefugten Zugriff zu verhindern.

3.3 Sicherheitsupdates

Benchmark Email wird Verfahren zur Aktualisierung und Verbesserung seiner Sicherheitsmaßnahmen implementieren. Diese Aktualisierungen können Verbesserungen der Technologie, der Systeme oder der Prozesse umfassen, die darauf abzielen, die Sicherheit personenbezogener Daten zu erhöhen. Benchmark Email wird den Kunden benachrichtigen, wenn kritische Sicherheitsupdates oder Patches angewendet werden, die sich auf die Nutzung der Dienste durch den Kunden auswirken können.

3.4 Reaktion auf Sicherheitsvorfälle

Im Falle einer Verletzung des Schutzes personenbezogener Daten wird Benchmark Email den Kunden unverzüglich benachrichtigen und mit ihm bei der Bewältigung der Verletzung zusammenarbeiten, einschließlich der Bereitstellung relevanter Informationen, um gegebenenfalls bei der erforderlichen Benachrichtigung der betroffenen Personen oder Aufsichtsbehörden zu helfen. Benchmark Email wird seine internen Verfahren zur Reaktion auf Vorfälle befolgen, um den durch die Verletzung verursachten Schaden zu mindern und zukünftige Vorfälle zu verhindern.

4. Unterauftragsverarbeiter

Benchmark Email kann Unterauftragsverarbeiter beauftragen, bestimmte Verarbeitungsaktivitäten im Namen des Kunden durchzuführen. Unterauftragsverarbeiter sind Drittanbieter, die Benchmark Email bei der Bereitstellung der Dienste und der Ausführung bestimmter Aufgaben im Zusammenhang mit der Verarbeitung personenbezogener Daten unterstützen.

4.1 Einsatz von Unterauftragsverarbeitern

Benchmark Email kann Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten im Zusammenhang mit der für den Kunden erbrachten Dienstleistung beauftragen, sofern Benchmark Email sicherstellt, dass die Unterauftragsverarbeiter die gleichen Datenschutzverpflichtungen einhalten, die in dieser DPA festgelegt sind.

4.2 Genehmigung von Unterauftragsverarbeitern

Der Kunde erklärt sich damit einverstanden, dass Benchmark Email Unterauftragsverarbeiter beauftragen kann, um bei der Verarbeitung personenbezogener Daten im Zusammenhang mit den Diensten zu helfen. Benchmark Email führt eine aktuelle Liste der Unterauftragsverarbeiter, wie in Anhang 3: Liste der Unterauftragsverarbeiter beschrieben. Benchmark Email benachrichtigt den Kunden über neue Unterauftragsverarbeiter oder Änderungen an der Liste innerhalb der gemäß der DSGVO zulässigen Höchstfrist.

Der Kunde hat das Recht, der Beauftragung eines neuen Unterauftragsverarbeiters zu widersprechen, wenn berechtigte Bedenken hinsichtlich des Datenschutzes bestehen. Der Kunde muss etwaige Einwände schriftlich bei Benchmark Email einreichen. Wenn der Kunde Einwände erhebt, wird Benchmark Email mit dem Kunden zusammenarbeiten, um die Bedenken auszuräumen, was die Suche nach einem alternativen Unterauftragsverarbeiter oder andere angemessene Maßnahmen zur Lösung des Problems umfassen kann.

4.3 Pflichten der Unterauftragsverarbeiter

Benchmark Email stellt sicher, dass alle beauftragten Unterauftragsverarbeiter vertraglich an Bedingungen gebunden sind, die ein gleichwertiges Maß an Datenschutz und Sicherheitsverpflichtungen wie in dieser DPA festgelegt gewährleisten. Dazu gehören Verpflichtungen hinsichtlich der Vertraulichkeit, Sicherheit und ordnungsgemäßen Verarbeitung personenbezogener Daten.

4.4 Haftung für Unterauftragsverarbeiter

Benchmark Email ist für die Aktionen und Unterlassungen seiner Unterauftragsverarbeiter im Zusammenhang mit der Erfüllung dieser DPA in demselben Umfang verantwortlich, wie es bei der direkten Erbringung der Dienstleistungen haftbar wäre. Im Falle der Nichteinhaltung der Datenschutzverpflichtungen durch einen Unterauftragsverarbeiter wird Benchmark Email angemessene Maßnahmen ergreifen, um die Situation zu beheben und mögliche Schäden für den Kunden zu mindern.

5. Rechte der betroffenen Personen

Benchmark Email unterstützt den Kunden (den Datenverantwortlichen) bei der Erfüllung seiner Verpflichtungen gemäß der DSGVO in Bezug auf die Rechte der betroffenen Personen.

Der Kunde bleibt für die Beantwortung von Anfragen betroffener Personen verantwortlich, und Benchmark Email wird ihn dabei auf folgende Weise unterstützen:

• Als Teil der Dienstleistung stellt Benchmark Email dem Kunden eine Reihe von Funktionen zur Verfügung, mit denen der Kunde personenbezogene Daten abrufen, korrigieren, löschen oder deren Verwendung einschränken kann, um seinen Verpflichtungen gemäß den Datenschutzgesetzen in Bezug auf die Beantwortung von Anfragen betroffener Personen nachzukommen.
• Recht auf Zugang: Benchmark Email unterstützt den Kunden dabei, betroffenen Personen auf Anfrage Zugang zu ihren personenbezogenen Daten zu gewähren.
• Recht auf Berichtigung: Benchmark Email hilft dem Kunden dabei, unrichtige oder unvollständige personenbezogene Daten zu aktualisieren oder zu korrigieren.
• Recht auf Löschung: Benchmark Email unterstützt den Kunden bei der Erfüllung der Anfrage einer betroffenen Person, ihre personenbezogenen Daten zu löschen, sofern dies gemäß der DSGVO zutrifft.
• Recht auf Einschränkung der Verarbeitung: Benchmark Email unterstützt den Kunden, wenn eine betroffene Person die Einschränkung der Verarbeitung ihrer personenbezogenen Daten beantragt.
• Recht auf Datenübertragbarkeit: Benchmark Email stellt personenbezogene Daten in einem strukturierten, maschinenlesbaren Format zur Verfügung, wie vom Kunden gewünscht, in Übereinstimmung mit dem Recht der betroffenen Person auf Datenübertragbarkeit.
• Widerspruchsrecht: Benchmark Email unterstützt den Kunden bei der Beantwortung von Widersprüchen betroffener Personen gegen die Verarbeitung ihrer personenbezogenen Daten.

Benchmark Email wird den Kunden unverzüglich über alle direkt von betroffenen Personen eingegangenen Anfragen informieren, sofern dies nicht gesetzlich verboten ist, und wird ihn bei der Bearbeitung dieser Anfragen gemäß den Anweisungen des Kunden unterstützen.

Benchmark Email wird außerdem sicherstellen, dass bei der Bearbeitung und Beantwortung von Anfragen zu den Rechten betroffener Personen angemessene Sicherheitsmaßnahmen getroffen werden.

6. Benachrichtigung bei Datenschutzverletzungen

Im Falle einer Verletzung des Schutzes personenbezogener Daten benachrichtigt Benchmark Email den Kunden unverzüglich und ohne unnötige Verzögerung, spätestens jedoch 72 Stunden nach Bekanntwerden der Verletzung, wie es die DSGVO vorschreibt. Die Benachrichtigung enthält, soweit verfügbar, die folgenden Informationen:

• Eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, einschließlich der Kategorien der betroffenen personenbezogenen Daten und der ungefähren Anzahl der betroffenen Personen und personenbezogenen Einträge.
• Die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten.
• Eine Beschreibung der Maßnahmen, die Benchmark Email ergriffen hat oder zu ergreifen beabsichtigt, um die Verletzung des Schutzes personenbezogener Daten zu beheben, einschließlich Maßnahmen zur Minderung möglicher nachteiliger Auswirkungen.

Wenn Benchmark Email nicht innerhalb von 72 Stunden alle erforderlichen Informationen bereitgestellt hat, wird es eine Erklärung für die Verzögerung liefern.

Benchmark Email wird mit dem Kunden bei der Bewältigung der Verletzung zusammenarbeiten, einschließlich der Bereitstellung angemessener Unterstützung bei allen erforderlichen Benachrichtigungen an betroffene Personen und zuständige Aufsichtsbehörden gemäß der DSGVO. Benchmark Email wird den Kunden auch bei der Bereitstellung aller erforderlichen Unterlagen im Zusammenhang mit der Verletzung unterstützen.

Die Benachrichtigung und Unterstützung erfolgt in einer Weise, die es dem Kunden ermöglicht, seinen Verpflichtungen gemäß der DSGVO nachzukommen, einschließlich der Einhaltung der Fristen für die Benachrichtigung über die Verletzung.

7. Internationale Übermittlungen

Benchmark Email kann personenbezogene Daten überall auf der Welt verarbeiten, auch in Ländern außerhalb des Europäischen Wirtschaftsraums (EWR), in denen das Datenschutzniveau möglicherweise nicht dem des EWR entspricht. In allen Fällen stellt Benchmark Email sicher, dass angemessene Sicherheitsvorkehrungen zum Schutz personenbezogener Daten in Übereinstimmung mit der DSGVO und anderen geltenden Datenschutzgesetzen getroffen werden.

7.1 Angemessenheitsbeschlüsse

Wenn Benchmark Email personenbezogene Daten in ein Land übermittelt, das von der Europäischen Kommission oder den zuständigen Behörden als Land mit einem angemessenen Schutzniveau für personenbezogene Daten anerkannt ist, sind keine zusätzlichen Schutzmaßnahmen erforderlich. Die Liste dieser Länder finden Sie auf der Website der Europäischen Kommission.

7.2 Standardvertragsklauseln (SCCs)

Gegebenenfalls verwendet Benchmark Email von der Europäischen Provision genehmigte Standardvertragsklauseln (SCCs), um die konforme Übermittlung personenbezogener Daten in Länder außerhalb des EWR zu erleichtern. Einzelheiten finden Sie in Anhang 4: Standardvertragsklauseln.

7.3 Datenübermittlungen im Vereinigten Königreich

In Bezug auf Übermittlungen, für die die britischen Datenschutzgesetze gelten, finden die SCCs, soweit anwendbar, Anwendung und gelten als gemäß dem britischen Nachtrag geändert. Der britische Nachtrag gilt als von den Parteien unterzeichnet und ist Bestandteil dieser DPA. Darüber hinaus gelten die entsprechenden Tabellen im britischen Nachtrag als mit den in den Anhängen I und II der entsprechenden SCCs enthaltenen Informationen ausgefüllt.

7.4 Datenübermittlungen in die Schweiz

In Bezug auf Übermittlungen, für die die Schweizer Datenschutzgesetze gelten, finden die SCCs, soweit anwendbar, mit den folgenden Änderungen Anwendung:

• Verweise auf die „Verordnung (EU) 2016/679“ sind als Verweise auf das Schweizer Datenschutzgesetz zu verstehen.
• Verweise auf bestimmte Artikel der „Verordnung (EU) 2016/679“ werden durch den entsprechenden Artikel oder Abschnitt des Schweizer Datenschutzgesetzes ersetzt.
• Verweise auf „EU“, „Union“ und „Recht der Mitgliedstaaten“ werden durch „Schweiz“ ersetzt.
• Weitere Änderungen können gemäß den Anforderungen des Schweizer Rechts gelten.

7.5 Zusätzliche Sicherheitsvorkehrungen

Wenn Benchmark Email personenbezogene Daten in einer Gerichtsbarkeit verarbeitet, die nicht unter eine Angemessenheitsentscheidung oder SCCs fällt, können zusätzliche Sicherheitsvorkehrungen getroffen werden, wie z. B. verbindliche Unternehmensregeln (BCRs), genehmigte Verhaltenskodizes oder Zertifizierungen, um sicherzustellen, dass personenbezogene Daten in Übereinstimmung mit der DSGVO geschützt bleiben.

7.6 Datenübermittlungen an Unterauftragsverarbeiter

Wenn Benchmark Email Unterauftragsverarbeiter außerhalb des EWR beauftragt, stellt Benchmark Email sicher, dass die Unterauftragsverarbeiter denselben Schutzmaßnahmen für internationale Datenübermittlungen unterliegen, einschließlich der Verwendung von SCCs oder anderen anerkannten Übermittlungsmechanismen.

8. Datenspeicherung und -löschung

Benchmark Email speichert personenbezogene Daten nur so lange, wie es zur Erfüllung der Zwecke, für die sie erhoben wurden, erforderlich ist, in Übereinstimmung mit den Bestimmungen dieser DPA, den Anweisungen des Kunden und den geltenden Gesetzen.

8.1 Aufbewahrungsfrist

Benchmark Email speichert personenbezogene Daten für die Dauer des Vertrags mit dem Kunden, es sei denn, eine längere Aufbewahrungsfrist ist nach geltendem Recht erforderlich oder zulässig. Nach Ablauf der Aufbewahrungsfrist löscht oder anonymisiert Benchmark Email personenbezogene Daten gemäß seinen internen Richtlinien zur Datenaufbewahrung.

8.2 Löschung oder Rückgabe bei Kündigung

Bei Kündigung oder Ablauf der Bedingungen ergreift Benchmark Email angemessene Maßnahmen, um dem Kunden (nach Wahl des Kunden) Tools zur Verfügung zu stellen, mit denen er alle Kundendaten, die sich im Besitz oder unter der Kontrolle von Benchmark Email befinden, löschen oder zurückgeben kann. Diese Verpflichtung gilt nicht, soweit Benchmark Email nach geltendem Recht oder Branchenvorschriften verpflichtet ist, einige oder alle Kundendaten oder auf Backup-Systemen archivierte Kundendaten aufzubewahren. In solchen Fällen wird Benchmark Email die Kundendaten sicher isolieren, vor weiterer Verarbeitung schützen und schließlich gemäß den Löschrichtlinien von Benchmark Email löschen, sofern dies nicht nach geltendem Recht erforderlich ist.

8.3 Laufende Datenaufbewahrung aufgrund gesetzlicher Verpflichtungen

Wenn Benchmark Email aufgrund geltender Gesetze verpflichtet ist, bestimmte personenbezogene Daten über die Laufzeit der Vereinbarung hinaus aufzubewahren, stellt Benchmark Email sicher, dass diese Daten nur so lange aufbewahrt werden, wie es zur Erfüllung der gesetzlichen Verpflichtungen erforderlich ist.

8.4 Löschungsprozess

Sobald die personenbezogenen Daten gelöscht sind, unternimmt Benchmark Email angemessene Schritte, um sicherzustellen, dass die Daten sicher gelöscht werden und nicht wiederhergestellt werden können, es sei denn, die Daten müssen aus rechtlichen, regulatorischen oder geschäftlichen Gründen aufbewahrt werden.

9. Änderungen und Aktualisierungen

Benchmark Email kann diese DPA von Zeit zu Zeit aktualisieren oder ändern, um Änderungen der Datenschutzgesetze, regulatorischen Anforderungen oder der angebotenen Dienste Rechnung zu tragen. Alle derartigen Änderungen werden dem Kunden mitgeteilt.

9.1 Benachrichtigung über Änderungen

Benchmark Email wird den Kunden rechtzeitig über wesentliche Änderungen dieser DPA informieren. Die Benachrichtigung kann je nach Art der Änderung per E-Mail, über das Konto des Kunden oder auf andere angemessene Weise erfolgen. Der Kunde gilt als mit der aktualisierten DPA einverstanden, wenn er die Dienste von Benchmark Email nach dem Datum des Inkrafttretens der Aktualisierung weiterhin nutzt.

9.2 Änderungen

Wenn eine Änderung aus rechtlichen oder regulatorischen Gründen erforderlich ist, kann Benchmark Email diese DPA ohne vorherige Benachrichtigung des Kunden aktualisieren, vorausgesetzt, dass der Kunde so schnell wie möglich benachrichtigt wird.

9.3 Geltendes Recht und Gerichtsbarkeit

Alle Änderungen an dieser DPA unterliegen denselben Bedingungen, einschließlich der Bestimmungen zum geltenden Recht und zur Gerichtsbarkeit, die in den Allgemeinen Geschäftsbedingungen zwischen Benchmark Email und dem Kunden festgelegt sind.

10. Haftung

10.1 Haftung

Die Haftung jeder Partei und aller ihrer verbundenen Unternehmen, die sich aus oder im Zusammenhang mit dieser DPA (einschließlich der SCCs) ergibt, unterliegt den in den Allgemeinen Geschäftsbedingungen zwischen Benchmark Email und dem Kunden festgelegten Haftungsausschlüssen und -beschränkungen.

10.2 Ausschließlichkeit von Ansprüchen

Alle Ansprüche gegen Benchmark Email oder seine verbundenen Unternehmen im Rahmen oder im Zusammenhang mit dieser DPA (einschließlich, soweit zutreffend, der SCCs) können ausschließlich von dem Kundenunternehmen geltend gemacht werden, das Vertragspartei ist, sofern nicht durch geltendes Recht anders vorgeschrieben.

10.3 Datenschutzrechte

In keinem Fall darf eine Partei ihre Haftung in Bezug auf die Datenschutzrechte einer Person gemäß dieser DPA oder anderweitig in dem Umfang beschränken, wie es die DSGVO oder geltende Datenschutzgesetze vorschreiben.

11. Beziehung zu den Allgemeinen Geschäftsbedingungen

Diese DPA ist integraler Bestandteil der Allgemeinen Geschäftsbedingungen zwischen Benchmark Email und dem Kunden. Im Falle eines Widerspruchs zwischen den Bestimmungen dieser DPA und den Allgemeinen Geschäftsbedingungen haben die Bestimmungen dieser DPA in Bezug auf die Verarbeitung personenbezogener Daten Vorrang.

11.1 Laufzeit und Kündigung

Diese DPA bleibt so lange in Kraft, wie Benchmark Email Kundendaten im Auftrag des Kunden verarbeitet oder bis zur Beendigung der Bedingungen zwischen Benchmark Email und dem Kunden (und alle Kundendaten gemäß Abschnitts 8.2 oben zurückgegeben oder gelöscht wurden).

11.2 Geltendes Recht

Diese DPA unterliegt den Bestimmungen zum geltenden Recht und zur Gerichtsbarkeit in den Nutzungsbedingungen und ist entsprechend auszulegen, sofern die geltenden Datenschutzgesetze nichts anderes vorschreiben.

11.3 Aktuelle Version

Die Parteien vereinbaren, dass diese DPA alle bestehenden Datenverarbeitungsvereinbarungen oder ähnlichen Dokumente ersetzt, die die Parteien zuvor im Zusammenhang mit dem Dienst geschlossen haben.

12. Sonstiges

12.1 Höhere Gewalt

Benchmark Email haftet nicht für Ausfälle oder Verzögerungen bei der Erfüllung dieser DPA aufgrund von Umständen, die außerhalb seiner angemessenen Kontrolle liegen, einschließlich, aber nicht beschränkt auf Naturkatastrophen, Krieg, Terrorismus, Regierungsmaßnahmen, Stromausfälle oder andere Ereignisse höherer Gewalt. Weitere Einzelheiten finden Sie in der Bestimmung zu höherer Gewalt in den Allgemeinen Geschäftsbedingungen.

12.2 Salvatorische Klausel

Sollte eine Bestimmung dieser DPA von einem zuständigen Gericht für ungültig, rechtswidrig oder nicht durchsetzbar befunden werden, bleiben die übrigen Bestimmungen in vollem Umfang in Kraft und wirksam.

12.3 Gesamte Vereinbarung

Diese DPA bildet zusammen mit den Allgemeinen Geschäftsbedingungen und allen anderen durch Verweis einbezogenen Vereinbarungen die gesamte Vereinbarung zwischen den Parteien in Bezug auf die Verarbeitung personenbezogener Daten. Alle früheren Vereinbarungen, Absprachen oder Zusicherungen im Zusammenhang mit dem Gegenstand dieser DPA werden durch diese DPA ersetzt und aufgehoben. Weitere Einzelheiten finden Sie in der Bestimmung zur gesamten Vereinbarung in den Allgemeinen Geschäftsbedingungen.

12.4 Verzicht

Unser Versäumnis, ein Recht oder eine Bestimmung dieser DPA durchzusetzen, stellt keinen Verzicht auf dieses Recht oder diese Bestimmung dar. Jeder Verzicht muss schriftlich erfolgen, um wirksam zu sein.

12.5 Streitbeilegung

Alle Streitigkeiten, die sich aus oder im Zusammenhang mit dieser DPA ergeben, werden gemäß den in den Allgemeinen Geschäftsbedingungen festgelegten Bestimmungen zur Streitbeilegung beigelegt.

12.6 Abtretung

Sie dürfen diese Bedingungen oder Ihre Rechte aus ihnen ohne vorherige schriftliche Zustimmung von Benchmark Email nicht abtreten oder übertragen. Wir können diese Bedingungen ohne Einschränkung abtreten oder übertragen, auch im Falle einer Fusion, einer Übernahme oder eines Verkaufs von Vermögenswerten.

12.7 Sprache

Diese DPA ist in englischer Sprache verfasst, und alle Übersetzungen dienen lediglich der Übersichtlichkeit. Bei Abweichungen zwischen der englischen Version und einer übersetzten Version ist die englische Version maßgebend.

12.8 Keine Drittbegünstigten

Diese DPA dient dem Nutzen der Vertragsparteien und beabsichtigt nicht, Dritten Rechte oder Vorteile zu übertragen, sofern hierin nicht anders angegeben.

Anhang 1: Details zur Datenverarbeitung

1. Zweck der Datenverarbeitung

Der Zweck der Verarbeitung personenbezogener Daten ist die Bereitstellung der in den Allgemeinen Geschäftsbedingungen beschriebenen Dienste.

2. Art der Verarbeitung

Benchmark Email bietet E-Mail-Marketing- und Automatisierungssoftware als Dienstleistung sowie andere damit verbundene Dienste an, wie in den Allgemeinen Geschäftsbedingungen beschrieben. Gegenstand der Datenverarbeitung im Rahmen dieser DPA sind die Kundendaten. Kundendaten werden in Übereinstimmung mit den Allgemeinen Geschäftsbedingungen (einschließlich dieser DPA) verarbeitet.

3. Datenkategorien

Die folgenden Kategorien personenbezogener Daten können verarbeitet werden:

• Kontaktinformationen: Name, E-Mail-Adresse, Telefonnummer und alle anderen Informationen, die der Kunde Benchmark Email zur Verfügung stellt.
• Rechnungsinformationen des Kunden: Rechnungsadresse, Kreditkartendaten, andere Zahlungsinformationen.
• Kundenpräferenzen: E-Mail-Abonnementstatus, Marketingpräferenzen usw.
• Verhaltensdaten: IP-Adresse, Navigationsdaten, Browserdaten, Cookie-Daten, Interaktion mit E-Mails, Klickraten usw.

4. Betroffene Personen

Zu den betroffenen Personen, deren personenbezogene Daten verarbeitet werden, gehören:

• Kunden, die die Dienste nutzen;
• Abonnenten, Kunden und potenzielle Kunden des Kunden;
• Personen, die mit den E-Mail-Kampagnen des Kunden interagieren, einschließlich Besucher seiner Website oder Empfänger von Marketing-E-Mails.

5. Verarbeitungsaktivitäten

Die folgenden Verarbeitungsaktivitäten werden mit personenbezogenen Daten durchgeführt:

• Datenerfassung über Formulare, E-Mail-Kampagnen und Integration;
• Datenspeicherung, einschließlich der Aufbewahrung von Kontakt- und Interaktionsinformationen;Datenanalyse für Berichterstellung und Kampagnenoptimierung;
• Übermittlung von Kundendaten für Marketingzwecke (z. B. Senden von E-Mails).

6. Datenaufbewahrung

Benchmark Email verarbeitet Kundendaten für die Dauer der Dienste, wie in den Allgemeinen Geschäftsbedingungen beschrieben. Die Aufbewahrung personenbezogener Daten erfolgt gemäß der Datenaufbewahrungsrichtlinie von Benchmark Email, wie in Abschnitte 8 dieser DPA beschrieben.

7. Datenübertragungen

Alle Datenübertragungen, insbesondere grenzüberschreitende Datenübertragungen, unterliegen den Bestimmungen von Abschnitt 7. Internationale Übertragungen oder Anhang 4: Standardvertragsklauseln (SCCs).

8. Unterauftragsverarbeiter

Die Liste der von Benchmark Email für Datenverarbeitungsaktivitäten beauftragten Unterauftragsverarbeiter ist in Anhang 3: Liste der Unterauftragsverarbeiter aufgeführt.

Anhang 2: Sicherheitsmaßnahmen

Die für den Dienst geltenden Sicherheitsmaßnahmen sind hierin beschrieben.

1. Organisatorische Sicherheitsmaßnahmen

• Datenschutzbeauftragter (DPO): Benchmark Email hat einen DPO benannt, der die Einhaltung der DSGVO und anderer Datenschutzbestimmungen überwacht.
• Mitarbeiterschulung: Alle Mitarbeiter, die an der Verarbeitung personenbezogener Daten beteiligt sind, werden normalerweise zu Datenschutzgrundsätzen wie Vertraulichkeit, Integrität und Sicherheit geschult.
• Zugriffskontrolle: Der Zugriff auf personenbezogene Daten ist auf autorisierte Mitarbeiter beschränkt, je nach ihrer Funktion. Alle Zugriffe werden protokolliert und überwacht, um die Nachvollziehbarkeit zu gewährleisten.

2. Technische Sicherheitsmaßnahmen

• Verschlüsselung: Personenbezogene Daten werden sowohl während der Übertragung als auch im Ruhezustand mit branchenüblichen Verschlüsselungsprotokollen verschlüsselt (z. B. SSL/TLS für Daten während der Übertragung und AES für Daten im Ruhezustand).
• Datenintegrität: Wir implementieren Maßnahmen zur Gewährleistung der Integrität personenbezogener Daten, darunter Prüfsummen und Hash-Funktionen zur Überprüfung der Richtigkeit der Daten während der Übertragung und Speicherung.
• Änderungskontrolle: Benchmark Email unterhält Richtlinien und Verfahren für die Anwendung von Änderungen an den Diensten, einschließlich der zugrunde liegenden Infrastruktur und Systemkomponenten, um sicherzustellen, dass die Qualitätsstandards eingehalten werden.
• Datenanonymisierung: Wo dies möglich ist, verwendet Benchmark Email Anonymisierungstechniken, um sicherzustellen, dass sensible personenbezogene Daten nicht unnötig offengelegt werden.

3. Reaktion auf Vorfälle

• Management von Sicherheitsverletzungen: Benchmark Email hat Verfahren zur Erkennung, Meldung und Verwaltung von Sicherheitsverletzungen eingerichtet. Im Falle einer Datenverletzung werden wir den Kunden gemäß dem Abschnitt „Benachrichtigung über Datenverletzungen” der DPA unverzüglich benachrichtigen.
• Protokollierung von Vorfällen: Alle Sicherheitsvorfälle werden protokolliert, und die Protokolle werden normalerweise überprüft, um sicherzustellen, dass potenzielle Bedrohungen identifiziert und behoben werden.

4. Systemverfügbarkeit

• Redundanz und Sicherung: Benchmark Email setzt Redundanzmaßnahmen ein, darunter geografisch verteilte Rechenzentren und Sicherungssysteme, um sicherzustellen, dass Kundendaten auch im Falle eines Ausfalls verfügbar bleiben.
• Notfallwiederherstellung: Wir verfügen über einen Notfallwiederherstellungsplan, der regelmäßig getestet wird, um sicherzustellen, dass bei einem größeren Ausfall oder einer Katastrophe die Unterbrechung der Dienste und der Datenverarbeitung so gering wie möglich ist.

5. Kontinuierliche Überwachung und Verbesserung

• Schwachstellenmanagement: Benchmark Email führt regelmäßig Schwachstellenanalysen und Penetrationstests durch, um potenzielle Sicherheitslücken zu identifizieren und zu beheben.
• Sicherheitsaudits: Unsere Sicherheitsmaßnahmen werden regelmäßig von unabhängigen Stellen überprüft, um die Einhaltung der branchenüblichen Best Practices und der DSGVO sicherzustellen.

Anhang 3: Liste der Unterauftragsverarbeiter

1. Liste der Unterauftragsverarbeiter

Benchmark Email nutzt die folgenden Unterauftragsverarbeiter, um seine Dienste bereitzustellen:

 

Unterauftragsverarbeiter	Standort	Verwendung
Amazon AWS	USA, Japan	Hosting, Datenspeicherung, Analysen
Auth0	USA	Kundenauthentifizierung und -autorisierung
BenchmarkONE	USA	CRM und Kundenkommunikation per E-Mail
CD Networks	USA	Netzwerkkonnektivität
Cloudflare	Weltweit	Inhalt, Sicherheit, Missbrauchsprävention und DNS-Dienste
Command	USA	Kundenkommunikation in der App
DNS Made Easy	USA	DNS-Dienste
FullStory	USA	Analyse der Produktnutzung
Google	USA	Datenspeicherung, Website-Analysen
HelpScout	USA	Kundensupport-Tickets und Kundenkommunikation per Chat und E-Mail
Intercom	USA	Kundenkommunikation per In-App und E-Mail
Kickbox	USA	E-Mail-Verifizierung
LiveChat	USA	Kundenkommunikation per Chat
OpenAI	USA	KI-fähige Funktionen
Slack	USA	Interne Kommunikation und Zusammenarbeit
Zendesk	USA	Kundensupport-Tickets und E-Mail-Kommunikation

 

2. Aktualisierungen zu Unterauftragsverarbeitern

Benchmark Email wird diese Liste bei Bedarf aktualisieren. Kunden werden gemäß den in Abschnitt 4: Unterauftragsverarbeiter der DPA festgelegten Bedingungen über neue Unterauftragsverarbeiter oder Änderungen an dieser Liste informiert.

Anhang 4: Standardvertragsklauseln (SCC)

ABSCHNITT I

Klausel 1 – Zweck und Geltungsbereich

(a) Der Zweck dieser Standardvertragsklauseln besteht darin, die Einhaltung der Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) für die Übermittlung personenbezogener Daten in ein Drittland sicherzustellen.

(b) Die Parteien: (i) die natürliche(n) oder juristische(n) Person(en), Behörde(n), Stelle(n) oder sonstige Textkörper (im Folgenden „Textkörper“), die die personenbezogenen Daten übermittelt, wie in Anhang I.A aufgeführt (im Folgenden jeweils „Datenexporteur“), und (ii) die Stelle(n) in einem Drittland, die die personenbezogenen Daten vom Datenexporteur direkt oder indirekt über eine andere Stelle, die ebenfalls Vertragspartei dieser Klauseln ist, gemäß Anhang I.A (im Folgenden jeweils „Datenimporteur“) erhält (erhalten), haben diesen Standardvertragsklauseln (im Folgenden „Klauseln“) zugestimmt.

(c) Diese Klauseln gelten für die Übermittlung personenbezogener Daten gemäß Anhang I.B.

(d) Der Anhang zu diesen Klauseln, der die darin genannten Anhänge enthält, ist integraler Bestandteil dieser Klauseln.

Klausel 2 – Wirksamkeit und Unveränderlichkeit der Klauseln

(a) Diese Klauseln legen angemessene Garantien fest, einschließlich durchsetzbarer Rechte der betroffenen Personen und wirksamer Rechtsbehelfe gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 und, in Bezug auf Datenübermittlungen von Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter, Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679, sofern sie nicht geändert werden, außer zur Auswahl des/der geeigneten Moduls/Module oder zum Hinzufügen oder Aktualisieren von Informationen im Anhang. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfassenderen Vertrag aufzunehmen und/oder andere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese nicht direkt oder indirekt diesen Klauseln widersprechen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beeinträchtigen.

(b) Diese Klauseln lassen die Verpflichtungen, denen der Datenexporteur gemäß der Verordnung (EU) 2016/679 unterliegt, unberührt.

Klausel 3 – Drittbegünstigte

(a) Betroffene können diese Klauseln als Drittbegünstigte gegenüber dem Datenexporteur und/oder Datenimporteur geltend machen und durchsetzen, mit folgenden Ausnahmen:

(i) Klausel 1, Klausel 2, Klausel 3, Klausel 6, Klausel 7;

(ii) Klausel 8 – Klausel 8.1(b), 8.9(a), (c), (d) und (e);

(iii) Klausel 9 – Klausel 9(a), (c), (d) und (e);

(iv) Klausel 12 – Klausel 12(a), (d) und (f);

(v) Klausel 13;

(vi) Klausel 15.1(c), (d) und (e);

(vii) Klausel 16(e);

(viii) Klausel 18 – Klausel 18(a) und (b).

(b) Absatz (a) lässt die Rechte der betroffenen Personen gemäß der Verordnung (EU) 2016/679 unberührt.

Klausel 4 – Auslegung

(a) Wenn in diesen Klauseln Begriffe verwendet werden, die in der Verordnung (EU) 2016/679 definiert sind, haben diese Begriffe dieselbe Bedeutung wie in dieser Verordnung.

(b) Diese Klauseln sind unter Berücksichtigung der Bestimmungen der Verordnung (EU) 2016/679 zu lesen und auszulegen.

(c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die im Widerspruch zu den in der Verordnung (EU) 2016/679 vorgesehenen Rechten und Pflichten steht.

Klausel 5 – Hierarchie

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen verwandter Vereinbarungen zwischen den Parteien, die zum Zeitpunkt der Vereinbarung dieser Klauseln bestehen oder danach geschlossen werden, haben diese Klauseln Vorrang.

Klausel 6 – Beschreibung der Übermittlung(en)

Die Einzelheiten der Übermittlung(en), insbesondere die Kategorien der übermittelten personenbezogenen Daten und der Zweck bzw. die Zwecke der Übermittlung, sind in Anhang I.B aufgeführt.

Klausel 7 – Andockklausel

(a) Eine Einrichtung, die nicht Vertragspartei dieser Klauseln ist, kann mit Zustimmung der Parteien jederzeit diesen Klauseln als Datenexporteur oder Datenimporteur beitreten, indem sie den Anhang ausfüllt und Anhang I.A unterzeichnet.

(b) Nach Ausfüllen des Anhangs und Unterzeichnung von Anhang I.A wird die beitretende Stelle Vertragspartei dieser Klauseln und hat die Rechte und Pflichten eines Datenexporteurs oder Datenimporteurs gemäß ihrem Design in Anhang I.A.

(c) Die beitretende Stelle hat keine Rechte oder Pflichten aus diesen Klauseln aus der Zeit vor ihrem Beitritt als Vertragspartei.

ABSCNITT II – VERPFLICHTUNGEN DER PARTEIEN

Klausel 8 – Datenschutzgarantien

Der Datenexporteur garantiert, dass er angemessene Anstrengungen unternommen hat, um sich zu vergewissern, dass der Datenimporteur durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen in der Lage ist, seinen Verpflichtungen aus diesen Klauseln nachzukommen.

8.1 Anweisungen

(a) Der Datenimporteur verarbeitet die personenbezogenen Daten nur auf dokumentierte Anweisung des Datenexporteurs. Der Datenexporteur kann solche Anweisungen während der gesamten Laufzeit des Vertrags erteilen.

(b) Der Datenimporteur informiert den Datenexporteur unverzüglich, wenn er diese Anweisungen nicht befolgen kann.

8.2 Zweckbindung

Der Datenimporteur darf die personenbezogenen Daten nur für die in Anhang I.B genannten spezifischen Zwecke der Übermittlung verarbeiten, sofern keine weiteren Anweisungen des Datenexporteurs vorliegen.

8.3 Transparenz

Auf Anfrage stellt der Datenexporteur der betroffenen Person kostenlos eine Kopie dieser Klauseln einschließlich des von den Parteien ausgefüllten Anhangs zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich der in Anhang II beschriebenen Maßnahmen und personenbezogenen Daten, erforderlich ist, kann der Datenexporteur vor dem Teilen einer Kopie einen Teil des Textes des Anhangs zu diesen Klauseln schwärzen, muss jedoch eine aussagekräftige Zusammenfassung bereitstellen, wenn die betroffene Person andernfalls nicht in der Lage wäre, den Inhalt zu verstehen oder ihre Rechte auszuüben. Auf Anfrage teilen die Parteien der betroffenen Person die Gründe für die Schwärzungen mit, soweit dies möglich ist, ohne die geschwärzten Informationen preiszugeben. Diese Klausel lässt die Verpflichtungen des Datenexporteurs gemäß den Artikeln 13 und 14 der Verordnung (EU) 2016/679 unberührt.

8.4 Richtigkeit

Stellt der Datenimporteur fest, dass die von ihm erhaltenen personenbezogenen Daten unrichtig oder veraltet sind, so unterrichtet er den Datenexporteur unverzüglich davon. In diesem Fall arbeitet der Datenimporteur mit dem Datenexporteur zusammen, um die Daten zu löschen oder zu berichtigen.

8.5 Dauer der Verarbeitung und Löschung oder Rückgabe der Daten

Die Verarbeitung durch den Datenimporteur erfolgt nur für die in Anhang I.B angegebene Dauer. Nach Beendigung der Erbringung der Verarbeitungsdienstleistungen löscht der Datenimporteur nach Wahl des Datenexporteurs alle im Auftrag des Datenexporteurs verarbeiteten personenbezogenen Daten und bestätigt dem Datenexporteur dies oder gibt alle im Auftrag des Datenexporteurs verarbeiteten personenbezogenen Daten an den Datenexporteur zurück und löscht vorhandene Kopien. Bis zur Löschung oder Rückgabe der Daten gewährleistet der Datenimporteur weiterhin die Einhaltung dieser Klauseln. Falls für den Datenimporteur geltende lokale Gesetze die Rückgabe oder das Löschen der personenbezogenen Daten verbieten, garantiert der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln sicherstellt und die Daten nur in dem Umfang und so lange verarbeitet, wie dies nach diesen lokalen Gesetzen erforderlich ist. Dies gilt unbeschadet der Klausel 14, insbesondere der Anforderung an den Datenimporteur gemäß Klausel 14(e) verpflichtet ist, den Datenexporteur während der gesamten Vertragslaufzeit zu benachrichtigen, wenn er Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterworfen wurde, die nicht mit den Anforderungen gemäß Klausel 14(a) vereinbar sind.

8.6 Sicherheit der Verarbeitung

(a) Der Datenimporteur und während der Übertragung auch der Datenexporteur treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einer Verletzung der Sicherheit, die zu einer versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf diese Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Bewertung des angemessenen Sicherheitsniveaus berücksichtigen die Parteien den Stand der Technik, die Kosten der Umsetzung, die Art, den Umfang, den Kontext und die Zwecke der Verarbeitung sowie die mit der Verarbeitung verbundenen Risiken für die betroffenen Personen. Die Parteien erwägen insbesondere den Einsatz von Verschlüsselung oder Pseudonymisierung, auch während der Übermittlung, wenn der Zweck der Verarbeitung auf diese Weise erfüllt werden kann. Im Falle einer Pseudonymisierung bleiben die zusätzlichen Informationen zur Zuordnung der personenbezogenen Daten zu einer bestimmten betroffenen Person nach Möglichkeit unter der ausschließlichen Kontrolle des Datenexporteurs. Zur Erfüllung seiner Verpflichtungen nach diesem Absatz trifft der Datenimporteur mindestens die in Anhang II genannten technischen und organisatorischen Maßnahmen. Der Datenimporteur führt normalerweise Prüfungen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Sicherheitsniveau weiter gewährleisten.

(b) Der Datenimporteur gewährt seinen Mitarbeitern nur in dem Umfang Zugang zu den personenbezogenen Daten, wie dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Er stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Geheimhaltungspflicht unterliegen.

(c) Im Falle einer Verletzung des Schutzes personenbezogener Daten, die vom Datenimporteur gemäß diesen Klauseln verarbeitet werden, ergreift der Datenimporteur geeignete Maßnahmen, um die Verletzung zu beheben, einschließlich Maßnahmen zur Minderung ihrer nachteiligen Auswirkungen. Der Datenimporteur benachrichtigt den Datenexporteur unverzüglich, nachdem er von der Verletzung Kenntnis erlangt hat. Diese Benachrichtigung muss die Angaben zu einer Kontaktstelle enthalten, bei der weitere Informationen eingeholt werden können, eine Beschreibung der Art der Verletzung (einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen betroffenen Personen und personenbezogenen Einträge), ihrer wahrscheinlichen Folgen und der zur Behebung der Verletzung getroffenen oder vorgeschlagenen Maßnahmen, einschließlich gegebenenfalls Maßnahmen zur Minderung ihrer möglichen nachteiligen Auswirkungen. Wenn und soweit es nicht möglich ist, alle Informationen gleichzeitig bereitzustellen, enthält die erste Meldung die zu diesem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, unverzüglich nachgereicht.

(d) Der Datenimporteur arbeitet mit dem Datenexporteur zusammen und unterstützt ihn, damit dieser seinen Verpflichtungen gemäß der Verordnung (EU) 2016/679 nachkommen kann, insbesondere der Benachrichtigung der zuständigen Aufsichtsbehörde und der betroffenen Personen, unter Berücksichtigung der Art der Verarbeitung und der dem Datenimporteur zur Verfügung stehenden Informationen.

8.7 Sensible Daten

Wenn die Übermittlung personenbezogene Daten umfasst, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Daten über Gesundheit oder das Sexualleben oder die sexuelle Orientierung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten (im Folgenden „sensible Daten“), wendet der Datenimporteur die in Anhang I.B beschriebenen besonderen Beschränkungen und/oder zusätzlichen Garantien an.

8.8. Weiterübermittlungen

Der Datenimporteur darf die personenbezogenen Daten nur auf dokumentierte Anweisung des Datenexporteurs an Dritte weitergeben. Darüber hinaus dürfen die Daten nur an Dritte außerhalb der Europäischen Union (im selben Land wie der Datenimporteur oder in einem anderen Drittland, im Folgenden „Weiterübermittlung“) weitergegeben werden, wenn der Dritte gemäß dem entsprechenden Modul an diese Klauseln gebunden ist oder sich damit einverstanden erklärt oder wenn:(i) die Weitergabe in ein Land erfolgt, das gemäß Artikel 45 der Verordnung (EU) 2016/679 eine Angemessenheitsentscheidung genießt, die die Weitergabe abdeckt; (ii) der Dritte anderweitig angemessene Garantien gemäß den Artikeln 46 oder 47 der Verordnung (EU) 2016/679 in Bezug auf die betreffende Verarbeitung gewährleistet;(iii) die Weiterübermittlung für die Begründung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen bestimmter Verwaltungs-, Regulierungs- oder Gerichtsverfahren erforderlich ist; oder (iv) die Weiterübermittlung zum Schutz der lebenswichtigen Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ist. Jede Weiterübermittlung unterliegt der Einhaltung aller anderen Garantien gemäß diesen Klauseln durch den Datenimporteur, insbesondere der Zweckbindung.

8.9 Dokumentation und Einhaltung

(a) Der Datenimporteur hat Anfragen des Datenexporteurs, die sich auf die Verarbeitung gemäß diesen Klauseln beziehen, unverzüglich und angemessen zu bearbeiten.

(b) Die Parteien müssen in der Lage sein, die Einhaltung dieser Klauseln nachzuweisen. Insbesondere hat der Datenimporteur geeignete Unterlagen über die im Auftrag des Datenexporteurs durchgeführten Verarbeitungsvorgänge aufzubewahren.

(c) Der Datenimporteur stellt dem Datenexporteur alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der in diesen Klauseln festgelegten Verpflichtungen erforderlich sind, und ermöglicht und unterstützt auf Verlangen des Datenexporteurs in angemessenen Abständen oder bei Anzeichen einer Nichteinhaltung Audits der unter diese Klauseln fallenden Verarbeitungsaktivitäten. Bei der Entscheidung über eine Überprüfung oder ein Audit kann der Datenexporteur relevante Zertifizierungen des Datenimporteurs berücksichtigen.

(d) Der Datenexporteur kann das Audit selbst durchführen oder einen unabhängigen Auditor damit beauftragen. Audits können Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Datenimporteurs umfassen und sind gegebenenfalls nach angemessener Vorankündigung durchzuführen.

(e) Die Parteien stellen die in den Absätzen (b) und (c) genannten Informationen, einschließlich der Ergebnisse etwaiger Audits, der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung.

Klausel 9 – Einsatz von Unterauftragsverarbeitern

(a) Der Datenimporteur verfügt über die allgemeine Genehmigung des Datenexporteurs für die Beauftragung von Unterauftragsverarbeitern aus einer vereinbarten Liste. Der Datenimporteur informiert den Datenexporteur mindestens 10 Tage im Voraus schriftlich über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern, damit der Datenexporteur ausreichend Zeit hat, vor der Beauftragung der Unterauftragsverarbeiter Widerspruch gegen solche Änderungen einzulegen. Der Datenimporteur stellt dem Datenexporteur die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann.

(b) Beauftragt der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungsvorgänge (im Auftrag des Datenexporteurs), so hat er dies im Wege eines schriftlichen Vertrags zu tun, der im Wesentlichen die gleichen Datenschutzverpflichtungen vorsieht, wie sie für den Datenimporteur gemäß diesen Klauseln gelten, einschließlich der Rechte Dritter zugunsten der betroffenen Personen.Die Parteien vereinbaren, dass der Datenimporteur durch die Einhaltung dieser Klausel seinen Verpflichtungen gemäß Klausel 8.8 nachkommt. Der Datenimporteur stellt sicher, dass der Unterauftragsverarbeiter die Verpflichtungen einhält, denen der Datenimporteur gemäß diesen Klauseln unterliegt.

(c) Der Datenimporteur stellt dem Datenexporteur auf dessen Verlangen eine Kopie einer solchen Vereinbarung mit dem Unterauftragsverarbeiter und etwaige spätere Änderungen zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Datenimporteur den Text der Vereinbarung vor dem Teilen einer Kopie redigieren.

(d) Der Datenimporteur bleibt gegenüber dem Datenexporteur in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters aus seinem Vertrag mit dem Datenimporteur verantwortlich. Der Datenimporteur benachrichtigt den Datenexporteur über jede Nichterfüllung der Verpflichtungen aus diesem Vertrag durch den Unterauftragsverarbeiter.

(e) Der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigungsklausel, wonach der Datenexporteur im Falle des tatsächlichen Verschwindens, der rechtlichen Auflösung oder der Insolvenz des Datenimporteurs das Recht hat, den Vertrag mit dem Unterauftragsverarbeiter zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

Klausel 10 – Rechte der betroffenen Person

(a) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich über alle Anfragen, die er von einer betroffenen Person erhalten hat. Er darf auf diese Anfragen nicht selbst reagieren, es sei denn, er wurde vom Datenexporteur dazu ermächtigt.

(b) Der Datenimporteur unterstützt den Datenexporteur bei der Erfüllung seiner Verpflichtungen, auf Anfragen von betroffenen Personen zur Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679 zu reagieren. Mit freundlichen Grüßen legen die Parteien in Anhang II die geeigneten technischen und organisatorischen Maßnahmen fest, unter Berücksichtigung der Art der Verarbeitung, mit denen die Unterstützung geleistet wird, sowie den Umfang und das Ausmaß der erforderlichen Unterstützung.

(c) Bei der Erfüllung seiner Verpflichtungen gemäß den Absätzen (a) und (b) hat der Datenimporteur die Anweisungen des Datenexporteurs zu befolgen.

Klausel 11 – Rechtsbehelf

(a) Der Datenimporteur informiert die betroffenen Personen in einem transparenten und leicht zugänglichen Format, durch individuelle Mitteilung oder auf seiner Website, über eine Kontaktstelle, die für die Bearbeitung von Beschwerden zuständig ist. Er bearbeitet alle Beschwerden, die er von einer betroffenen Person erhält, unverzüglich.

(b) Im Falle einer Streitigkeit zwischen einer betroffenen Person und einer der Parteien mit freundlichen Grüßen hinsichtlich der Einhaltung dieser Klauseln bemüht sich diese Partei nach besten Kräften, die Angelegenheit zeitnah gütlich beizulegen. Die Parteien halten sich gegenseitig über solche Streitigkeiten auf dem Laufenden und arbeiten gegebenenfalls bei deren Beilegung zusammen.

(c) Wenn die betroffene Person ein Drittbegünstigtenrecht gemäß Klausel 3 geltend macht, akzeptiert der Datenimporteur die Entscheidung der betroffenen Person,

(i) eine Beschwerde bei der Aufsichtsbehörde des Mitgliedstaats ihres gewöhnlichen Aufenthalts oder Arbeitsplatzes oder bei der zuständigen Aufsichtsbehörde gemäß Klausel 13 einzureichen;

(ii) die Streitigkeit an die zuständigen Gerichte im Sinne von Klausel 18 zu verweisen.

(d) Die Parteien akzeptieren, dass die betroffene Person unter den in Artikel 80 Absatz 1 der Verordnung (EU) 2016/679 festgelegten Bedingungen durch einen gemeinnützigen Textkörper, eine Organisation oder eine Vereinigung vertreten werden kann.

(e) Der Datenimporteur hat sich an eine Entscheidung zu halten, die nach dem geltenden EU-Recht oder dem Recht eines Mitgliedstaats verbindlich ist.

(f) Der Datenimporteur erklärt sich damit einverstanden, dass die Wahl der betroffenen Person ihre materiellen und verfahrensrechtlichen Rechte auf Rechtsbehelfe gemäß den geltenden Gesetzen nicht beeinträchtigt.

Klausel 12 – Haftung

(a) Jede Partei haftet gegenüber der/den anderen Partei(en) für alle Schäden, die sie der/den anderen Partei(en) durch einen Verstoß gegen diese Klauseln verursacht.

(b) Der Datenimporteur haftet gegenüber der betroffenen Person, und die betroffene Person hat Anspruch auf Entschädigung für alle materiellen oder immateriellen Schäden, die der Datenimporteur oder sein Unterauftragsverarbeiter der betroffenen Person durch einen Verstoß gegen die Rechte Dritter gemäß diesen Klauseln verursacht.

(c) Ungeachtet des Absatzes (b) haftet der Datenexporteur gegenüber der betroffenen Person, und die betroffene Person hat Anspruch auf Entschädigung für alle materiellen oder immateriellen Schäden, die der Datenexporteur oder der Datenimporteur (oder dessen Unterauftragsverarbeiter) der betroffenen Person durch Verletzung der Rechte Dritter gemäß diesen Klauseln verursacht. Dies gilt unbeschadet der Haftung des Datenexporteurs und, wenn der Datenexporteur ein Auftragsverarbeiter ist, der im Auftrag eines Verantwortlichen handelt, der Haftung des Verantwortlichen gemäß der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725, je nach Anwendbarkeit.

(d) Die Parteien vereinbaren, dass der Datenexporteur, wenn er gemäß Absatz (c) für Schäden haftbar gemacht wird, die durch den Datenimporteur (oder dessen Unterauftragsverarbeiter) verursacht wurden, berechtigt ist, von dem Datenimporteur den Teil der Entschädigung zurückzufordern, der der Verantwortung des Datenimporteurs für den Schaden entspricht.

(e) Sind mehrere Parteien für einen Schaden verantwortlich, der der betroffenen Person aufgrund eines Verstoßes gegen diese Klauseln entstanden ist, haften alle verantwortlichen Parteien gesamtschuldnerisch, und die betroffene Person ist berechtigt, gegen jede dieser Parteien eine Aktion vor Gericht einzureichen.

(f) Die Parteien vereinbaren, dass eine Partei, die gemäß Absatz (e) haftbar gemacht wird, berechtigt ist, von der/den anderen Partei(en) den Teil der Entschädigung zurückzufordern, der ihrer/ihrer Verantwortung für den Schaden entspricht.

(g) Der Datenimporteur kann sich nicht auf das Verhalten eines Unterauftragsverarbeiters berufen, um sich seiner eigenen Haftung zu entziehen.

Klausel 13 – Aufsicht

(a) Die Aufsichtsbehörde, die für die Überwachung der Einhaltung der Verordnung (EU) 2016/679 durch den Datenexporteur mit freundlichen Grüßen hinsichtlich der Datenübermittlung gemäß Anhang I.C zuständig ist, fungiert als zuständige Aufsichtsbehörde.

(b) Der Datenimporteur verpflichtet sich, sich der Zuständigkeit der zuständigen Aufsichtsbehörde zu unterwerfen und mit dieser bei allen Verfahren zur Gewährleistung der Einhaltung dieser Klauseln zusammenzuarbeiten. Insbesondere verpflichtet sich der Datenimporteur, Anfragen zu beantworten, sich Audits zu unterziehen und die von der Aufsichtsbehörde getroffenen Maßnahmen, einschließlich Abhilfemaßnahmen und Ausgleichsmaßnahmen, zu befolgen. Er muss der Aufsichtsbehörde schriftlich bestätigen, dass die erforderlichen Aktionen getroffen wurden.

ABSCNITT III – LOKALE GESETZE UND VERPFLICHTUNGEN IM FALLE DES ZUGRIFFS DURCH ÖFFENTLICHE BEHÖRDEN

Klausel 14 – Lokale Gesetze und Praktiken, die die Einhaltung der Klauseln beeinträchtigen

(a) Die Parteien versichern, dass sie keinen Grund zu der Annahme haben, dass die Gesetze und Praktiken des Drittlandes, in das die Daten übermittelt werden, die für die Verarbeitung der personenbezogenen Daten durch den Datenimporteur gelten, einschließlich etwaiger Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die den Zugriff durch Behörden genehmigen, den Datenimporteur daran hindern, seinen Verpflichtungen aus diesen Klauseln nachzukommen. Dies basiert auf der Annahme, dass Gesetze und Praktiken, die den Kern der Grundrechte und Grundfreiheiten achten und nicht über das hinausgehen, was in einer demokratischen Gesellschaft zur Wahrung eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele erforderlich und verhältnismäßig ist, nicht im Widerspruch zu diesen Klauseln stehen.

(b) Die Parteien erklären, dass sie bei der Gewährung der Garantie gemäß Absatz (a) insbesondere die folgenden Elemente berücksichtigt haben:

(i) die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle; beabsichtigte Weiterübermittlungen; der Typ des Empfängers; der Zweck der Verarbeitung; die Kategorien und das Format der übermittelten personenbezogenen Daten; der Wirtschaftssektor, in dem die Übermittlung stattfindet; der Speicherort der übermittelten Daten;

(ii) die Gesetze und Praktiken des Bestimmungsdrittlandes – einschließlich derjenigen, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder diesen Behörden den Zugang zu Daten gestatten –, die im Hinblick auf die besonderen Umstände der Übermittlung relevant sind, sowie die geltenden Beschränkungen und Garantien;

(iii) alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß diesen Klauseln eingerichtet wurden, einschließlich der Maßnahmen, die während der Übermittlung und bei der Verarbeitung der personenbezogenen Daten im Bestimmungsland angewendet werden.

(c) Der Datenimporteur gewährleistet, dass er bei der Durchführung der Bewertung gemäß Absatz (b) alle Anstrengungen unternommen hat, um dem Datenexporteur relevante Informationen zur Verfügung zu stellen, und erklärt sich bereit, weiterhin mit dem Datenexporteur zusammenzuarbeiten, um die Einhaltung dieser Klauseln sicherzustellen.

(d) Die Parteien vereinbaren, die Bewertung gemäß Absatz (b) zu dokumentieren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

(e) Der Datenimporteur verpflichtet sich, den Datenexporteur unverzüglich zu benachrichtigen, wenn er nach Zustimmung zu diesen Klauseln und während der Laufzeit des Vertrags Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterliegen wird, die nicht mit den Anforderungen gemäß Absatz (a) im Einklang stehen, einschließlich nach einer Änderung der Gesetze des Drittlandes oder einer Maßnahme (z. B. einer Offenlegungsanforderung), die auf eine Anwendung dieser Gesetze in der Praxis hindeutet, die nicht mit den Anforderungen in Absatz (a).

(f) Nach einer Benachrichtigung gemäß Absatz (e) oder wenn der Datenexporteur aus anderen Gründen Grund zu der Annahme hat, dass der Datenimporteur seinen Verpflichtungen gemäß diesen Klauseln nicht mehr nachkommen kann, ermittelt der Datenexporteur unverzüglich geeignete Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit), die vom Datenexporteur und/oder Datenimporteur zu ergreifen sind, um der Situation zu begegnen. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Ansicht ist, dass keine angemessenen Garantien für eine solche Übermittlung gewährleistet werden können, oder wenn er von der zuständigen Aufsichtsbehörde dazu aufgefordert wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft. Sind mehr als zwei Parteien an dem Vertrag beteiligt, kann der Datenexporteur dieses Kündigungsrecht nur gegenüber der betreffenden Partei ausüben, sofern die Parteien nichts anderes vereinbart haben. Wird der Vertrag gemäß dieser Klausel gekündigt, gelten die Klauseln 16(d) und (e).

Klausel 15 – Pflichten des Datenimporteurs im Falle des Zugriffs durch Behörden

15.1 Benachrichtigung

(a) Der Datenimporteur verpflichtet sich, den Datenexporteur und, soweit möglich, die betroffene Person unverzüglich (ggf. mit Hilfe des Datenexporteurs) zu benachrichtigen, wenn er

(i) eine rechtsverbindliche Aufforderung einer Behörde, einschließlich Justizbehörden, nach dem Recht des Bestimmungslandes zur Offenlegung von personenbezogenen Daten erhält, die gemäß diesen Klauseln übermittelt wurden; diese Benachrichtigung muss Informationen über die angeforderten personenbezogenen Daten, die anfordernde Behörde, die Rechtsgrundlage für die Anforderung und die erteilte Antwort enthalten; oder

(ii) Kenntnis von einem direkten Zugriff öffentlicher Behörden auf personenbezogene Daten erhält, die gemäß diesen Klauseln in Übereinstimmung mit den Gesetzen des Ziellandes übermittelt wurden; diese Benachrichtigung muss alle dem Importeur zur Verfügung stehenden Informationen enthalten.

(b) Ist es dem Datenimporteur nach den Gesetzen des Bestimmungslandes untersagt, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, verpflichtet sich der Datenimporteur, sich nach besten Kräften um eine Aufhebung des Verbots zu bemühen, mit dem Ansehen, so schnell wie möglich so viele Informationen wie möglich weiterzugeben. Der Datenimporteur verpflichtet sich, seine Bemühungen zu dokumentieren, um sie auf Anfrage des Datenexporteurs nachweisen zu können.

(c) Soweit dies nach den Rechtsvorschriften des Bestimmungslandes zulässig ist, verpflichtet sich der Datenimporteur, dem Datenexporteur während der Laufzeit des Vertrags normalerweise in normalem Abstand so viele relevante Informationen wie möglich über die eingegangenen Anfragen zur Verfügung zu stellen (insbesondere Anzahl der Anfragen, Typ der angeforderten Daten, anfragende Behörde(n), ob Anfragen angefochten wurden und das Ergebnis solcher Anfechtungen usw.).

(d) Der Datenimporteur verpflichtet sich, die Informationen gemäß den Absätzen (a) bis (c) für die Dauer des Vertrags aufzubewahren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

(e) Die Absätze (a) bis (c) gelten unbeschadet der Verpflichtung des Datenimporteurs gemäß Klausel 14(e) und Klausel 16, den Datenexporteur unverzüglich zu informieren, wenn er diese Klauseln nicht einhalten kann.

15.2 Überprüfung der Rechtmäßigkeit und Datenminimierung

(a) Der Datenimporteur verpflichtet sich, die Rechtmäßigkeit des Auskunftsersuchens zu überprüfen, insbesondere ob es im Rahmen der Befugnisse der ersuchenden Behörde liegt, und das Ersuchen anzufechten, wenn er nach sorgfältiger Prüfung zu dem Schluss kommt, dass es berechtigte Gründe für die Annahme gibt, dass das Ersuchen nach den Rechtsvorschriften des Bestimmungslandes, den geltenden völkerrechtlichen Verpflichtungen und den Grundsätzen der internationalen Höflichkeit rechtswidrig ist. Der Datenimporteur wird unter den gleichen Bedingungen Rechtsmittel einlegen. Bei der Anfechtung eines Antrags wird der Datenimporteur einstweilige Maßnahmen beantragen, um die Wirkungen des Antrags auszusetzen, bis die zuständige Justizbehörde in der Sache entschieden hat. Er wird die angeforderten personenbezogenen Daten nicht offenlegen, bis er nach den geltenden Verfahrensvorschriften dazu verpflichtet ist. Diese Anforderungen gelten unbeschadet der Verpflichtungen des Datenimporteurs gemäß Klausel 14(e).

(b) Der Datenimporteur verpflichtet sich, seine rechtliche Beurteilung und jede Anfechtung des Auskunftsersuchens zu dokumentieren und diese Unterlagen, soweit dies nach den Rechtsvorschriften des Bestimmungslandes zulässig ist, dem Datenexporteur zur Verfügung zu stellen. Er stellt sie auf Anfrage auch der zuständigen Aufsichtsbehörde zur Verfügung.

(c) Der Datenimporteur verpflichtet sich, bei der Beantwortung eines Offenlegungsantrags auf der Grundlage einer angemessenen Auslegung des Antrags nur die minimal zulässige Menge an Informationen bereitzustellen.

Abschnitt IV – SCHLUSSBESTIMMUNGEN

Klausel 16 – Nichteinhaltung der Klauseln und Kündigung

(a) Der Datenimporteur muss den Datenexporteur unverzüglich informieren, wenn er aus irgendeinem Grund nicht in der Lage ist, diese Klauseln einzuhalten.

(b) Verstößt der Datenimporteur gegen diese Klauseln oder ist er nicht in der Lage, diese Klauseln einzuhalten, so setzt der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aus, bis die Einhaltung wieder gewährleistet ist oder der Vertrag gekündigt wird. Dies gilt unbeschadet der Klausel 14(f).

(c) Der Datenexporteur ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn:

(i) der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Absatz (b) ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall jedoch innerhalb eines Monats nach der Aussetzung, wiederhergestellt wird;

(ii) der Datenimporteur in erheblicher oder anhaltender Weise gegen diese Klauseln verstößt; oder

(iii) der Datenimporteur einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer Aufsichtsbehörde hinsichtlich seiner Verpflichtungen gemäß diesen Klauseln nicht nachkommt.In diesen Fällen muss er die zuständige Aufsichtsbehörde über diese Nichteinhaltung informieren. Sind mehr als zwei Parteien an dem Vertrag beteiligt, kann der Datenexporteur dieses Kündigungsrecht nur in Bezug auf die betreffende Partei ausüben, sofern die Parteien nichts anderes vereinbart haben.

(d) Personenbezogene Daten, die vor der Kündigung des Vertrags gemäß Absatz (c) übermittelt wurden, sind nach Wahl des Datenexporteurs unverzüglich an den Datenexporteur zurückzugeben oder vollständig zu löschen. Gleiches gilt für alle Kopien der Daten. Der Datenimporteur bestätigt dem Datenexporteur das Löschen der Daten. Bis zur Löschung oder Rückgabe der Daten gewährleistet der Datenimporteur weiterhin die Einhaltung dieser Klauseln. Falls für den Datenimporteur geltende lokale Gesetze die Rückgabe oder das Löschen der übermittelten personenbezogenen Daten verbieten, garantiert der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln sicherstellt und die Daten nur in dem Umfang und so lange verarbeitet, wie es nach diesem lokalen Gesetz erforderlich ist.

(e) Jede Partei kann ihre Zustimmung zur Bindung an diese Klauseln widerrufen, wenn (i) die Europäische Provision eine Entscheidung gemäß Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 trifft, die die Übermittlung personenbezogener Daten betrifft, auf die diese Klauseln Anwendung finden, oder (ii) die Verordnung (EU) 2016/679 Teil des Rechtsrahmens des Landes wird, in das die personenbezogenen Daten übermittelt werden. Dies gilt unbeschadet anderer Verpflichtungen, die gemäß der Verordnung (EU) 2016/679 für die betreffende Verarbeitung gelten.

Klausel 17 – Anwendbares Recht

Diese Klauseln unterliegen dem Recht der in Abschnitte 11.2 der DPA und den Allgemeinen Geschäftsbedingungen von Benchmark Email angegebenen Gerichtsbarkeit, sofern die geltenden Datenschutzgesetze nichts anderes vorschreiben.

Klausel 18 – Gerichtsstand und Gerichtsbarkeit

(a) Alle Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten der in Abschnitte 11.2 der DPA und den Allgemeinen Geschäftsbedingungen von Benchmark Email angegebenen Gerichtsbarkeit entschieden. (b) Die Parteien vereinbaren, dass dies die Gerichte der in Abschnitte 11.2 der DPA und den Allgemeinen Geschäftsbedingungen von Benchmark Email angegebenen Gerichtsbarkeit sind. (c) Eine betroffene Person kann auch vor den Gerichten des Mitgliedstaats, in dem sie ihren gewöhnlichen Aufenthalt hat, rechtliche Schritte gegen den Datenexporteur und/oder Datenimporteur einleiten.

ANHANG zu den Standardvertragsklauseln

ANHANG I

1. LISTE DER PARTEIEN

Datenexporteur(en):

1. Kunde, wie in den Allgemeinen Geschäftsbedingungen von Benchmark Email definiert, denen der Nachtrag zur Datenverarbeitung beigefügt ist.

Datenimporteur(e):

1. Name: Polaris Software, Inc.

Adresse: 3636 S. Geyer Road, Suite 100, St. Louis, MO 63127, USA.

Name, Position und Kontaktdaten der Kontaktperson: support@benchmarkemail.com

Aktivitäten im Zusammenhang mit den gemäß diesen Klauseln übermittelten Daten: E-Mail-Marketing-Dienstleistungen

Unterschrift und Datum: Die Standardvertragsklauseln treten an dem Tag in Kraft, an dem der Kunde den Allgemeinen Geschäftsbedingungen von Benchmark Email und dem Datenverarbeitungszusatz (DPA) zustimmt. Wenn der Kunde nach Unterzeichnung dieses DPA Kunde von Benchmark Email wird, gelten die SCCs als an dem Tag wirksam, an dem der Kunde den Allgemeinen Geschäftsbedingungen und dem DPA zustimmt.

Rolle (Verantwortlicher/Auftragsverarbeiter): Auftragsverarbeiter

1. BESCHREIBUNG DER ÜBERMITTLUNG

Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden: Der Kunde bestimmt und kontrolliert den Umfang der personenbezogenen Daten des Kunden, die zur Verarbeitung durch die Dienste übermittelt werden. Dazu können personenbezogene Daten gehören, die sich auf Folgendes beziehen: (1) Nutzer – jede Person, die über das Konto des Kunden auf die Dienste zugreift und/oder diese nutzt; (2) Abonnenten – jede Person, deren E-Mail-Adresse in der Verteilerliste des Kunden enthalten ist / deren Informationen auf den Diensten gespeichert oder über die Dienste erfasst werden / an die Benutzer E-Mails senden oder mit denen sie über die Dienste anderweitig in Kontakt treten oder kommunizieren.

Kategorien der übermittelten personenbezogenen Daten: Die übermittelten personenbezogenen Daten betreffen die folgenden Datenkategorien: (1) Benutzer: Identifikations- und Kontaktdaten (Name, Kontaktdaten, einschließlich E-Mail-Adresse, Benutzername); Rechnungsdaten (Rechnungsadresse, Zahlungsinformationen); Organisationsdaten (Name, Adresse, geografischer Standort, Zuständigkeitsbereich, Umsatzsteuer-Identifikationsnummer), IT-Daten (IP-Adresse, Nutzungsdaten, Cookie-Daten, Online-Navigationsdaten, Standortdaten, Browserdaten, Informationen zum Zugangsgerät); (2) Abonnenten: E-Mail-Adresse und alle weiteren Informationen, die der Kunde Benchmark Email zur Verfügung stellt.

Übermittelte sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Sicherheitsvorkehrungen, die die Art der Daten und die damit verbundenen Risiken vollständig berücksichtigen, wie z. B. strenge Zweckbindung, Zugangsbeschränkungen (einschließlich des Zugangs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Eintrag des Zugriffs auf die Daten, Beschränkungen für die Weitergabe oder zusätzliche Sicherheitsmaßnahmen: Es werden keine sensiblen Daten an Benchmark Email übermittelt.

Häufigkeit der Übermittlung: Die Daten werden während der Dauer der Dienste, wie in den Allgemeinen Geschäftsbedingungen beschrieben, kontinuierlich übermittelt.

Art der Verarbeitung: Benchmark Email ist ein Dienst, der Kunden die Möglichkeit bietet, E-Mail-Adressen zu sammeln und E-Mail-Werbung („Dienste“) zu erstellen, zu versenden und zu verfolgen, sowie andere Dienste gemäß den Auftragsbestätigungen, Bestellunterlagen oder Online-Registrierungen, wie in den Allgemeinen Geschäftsbedingungen beschrieben.

Zweck(e) der Datenübermittlung und weiteren Verarbeitung: Der Zweck der Datenverarbeitung im Rahmen dieser DPA ist die Bereitstellung der Dienste.

Zeitraum, für den die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieses Zeitraums: Die Daten werden für die Dauer der Dienste gespeichert. Dies gilt nicht, soweit Benchmark Email nach geltendem Recht verpflichtet ist, einige oder alle Kundendaten zu speichern, oder für Kundendaten, die es auf Backup-Systemen archiviert hat, wo Kundendaten sicher isoliert und vor jeder weiteren Verarbeitung geschützt sind, außer in dem nach geltendem Recht erforderlichen Umfang.

Bei Übermittlungen an (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben: Personenbezogene Daten können an Unterauftragsverarbeiter von Benchmark Email übermittelt werden, um seinen Kunden die Dienste bereitzustellen. Die Unterauftragsverarbeitung sollte für die Dauer der Bereitstellung der Dienste oder, falls gesetzlich vorgeschrieben, länger erfolgen.

1. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

Geben Sie die zuständige(n) Aufsichtsbehörde(n) gemäß Klausel 13 an:

Die zuständige Aufsichtsbehörde für die Einhaltung der Verordnung (EU) 2016/679 (DSGVO) in Bezug auf die Übermittlung von Kundendaten ist die Datenschutzbehörde (DPA) in der Gerichtsbarkeit des Kunden. Die zuständige Behörde wird anhand des Standorts des Kunden (des Datenexporteurs) bestimmt, wie im Verzeichnis der Aufsichtsbehörden des EDPB aufgeführt (verfügbar unter: EDPB Supervisory Authorities).

Für Kunden mit Sitz in der Europäischen Union (EU) oder im Europäischen Wirtschaftsraum (EWR) ist die Datenschutzbehörde im Land des Kunden die zuständige Behörde. Für Kunden mit Sitz im Vereinigten Königreich (UK) ist das Information Commissioner's Office (ICO) die zuständige Behörde. Für Kunden mit Sitz in der Schweiz ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) die zuständige Behörde.

Im Falle einer grenzüberschreitenden Datenverarbeitung kann der Europäische Datenschutzausschuss (EDPB) an der Beilegung von Streitigkeiten beteiligt sein, insbesondere im Rahmen des in der DSGVO festgelegten One-Stop-Shop-Mechanismus.

ANHANG II

TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MASSNAHMEN ZUR GEWÄHRLEISTUNG DER DATENSICHERHEIT

Siehe Anhang 2 der DPA – Sicherheitsmaßnahmen.

ANHANG III

LISTE DER UNTERAUFTRAGNEHMER

Siehe Anhang 3 der DPA – Liste der Unterauftragnehmer.

Zuletzt aktualisiert am 15. Oktober 2025