Diese Nutzungsbedingungen regeln Ihre Nutzung der LibreView-Website auf www.Libreview.com (die „Website“). Bitte lesen Sie diese Nutzungsbedingungen sorgfältig, bevor Sie damit beginnen, unsere Website zu nutzen, ein Patientenprofil oder Praxen zu erstellen und/oder professionelle Benutzer zur Erstellung eines LibreView-Datenverarbeitungssystem-Kontos einzuladen, da diese Nutzungsbedingungen eine rechtliche Vereinbarung zwischen Ihnen und Abbott Diabetes Care Inc. darstellen.
Abbott Diabetes Care Inc. in 1420 Harbor Bay Parkway, Alameda, CA 94502, USA („Abbott“ oder „uns“, „unser“ oder „wir”) ist der Entwickler von Sensoren („Sensoren”) und Lesegeräten („Lesegeräte”) für die FreeStyle Libre-Produktfamilie und die FreeStyle LibreLink-App („FreeStyle-App”), die mit der Website und dem LibreView-Datenmanagementsystem („LibreView-Datenmanagementsystem”) kompatibel sind.
Abbott verwaltet die medizinischen Zulassungen für das LibreView-Datenverarbeitungssystem als Medizinprodukt, bietet sonstigen Anwendungs- und Software-Support und verwaltet die Zulassungen/Registrierungen für das LibreView-Datenverarbeitungssystem.
Das LibreView-Datenmanagementsystem ermöglicht es Abbott, Patienten, die die Lesegeräte und FreeStyle-App von Abbott nutzen, eine verbesserte Beratung zu bieten. Ferner ermöglicht es das LibreView-Datenmanagementsystem professionellen Benutzern, Patientenprofile zu erstellen, Patienten, die LibreView-Datenmanagementsystem-Konten haben, aus der Ferne zu verwalten und die im LibreView-Datenmanagementsystem-Konto enthaltenen Informationen von Patienten für andere professionelle Benutzer innerhalb derselben LibreView-Praxis freizugeben.
DAS LIBREVIEW-DATENMANAGEMENTSYSTEM IST EIN SICHERES, CLOUD-BASIERTES DIABETES-MANAGEMENTSYSTEM, DAS VON EINZELPERSONEN, MEDIZINISCHEM FACHPERSONAL UND ABBOTT DAZU VERWENDET WERDEN KANN, AUFGEZEICHNETE GLUKOSEDATEN, GLUKOSE-TESTERGEBNISSE, KETONTESTERGEBNISSE, DATEN VON VERBUNDENEN FERÄTEN UND DIE VON BENUTZERN EINGEGEBENEN INFORMATIONEN, EINSCHLIEßLICH INSULIN, LEBENSMITTELN, SPORTLICHER BETÄTIGUNG UND NOTIZEN, ZU ÜBERPRÜFEN, ZU ANALYSIEREN UND AUZUWERTEN, UM EINE EFFETIVE DIABETESTHERAPIE ZU UNTERSÜTZEN.
DAS LIBREVIEW-DATENVERARBEITUNGSSYSTEM IST NICHT FÜR DIE DIAGNOSE VON ODER DAS SCREENING AUF DIABETES MELLITUS VORGESEHEN.
BENUTZER SOLLTEN SICH DARÜBER IM KLAREN SEIN, DASS DAS LIBREVIEW-DATENVERARBEITUNGSSYSTEM EIN INFORMATIONSVERWALTUNGSDIENST IST, DER DIE ANALYSE VON GLUKOSEDATEN AKTIVIERT UND NICHT ALS ERSATZ FÜR DIE BERATUNG IHRER PATIENTEN DURCH MEDIZINISCHES FACHPERSONAL GEDACHT IST. BEI ETWAIGEN MEDIZINISCHEN FRAGEN BEZÜGLICH EINER ERKRANKUNG, EINSCHLIESSLICH DIABETES-MANAGEMENT, SOLLTEN DIE BETROFFENEN PERSONEN STETS IHREN ARZT ODER EINE ANDERE QUALIFIZIERTE MEDIZINISCHE FACHPERSON KONSULTIEREN. WEDER ABBOTT NOCH EINES SEINER TOCHTERUNTERNEHMEN ÜBERNEHMEN DIE VERANTWORTUNG ODER HAFTUNG FÜR EINE DIAGNOSE, ENTSCHEIDUNG ODER BEURTEILUNG, DIE VON EINEM BENUTZER GESTELLT, GETROFFEN ODER VORGENOMMEN WIRD, ODER FÜR EINE VERLETZUNG, DIE EIN BENUTZER INFOLGE VON AUFGRUND DER INHALTE DES PRODUKTS GETROFFENEN ENTSCHEIDUNGEN ERLEIDET.
DAS LIBREVIEW-DATENVERARBEITUNGSSYSTEM IST KEIN SYSTEM FÜR ELEKTRONISCHE GESUNDHEITSAUFZEICHNUNGEN, UND SIE MÜSSEN PATIENTENINFORMATIONEN, DIE SIE FÜR IHRE BEREITSTELLUNG VON MEDIZINISCHER VERSORGUNG, BEHANDLUNG ODER BERATUNG ALS RELEVANT ERACHTEN, AUSDRUCKEN UND/ODER HERUNTERLADEN.
IHRE NUTZUNG DER WEBSITE UND DES LIBREVIEW-DATENMANAGEMENTSYSTEMS SETZT VORAUS, DASS SIE SICH MIT DIESEN NUTZUNGSBEDINGUNGEN EINVERSTANDEN ERKLÄREN. WENN SIE MIT DIESEN NUTZUNGSBEDINGUNGEN NICHT EINVERSTANDEN SIND, DÜRFEN SIE DIESE WEBSITE, DIE ÜBER DIESE WEBSITE VERFÜGBAREN DIENSTE UND DIE AUF DIESER WEBSITE ENTHALTENEN INFORMATIONEN NICHT AUFRUFEN ODER ANDERWEITIG NUTZEN.
IHRE NUTZUNG DER WEBSITE UNTERLIEGT AUCH DEN DATENSCHUTZBESTIMMUNGEN VON LIBREVIEW PROFESSIONAL, DIE UNTER WWW.LIBREVIEW.COM („DATENSCHUTZBESTIMMUNGEN") VERFÜGBAR SIND UND IN DENEN ERLÄUTERT WIRD, WIE WIR IHRE PERSONENBEZOGENEN DATEN, DIE SIE BEI DER NUTZUNG DER WEBSITE ANGEBEN, ERFASSEN, SCHÜTZEN, AUFBEWAHREN, SPEICHERN UND WEITERGEBEN. AUSSERDEM WERDEN DARIN DIE INFORMATIONEN, DIE SIE IHREN PATIENTEN ALS PROFESSIONELLER BENUTZER MITTEILEN MÜSSEN, ERKLÄRT.
Sie müssen sich nicht als professioneller Benutzer registrieren und ein LibreView-Datenverarbeitungssystem-Konto erstellen, wenn Sie die Website lediglich besuchen und ansehen möchten.
Allgemeines: Die Website ist Ihr Zugang zur Einrichtung eines LibreView-Datenverarbeitungssystem, in dem Sie die Messwerte der Lesegeräte und der FreeStyle-App Ihrer Patienten speichern, überprüfen und analysieren können. Das LibreView-Datenverarbeitungssystem wurde entwickelt, um Sie bei der Anzeige und Verwaltung von Aspekten des Zustands Ihrer Patienten zu unterstützen und Abbott zu ermöglichen, verbesserte Behandlungsanleitungen für Patienten, die Lesegeräte und die FreeStyle-App von Abbott verwenden, zur Verfügung zu stellen. Mit dem LibreView-Datenverarbeitungssystem können Patienten mit LibreView-Datenverarbeitungssystem-Konten ihre Glukosemesswerte mit Ihnen teilen. Außerdem können Sie die Lesegeräte und die FreeStyle-App Ihrer Patienten mit Ihrem Computer verbinden und die Glukosemesswerte in ein von Ihnen erstelltes Patientenprofil hochladen.
„Professionelle Benutzer“ umfasst nur solche lizenzierten Gesundheitsdienstleister (und ihre ordnungsgemäß bevollmächtigten Vertreter und Erfüllungsgehilfen, die im Namen Ihrer klinischen Praxis arbeiten), die entweder eine klinische Praxis registriert oder sich als ein professioneller Benutzer des LibreView-Datenverarbeitungssystem registriert haben.
Abbott erlaubt nur ein LibreView-Datenverarbeitungssystem-Benutzerkonto pro E-Mail-Adresse. Als professioneller Benutzer können Sie ein Konto für eine klinische Praxis erstellen und andere Fachpersonen einladen und/oder sich mit anderen professionellen Benutzern mit LibreView-Datenverarbeitungssystem-Konten innerhalb Ihrer Praxis verbinden.
Diese Nutzungsbedingungen gelten für Ihre Nutzung der Website und für Ihr Recht, das LibreView-Datenverarbeitungssystem zu nutzen. Sie sind von dem Zeitpunkt, zu dem Sie als professioneller Benutzer ein LibreView-Datenverarbeitungssystem-Konto konfigurieren, bis zur weiter unten dargelegten Kündigung gültig.
Durch Ihre Nutzung dieser Website erklären und bestätigen Sie, dass Sie ein professioneller Benutzer und zur Nutzung dieser Website und zur Erstellung eines professionellen Benutzerkontos im LibreView-Datenverarbeitungssystem berechtigt sind und dass Sie außerdem die entsprechende Vollmacht besitzen, eine Praxis zu erstellen und andere Gesundheitsdienstleister oder medizinische Fachkräfte in Ihrer Praxis zu verbinden sowie Patientenprofile zu erstellen, die für Abbott freigegeben und von Abbott verwendet werden können.
LibreView-Datenverarbeitungssystem-Konto: Teilen Sie die Informationen Ihres LibreView-Datenverarbeitungssystem-Kontos oder Ihr Kennwort niemals anderen mit. Sie sind für die Wahrung der Vertraulichkeit und Sicherheit Ihres LibreView-Datenverarbeitungssystem-Kontos sowie alle Aktivitäten, die auf diesem oder über dieses stattfinden, verantwortlich. Sie erklären sich damit einverstanden, Abbott zu informieren, wenn Sie von einem Sicherheitsvorfall oder -verstoß Kenntnis erlangen, der Ihr LibreView-Datenverarbeitungssystem-Konto betrifft, insbesondere dann, wenn Sie glauben, dass Ihr Kennwort kompromittiert wurde, und mit uns, Strafverfolgungs- und anderen zuständigen Regulierungsbehörden bei der Bearbeitung des Verstoßes in vollem Umfang zusammenzuarbeiten. Abbott übernimmt keine Verantwortung für verloren gegangene, gestohlene oder kompromittierte Kennwörter oder für Aktivitäten in Ihrem LibreView-Datenverarbeitungssystem-Konto seitens unautorisierter Benutzer oder für von Ihnen verschuldete Verluste aus oder in Zusammenhang mit der unautorisierten Nutzung Ihres LibreView-Datenmanagementsystem-Kontos. Sollte es in einer von Ihnen erstellten Praxis zu einem Verstoß gegen eine der Sicherheitsanforderungen durch Sie oder andere professionelle Benutzer kommen, kann dieser Verstoß als eine Verletzung dieser Nutzungsbedingungen angesehen werden und den sofortigen Verlust Ihres LibreView-Datenverarbeitungssystem-Kontos zur Folge haben.
Sie tragen die Verantwortung für die Bereitstellung und Aufrechterhaltung der Internetverbindungen, Computerausrüstung und Hilfsmittel, die erforderlich sind, damit Sie das LibreView-Datenverarbeitungssystem erhalten, verwenden und darauf zugreifen können. Sie verpflichten sich, das LibreView-Datenverarbeitungssystem nur wie ausdrücklich hierin gestattet zu verwenden. Abbott und seine Tochterunternehmen und Lieferanten sind Inhaber sämtlicher Rechte in Bezug auf das LibreView-Datenverarbeitungssystem und über die Website zugängliche Inhalte, wie unter anderem Logos, Grafiken, Videos, Bilder, Software und andere Materialien („Materialien“).
Unter der Voraussetzung, dass Sie diese Nutzungsbedingungen einhalten, gewährt Abbott Ihnen hiermit eine begrenzte, persönliche, einfache und nicht übertragbare Lizenz zur Verwendung und zur Anzeige der Materialien und zur Nutzung dieser Website zu professionellen Zwecken. Abgesehen von der vorstehenden Lizenz haben Sie keinerlei anderen Rechte an der Website oder an jeglichen Materialien und Sie dürfen weder die Website und noch die Materialien in irgendeiner Weise ändern, bearbeiten, kopieren, reproduzieren, abgeleitete Versionen davon erstellen, sie zurückentwickeln, modifizieren, erweitern oder auf irgendeine Weise verwerten. Sollten Sie oder eine andere Person unter Ihrer Verantwortung gegen irgendeine Bestimmung in diesen Nutzungsbedingungen verstoßen, wird die vorgenannte Lizenz automatisch beendet und Sie müssen alle heruntergeladenen oder ausgedruckten Materialien umgehend vernichten.
Wenn Sie eine Praxis erstellen, müssen Sie Ihre Mitarbeiter, Vertreter, Vertragsnehmer, Erfüllungsgehilfen und andere professionelle Benutzer, die Sie einer von Ihnen erstellten Praxis hinzufügen, beaufsichtigen, überwachen und schulen, um eine ordnungsgemäße Verwendung und Sicherheit sicherzustellen. Sie müssen den Zugang zu den über die Website verfügbaren Diensten an Ihren Standorten auf die ordnungsgemäß bevollmächtigen Benutzer begrenzen. Sie tragen die Verantwortung für deren Nutzung der Dienste, deren Einhaltung dieser Nutzungsbedingungen und für die Folgen jeglicher Sicherheitsverstöße, die durch diese Benutzer verursacht werden oder an Ihren Standorten auftreten.
Zulässige Verwendungen Ihres LibreView-Datenverarbeitungssystem-Kontos: Um das LibreView-Datenverarbeitungssystem verwenden zu können, müssen Sie einige Ihrer personenbezogenen Informationen eingeben, wie Ihr Benutzername und Ihr Kennwort, um Ihr LibreView-Datenverarbeitungssystem-Konto zu erstellen. Sie verpflichten sich, korrekte und vollständige Informationen anzugeben, wenn Sie sich beim LibreView-Datenverarbeitungssystem registrieren und dieses nutzen, und Sie verpflichten sich ferner, die in Ihrem LibreView-Datenverarbeitungssystem-Konto hinterlegten Informationen auf einem aktuellen und korrekten Stand zu halten. Diese Nutzungsbedingungen gestatten es Ihnen, als ein professioneller Benutzer ein LibreView-Datenverarbeitungssystem-Konto über das Netzwerk Ihrer Organisation zu konfigurieren und eine Praxis zu erstellen, die von Fachpersonal, Mitarbeitern oder anderen von Ihnen bevollmächtigten Personen in Ihrer Praxis verwendet werden kann. Wenn Sie Patienten haben, die kein LibreView-Datenverarbeitungssystem-Konto haben, das es Ihnen gestatten würde, ihre Glukosemesswerte anzusehen, ist es Ihnen ebenfalls möglich, ein Patientenprofil zu erstellen, über das Sie die Lesegeräte Ihres Patienten mit Ihrem Computer verbinden können, Glukosemesswerte in das von Ihnen erstellte Patientenprofil hochzuladen.
Für Fachkräfte in der Türkei: Bevor Sie sich mit dem LibreView-Datenverarbeitungssystem verbinden, müssen Sie uns Ihre ausdrückliche Zustimmung zur Weitergabe Ihrer personenbezogenen Daten außerhalb der Türkei erteilen.
Sie bestätigen und stimmen zu, dass die Website und das LibreView-Datenverarbeitungssystem dem Zweck dienen, die Versorgung Ihrer Patienten durch Sie zu verbessern und es Abbott zu ermöglichen, verbesserte Behandlungsleitlinien für Patienten, die die Lesegeräte und die FreeStyle-App von Abbott verwenden, bereitzustellen; Sie nehmen des Weiteren zur Kenntnis, dass diese kein Ersatz für Ihr professionelles Urteil oder für Ihre Verantwortlichkeiten gegenüber Ihren Patienten sind.
WENN SIE IN IHRER PROFESSIONELLEN KAPAZITÄT EINE LIBREVIEW-DATENVERARBEITUNGSSYSTEM-PRAXIS ERSTELLEN, IST DIES GLEICHBEDEUTEND MIT EINER BESTÄTIGUNG UND ZUSTIMMUNG, DASS SIE ORDNUNGSGEMÄSS DAZU BEVOLLMÄCHTIGT SIND, DIESEN NUTZUNGSBEDINGUNGEN ZUZUSTIMMEN UND DIESE FÜR IHRE PRAXIS VERBINDLICH ZU MACHEN, UND DASS SIE DIE NOTWENDIGE FÄHIGKEIT UND VOLLMACHT DAZU HABEN.
Nicht zulässige Verwendungen Ihres LibreView-Systemkontos für professionelle Benutzer: Wir beschränken den Zugang zu den professionellen Teilen unserer Website auf professionelle Benutzer. Wir behalten uns das Recht vor, die ID eines professionellen Benutzers jederzeit nach eigenem Ermessen zu deaktivieren, wenn Sie unserer Meinung nach kein professioneller Benutzer sind oder irgendeine der Bestimmungen dieser Nutzungsbedingungen nicht eingehalten haben. Wenn Sie unsere Website verwenden, sind Ihnen die im Folgenden aufgeführten Verwendungen untersagt. Soweit gesetzlich vorgeschrieben, dürfen professionelle Benutzer keine Patientenprofile erstellen, ohne zuvor die informierte, freiwillige und ausdrückliche Zustimmung des Patienten eingeholt zu haben, wie dies nach geltendem Recht erforderlich sein kann. Sie erklären sich damit einverstanden, dass Sie das LibreView-Datenverarbeitungssystem NICHT verwenden werden, um:
Patientenprofile: Nachdem Sie ein LibreView-Datenverarbeitungssystem-Konto erstellt haben, wird es Ihnen möglich sein, Patientenprofile zu erstellen. Wenn Sie ein Patientenprofil erstellen, müssen Sie manuell einige personenbezogene Informationen des Patienten, zum Beispiel dessen Namen und Geburtsdatum, eingeben. Innerhalb des Patientenprofils können Sie die Messwerte des Patienten manuell vom Lesegerät in das LibreView-Datenverarbeitungssystem hochladen.
Sie dürfen die Website und das LibreView-Datenverarbeitungssystem nur für Patienten verwenden, die Sie zuvor informiert haben und deren freiwillige und, falls erforderlich, ausdrückliche Einwilligung Sie erhalten haben oder wenn dies Ihrer Einschätzung nach zum Schutz lebenswichtiger Interessen der Patienten notwendig ist, und müssen alle weiteren Anforderungen gemäß Ihren örtlichen Datensicherheits-, Datenschutz-, Gesundheits- und damit verbundenen Gesetzen einhalten. Die Eingabe von personenbezogenen Daten, einschließlich gesundheitsbezogener Daten, von Patienten, ohne diese zuvor zu informieren und ihre freiwillige und, falls erforderlich, ausdrückliche Einwilligung einzuholen bzw. ohne dass dies Ihrer Einschätzung nach zum Schutz lebenswichtiger Interessen der Patienten notwendig ist, stellt eine missbräuchliche Verwendung der Website und des LibreView-Datenverarbeitungssystem dar. Abbott übernimmt keine Haftung in Bezug auf Ihre Nutzung der Website, insbesondere wenn Sie die Website dazu nutzen, um in Situationen, in denen diese Bedingungen nicht erfüllt sind, personenbezogene Daten in Bezug auf Ihre Patienten einzugeben. Wir werden Sie in angemessener Weise dabei unterstützen, personenbezogene Daten eines Ihrer Patienten innerhalb einer angemessenen Zeit ab dem Erhalt einer diesbezüglichen Anfrage aus dem LibreView-Datenverarbeitungssystem zu löschen; sofern nicht nach geltendem Recht verboten, gilt dies nicht für personenbezogene Informationen, auf die Abbott zugegriffen hat, um seine Behandlungsleitlinien für Patienten, die die Lesegeräte und die FreeStyle-App von Abbott verwenden, zu verbessern.
ALS PROFESSIONELLER BENUTZER SIND SIE VERANTWORTLICH FÜR (I) ALLE PATIENTENDATEN, DIE SIE IN DAS LIBREVIEW-DATENVERARBEITUNGSSYTEM EINGEBEN, (II) DIE PERSONENBEZOGENEN INFORMATIONEN ANDERER FACHKRÄFTE, DIE SIE ZUR TEILNAHME AN EINEM PRAXISKONTO EINLADEN, UND (III) IHRE NUTZUNG DER PERSONENBEZOGENEN DATEN JEDER PERSON MIT EINEM LIBREVIEW-DATENVERARBEITUNGSSYSTEM-KONTO. SIE SIND DAHER DAFÜR VERANTWORTLICH, DIE GELTENDEN GESETZE ZU DATENSCHUTZ UND GESUNDHEIT EINZUHALTEN UND GEGEBENENFALLS DIE NACH GELTENDEM RECHT ERFORDERLICHEN ZUSTIMMUNGEN (EINSCHLIESSLICH DER AUSDRÜCKLICHEN ZUSTIMMUNG) EINZUHOLEN.
Die Patientendaten werden in Übereinstimmung mit der Datenschutzerklärung verarbeitet.
Abbott behandelt alle derartigen personenbezogenen Informationen, für die es der Verantwortliche ist, einschließlich gesundheitsbezogener Informationen, in Übereinstimmung mit der Datenschutzerklärung. Wenn Ihr Patient ein LibreView-Datenverarbeitungssystem-Konto eingerichtet hat und Ihnen Zugang zu diesem Konto gewährt oder wenn Sie ein LibreView-Datenverarbeitungssystem-Konto für Ihren Patienten einrichten, verarbeitet Abbott (über das LibreView-Datenverarbeitungssystem) die personenbezogenen Daten von Ihnen als „Auftragsverarbeiter“ in Ihrem Namen als Gesundheitsdienstleister, wobei Sie die Daten Ihres Patienten verarbeiten, um dessen lebenswichtige Interessen nach Ihrem alleinigen Ermessen als dessen Gesundheitsdienstleister zu schützen.
Für professionelle Benutzer im EWR, in den Vereinigten Arabischen Emiraten, in der Schweiz und im Vereinigten Königreich: Bevor Sie damit beginnen, unsere Website zu nutzen, ein Patientenprofil oder Praxen zu erstellen und/oder professionelle Benutzer zur Erstellung eines LibreView-Datenmanagementsystem-Kontos einzuladen, lesen Sie bitte die Vereinbarung über die Datenverarbeitung für die EU/die Schweiz/das Vereinigte Königreich am Ende dieser Nutzungsbedingungen.
Für professionelle Benutzer in Japan: Bevor Sie damit beginnen, unsere Website zu nutzen, ein Patientenprofil oder Praxen zu erstellen und/oder professionelle Benutzer zur Erstellung eines LibreView-Datenmanagementsystem-Kontos einzuladen, um Daten mit dem J-DREAMS-Projekt (wie unten definiert) zu teilen, lesen Sie bitte die Vereinbarung über die Datenverarbeitung für J-DREAMS in Japan am Ende dieser Nutzungsbedingungen.
Für professionelle Benutzer in den USA: Wenn Sie ein Gesundheitsdienstleister in den Vereinigten Staaten und eine „Covered Entity“ (ein versichertes Unternehmen) gemäß dem „Health Insurance Portability and Accountability Act“ bzw. seinen Durchsetzungsbestimmungen („HIPAA“) sind, erstellen Sie das Patientenprofil und verwenden die Website und das LibreView-Datenverarbeitungssystem gemäß HIPAA, entweder indem Sie: i) eine diesbezügliche Patientenautorisierung einholen oder ii) sich auf die Ausnahme von der Anforderung einer Genehmigung gemäß HIPAA zur Offenlegung geschützter Gesundheitsinformationen für Behandlungs- oder Gesundheitsversorgungszwecke berufen. Der Bereich von Abbott, der den Betrieb der Website beaufsichtigt, hat Sicherheitsmechanismen für geschützte gesundheitsbezogene Daten (PHI) eingerichtet, wie sie laut HIPAA von „Covered Entities“ (versicherten Unternehmen) verlangt werden.
Garantieausschluss: SIE ERKENNEN AUSDRÜCKLICH AN UND ERKLÄREN SICH DAMIT EINVERSTANDEN, DASS DIE NUTZUNG DES LIBREVIEW-DATENVERARBEITUNGSSYSTEMS AUF IHR ALLEINIGES RISIKO ERFOLGT UND DASS, SOWEIT GESETZLICH ZULÄSSIG, DAS GESAMTE RISIKO IN BEZUG AUF ZUFRIEDENSTELLENDE QUALITÄT, LEISTUNG, GENAUIGKEIT UND AUFWAND BEI IHNEN LIEGT. Sämtliche im LibreView-Datenverarbeitungssystem enthaltenen Inhalte dienen ausschließlich der Bereitstellung von Informationen. Obwohl Abbott glaubt, dass die im LibreView-Datenverarbeitungssystem angezeigten Daten zum Zeitpunkt ihrer Übermittlung an das LibreView-Datenverarbeitungssystem korrekt sind, übernimmt Abbott weder ausdrücklich noch stillschweigend eine Zusicherung hinsichtlich der Genauigkeit, Vollständigkeit oder Termingerechtigkeit der Informationen. Keinesfalls übernimmt Abbott Ihnen gegenüber eine Haftung für Schäden aufgrund von Fehlern, Unterlassungen oder Verspätungen bei der Übermittlung von Informationen oder aufgrund von Unterbrechungen der Telekommunikationsverbindungen mit dem LibreView-Datenverarbeitungssystem.
SOWEIT DIES GEMÄSS DEN GELTENDEN GESETZEN ZULÄSSIG IST, STELLEN ABBOTT, SEINE TOCHTERGESELLSCHAFTEN UND DRITTANBIETER DAS LIBREVIEW-DATENVERARBEITUNGSSYSTEMS „SO WIE ES IST“ UND „WIE VERFÜGBAR“ MIT ALLEN FEHLERN UND MÄNGELN UND OHNE SONSTIGE GARANTIEN IRGENDEINER ART ZUR VERFÜGUNG UND SCHLIESSEN HIERMIT SÄMTLICHE ANDEREN GARANTIEN UND BEDINGUNGEN, OB AUSDRÜCKLICH, STILLSCHWEIGEND ODER GESETZLICH, AUS, EINSCHLIESSLICH SÄMTLICHER GARANTIEN IN BEZUG AUF RECHTSMÄNGEL UND NICHTVERLETZUNG SOWIE SÄMTLICHER STILLSCHWEIGENDER GARANTIEN, PFLICHTEN ODER BEDINGUNGEN DER MARKTGÄNGIGKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK, DER QUALITÄT UND DES FREISEINS VON VIREN. DURCH KEINE VON ABBOTT ODER EINEM VON ABBOTT BERECHTIGTEN VERTRETER ERTEILTE SCHRIFTLICHE INFORMATIONEN ODER BERATUNG WIRD EINE GARANTIE ERZEUGT.
Abbott, seine Tochtergesellschaften und Drittanbieter übernehmen keine Garantie dafür, dass die in dem LibreView-System enthaltenen Funktionen Ihren Anforderungen entsprechen oder dass der Betrieb des LibreView-Datenverarbeitungssystem ohne Unterbrechungen oder Fehler läuft. Soweit Abbott aufgrund geltender Gesetze zu Garantien verpflichtet ist, stimmen Sie zu, dass der Umfang und die Dauer einer solchen Garantie dem im Rahmen des entsprechenden geltenden Gesetzes zu gewährenden Mindestmaß entsprechen.
Abbott gibt keinesfalls Garantien oder Zusicherungen in Bezug auf Hardware oder Software von Dritten und Abbott schließt jegliche Haftung in Bezug auf eventuelle daraus resultierende Störungen aus. Abgesehen von den in diesen Nutzungsbedingungen ausdrücklich genannten Fällen lehnt Abbott jegliche Haftung ab, die sich aus Handlungen oder Ansprüchen gegenüber Abbott oder einer seiner Tochterunternehmen, Vertreter oder Rechtsnachfolger oder anderen Dritten ergibt, die im Laufe dieser Nutzungsbedingungen geltend gemacht werden können.
Für Benutzer in Russland: Dieser Abschnitt 11 gilt, soweit dies nach russischen Gesetzen, Bestimmungen und Standards für das Gesundheitswesen zulässig ist.
Für Benutzer in Australien: Nichts in Abschnitt 11 berührt Ihre Rechte in Bezug auf die Verbrauchergarantien im Rahmen des Competition and Consumer Act 2010 (Cth). Für unsere Dienstleistungen werden Garantien gewährt, die unter dem australischen Verbraucherrecht nicht ausgeschlossen werden können. Bei größeren Ausfällen der Dienstleistung sind Sie berechtigt:
Wenn ein Fehler bei einer Dienstleistung nicht auf einen wesentlichen Mangel hinausläuft, haben Sie ein Anrecht darauf, dass der Fehler in einer angemessenen Zeit behoben wird. Wenn dies nicht geschieht, sind Sie zur Kündigung des Vertrags über die Dienstleistung sowie einer Rückerstattung für den ungenutzten Teil berechtigt (wenn Sie eine Zahlung für den Zugang zur Website geleistet haben). Sie haben auch Anspruch auf Entschädigung für jeden anderen in vertretbarer Weise vorhersehbaren Verlust oder Schaden, der sich aus einem Fehler der Dienstleistung ergibt.
Einschränkung der Haftung: UNGEACHTET ETWAIGER VERLUSTE, DIE SIE MÖGLICHERWEISE ERLEIDEN, UND IM GRÖSSTMÖGLICHEN GESETZLICH ZULÄSSIGEN UMFANG IST DIE GESAMTE HAFTUNG VON ABBOTT, SEINEN TOCHTERUNTERNEHMEN UND SEINEN DRITTANBIETERN IM RAHMEN DIESER NUTZUNGSBEDINGUNGEN ODER ANDERWEITIG IN VERBINDUNG MIT DIESEN NUTZUNGSBEDINGUNGEN UND IHREN AUSSCHLIESSLICHEN RECHTSMITTELN AUF DIE BEHEBUNG, REPARATUR ODER ANDERWEITIGE BEHEBUNG VON FEHLERN INNERHALB DES LIBREVIEW-DATENVERARBEITUNGSSYSTEM BESCHRÄNKT, SELBST WENN EIN SOLCHER VERLUST VORHERSEHBAR WAR ODER VON DEN PARTEIEN IN BETRACHT GEZOGEN WURDE, ODER, FALLS ZUTREFFEND, AUF DEN HÖHEREN BETRAG, DEN SIE TATSÄCHLICH FÜR DEN ZUGANG ZUM LIBREVIEW-DATENVERARBEITUNGSSYSTEM BEZAHLT HABEN, ODER AUF USD 10,00. IN DEM NACH GELTENDEM RECHT MAXIMAL ZULÄSSIGEN UMFANG SIND ABBOTT, SEINE TOCHTERUNTERNEHMEN ODER SEINE DRITTANBIETER KEINESFALLS HAFTBAR FÜR FINANZIELLE SCHÄDEN, EINSCHLIESSLICH SPEZIELLER, ZUFÄLLIGER, INDIREKTER ODER FOLGESCHÄDEN JEGLICHER ART (WIE UNTER ANDEREM SCHÄDEN DURCH ENTGANGENEN GEWINN, VERLUST VON DATEN ODER ANDEREN INFORMATIONEN, UNTERBRECHUNG DER GESCHÄFTSTÄTIGKEIT, GESUNDHEITSBESCHÄDIGUNG, VERLUST DER PRIVATSPHÄRE INFOLGE ODER IM ZUSAMMENHANG MIT DER VERWENDUNG ODER DEM UNVERMÖGEN DER VERWENDUNG DES LIBREVIEW-DATENVERARBEITUNGSSYSTEMS ODER VON SOFTWARE VON DRITTANBIETERN UND/ODER HARDWARE VON DRITTANBIETERN, DIE MIT DEM LIBREVIEW-DATENVERARBEITUNGSSYSTEMS VERWENDET WIRD ODER GGF. VERWENDET WERDEN KANN, DURCH VERLUST AUFGRUND VON VIREN ODER ANDEREN MATERIALIEN, DIE DURCH TECHNOLOGIE SCHÄDEN VERURSACHEN KÖNNEN UND DIE IHR INFORMATIONSSYSTEM UND IHRE HARDWARE INFIZIEREN KÖNNEN, WENN SIE EINE MOBILE APP/MATERIAL/EINE WEBSITE, DIE BZW. DAS MIT DEM LIBREVIEW-DATENVERAREITUNGSSYSTEMS VERBUNDEN IST, HERUNTERLADEN ODER ANDERWEITIG MIT IRGENDEINER BESTIMMUNG DIESER NUTZUNGSBEDINGUNGEN IM ZUSAMMENHANG STEHEN), SEI ES IN BEZUG AUF EINE GARANTIE, EINEN VERTRAG ODER EINE UNERLAUBTE HANDLUNG, EINSCHLIESSLICH FAHRLÄSSIGKEIT ODER PRODUKTHAFTUNG, AUCH WENN AUF DIE MÖGLICHKEIT DAVON HINGEWIESEN WURDE, WIE UNTER ANDEREM MEDIZINISCHE AUFWENDUNGEN, RECHTSGEBÜHREN, VERLUST VON EINNAHMEN ODER GEWINN (SEI ES DIREKT ODER INDIREKT), SELBST WENN ABBOTT, SEINE TOCHTERUNTERNEHMEN ODER DRITTANBIETER AUF DIE MÖGLICHKEIT SOLCHER SCHÄDEN HINGEWIESEN WURDEN, UND AUCH DANN, WENN DAS RECHTSMITTEL SEINEN WESENTLICHEN ZWECK VERFEHLT. NUR SIE KÖNNEN BACKUP-PLÄNE AUFSTELLEN UND SCHUTZVORKEHRUNGEN TREFFEN, DIE IM FALLE EINES FEHLERS IM LIBREVIEW-DATENVERARBEITUNGSSYSTEM, DER PROBLEME MIT DEM COMPUTER UND EINEN DAMIT VERBUNDENEN DATENVERLUST VERURSACHT, IHREN ANFORDERUNGEN ANGEMESSEN GERECHT WERDEN. AUS DIESEN GESCHÄFTLICHEN GRÜNDEN VERSTEHEN SIE DIE HAFTUNGSBESCHRÄNKUNGEN IN DIESEM ARTIKEL UND ERKLÄREN SICH MIT DIESEN EINVERSTANDEN UND ERKENNEN AN, DASS DIE IN RECHNUNG GESTELLTEN GEBÜHREN OHNE IHRE ZUSTIMMUNG ZU DIESER BESTIMMUNG HÖHER AUSFALLEN WÜRDEN.
FÜR BENUTZER IN INDONESIEN: DURCH KEINE BESTIMMUNG DIESER NUTZUNGSBEDINGUNGEN WIRD EIN GESETZLICH VORGESCHRIEBENES RECHTSMITTEL AUSGESCHLOSSEN, DAS EINEM PROFESSIONELLEN BENUTZER IM FALLE DER NICHTEINHALTUNG EINER DATENSCHUTZANFORDERUNG DURCH ABBOTT ZUR VERFÜGUNG STEHT UND WELCHES DAS RECHT EINER BETROFFENEN PERSON AUF MONETÄRE ENTSCHÄDIGUNG NACH DEM ELEKTRONIK- UND INFORMATIONSTECHNOLOGIEGESETZ UND/ODER ANDEREN VORSCHRIFTEN ZUM SCHUTZ PERSONENBEZOGENER DATEN BEGRÜNDEN KANN.
In keinem Fall übernehmen wir Ihnen (Ihren Patienten, Mitarbeitern, Vertragsnehmern, Erfüllungsgehilfen oder Benutzern) gegenüber eine Haftung für Verluste, Kosten, Schäden, Gebühren oder Kosten, die durch Verlust, widerrechtliche Aneignung, unbefugten Zugriff auf oder Veränderung von Daten, einschließlich personenbezogener Daten, durch Dritte oder aufgrund von Fehlern, Unterlassungen oder Verspätungen bei der Übermittlung von Informationen oder aufgrund von Unterbrechungen der Telekommunikationsverbindungen mit dem Dienst, Viren oder Störungen der Leistung, dem Abfangen oder Auswirkungen des LibreView-Datenverarbeitungssystems auf Ihre Informations- oder Kommunikationssysteme, wie unter anderem Aufzeichnungen oder andere Mitteilungen, die von Ihnen, einem Patienten oder von uns unter diesen Nutzungsbedingungen bereitgestellt werden, entstehen.
Für Benutzer in Australien: Nichts in diesem Abschnitt 12 berührt Ihre Rechte in Bezug auf die Verbrauchergarantien im Rahmen des Competition and Consumer Act 2010 (Cth). Falls, ungeachtet aller anderen Bestimmungen dieser Bedingungen, der Competition and Consumer Act 2010 (Cth) oder irgendeine andere Rechtsvorschrift eine Garantie in Bezug auf gelieferte Waren oder erbrachte Dienstleistungen vorsieht und unsere Haftung für Verstöße gegen diese Garantie nicht ausgeschlossen, aber beschränkt sein kann, beschränkt sich unsere Haftung für einen solchen Verstoß im Falle der Lieferung von Waren auf den Ersatz der Waren, die Lieferung gleichwertiger Waren oder die Reparatur der Waren oder im Falle der Erbringung von Dienstleistungen auf die erneute Erbringung der Dienstleistungen oder die Zahlung der Kosten für die erneute Erbringung der Dienstleistungen.
Für Benutzer in Belgien: Nichts in diesen Nutzungsbedingungen schließt unsere Haftung für Schäden aus, die durch unser vorsätzliches Fehlverhalten, Betrug, arglistige Täuschung oder grobe Fahrlässigkeit im Zusammenhang mit dem LibreView-Datenverarbeitungssystem verursacht werden. Die Haftung von Abbott für Personenschäden oder Tod, die durch unser Verschulden verursacht wurden, ist ebenfalls nicht ausgeschlossen.
Für Benutzer in Singapur, den Vereinigten Arabischen Emiraten und dem Vereinigten Königreich: Durch keine Bestimmung in diesen Nutzungsbedingungen wird unsere Haftung für Tod oder Körperverletzung infolge von Fahrlässigkeit oder betrügerisch falscher Darstellung unsererseits in Verbindung mit dem LibreView-Datenmanagementsystem ausgeschlossen.
Für Benutzer in der Schweiz: Durch keine Bestimmung in diesen Nutzungsbedingungen wird unsere Haftung für Tod oder Körperverletzung infolge von Fahrlässigkeit oder betrügerisch falscher Darstellung unsererseits oder unsere Haftung für Schäden infolge von grober Fahrlässigkeit oder vorsätzlichem Fehlverhalten unsererseits in Verbindung mit dem LibreView-Datenmanagementsystem ausgeschlossen.
Für Benutzer in Vietnam: Durch keine Bestimmung dieser Nutzungsbedingungen wird eine zwingende gesetzliche Haftung ausgeschlossen, einschließlich unserer Haftung im Zusammenhang mit monetären Schäden, Gesundheitsbeschädigungen oder Todesfällen, die auf unser Verschulden oder unsere Fahrlässigkeit oder Produktfehler im Zusammenhang mit dem vietnamesischen Verbraucherschutzgesetz und anderen geltenden Gesetzen und Vorschriften in Vietnam zurückzuführen sind.
Für Benutzer in Russland: Durch keine Bestimmung dieser Nutzungsbedingungen wird die Haftung seitens Abbott für vorsätzliches Fehlverhalten ausgeschlossen.
Für Benutzer in der Türkei: Nichts in diesen Nutzungsbedingungen schließt die Haftung von Abbott für grobe Fahrlässigkeit oder vorsätzliches Fehlverhalten aus.
Kündigung Ihres LibreView-Datenverarbeitungssystem-Kontos: Diese Nutzungsbedingungen treten mit Ihrer Erstellung eines LibreView-Datenverarbeitungssystem-Kontos in Kraft und bleiben bis zur Kündigung davon gültig. Sie können Abbott jederzeit darum bitten, Ihr LibreView-Datenverarbeitungssystem-Konto zu löschen. Abbott kann Ihr LibreView-Datenverarbeitungssystem-Konto ohne vorherige Mitteilung an Sie aus einem der folgenden Gründe aussetzen oder kündigen:
Geltendes Recht:
Diese Nutzungsbedingungen werden unbeschadet jeglicher Rechtswahlbestimmungen gemäß den Gesetzen des US-Bundesstaates Illinois geregelt und interpretiert. Im Falle eines Konflikts zwischen ausländischen Gesetzen, Regelungen und Vorschriften und denjenigen der Vereinigten Staaten gelten die Gesetze, Regelungen und Vorschriften der Vereinigten Staaten im größtmöglichen Umfang. Sie erklären sich damit einverstanden, dass diese Nutzungsbedingungen uneingeschränkt im US-Bundesstaat Illinois durchführbar sind und dass in Bezug auf sämtliche Verfahren, die sich aus diesen Nutzungsbedingungen oder aus der Beziehung zwischen den Parteien ergeben, die staatlichen und Bundesgerichte des Staates Illinois, Vereinigte Staaten von Amerika, die zuständige Gerichtsbarkeit und der Gerichtsstand sind. Die Parteien vereinbaren hiermit, dass das Übereinkommen der Vereinten Nationen über Verträge über den internationalen Warenkauf nicht auf diese Nutzungsbedingungen anwendbar ist.
Für Benutzer im EWR, im Vereinigten Königreich, in der Schweiz, in Indien und Indonesien: Diese Nutzungsbedingungen werden nach englischem Recht geregelt und interpretiert. Die Parteien vereinbaren hiermit, dass das Übereinkommen der Vereinten Nationen über Verträge über den internationalen Warenkauf nicht auf diese Nutzungsbedingungen anwendbar ist. Jegliche Streitigkeiten, die sich aus oder in Verbindung mit diesen Nutzungsbedingungen ergeben, einschließlich jeglicher Fragen bezüglich ihres Bestehens, ihrer Gültigkeit oder Beendigung, werden durch ein Schiedsverfahren gemäß den LCIA-Regeln, die durch Bezugnahme in dieser Klausel als hierin aufgenommen gelten, entschieden und final gelöst. Es wird ein Schiedsrichter ernannt. Schiedsgerichtssitz und -ort ist London. Die im Schiedsgerichtsverfahren verwendete Sprache ist Englisch.
Für Benutzer in Australien: Nichts in diesem Abschnitt 22 schließt die Anwendung des Competition and Consumer Act 2010 (Cth) aus oder suggeriert eine solche Ausnahme, sofern dies relevant ist.
Für Benutzer in Australien: Sie werden über Änderungen an diesen Nutzungsbedingungen benachrichtigt, wenn Sie das LibreView-Datenverarbeitungssystem starten. Änderungen gelten als von Ihnen angenommen, sofern Sie Abbott nicht schriftlich oder durch ein von Abbott genehmigtes elektronisches Kommunikationsmittel darüber in Kenntnis setzen. Abbott wird Sie darauf hinweisen, wenn Änderungen bekannt gegeben werden. Wenn Sie Widerspruch gegen eine Änderung einlegen möchten, müssen Sie dies innerhalb von sechs Wochen nach Zugang der Bekanntgabe der Änderung tun. Im Falle eines Widerspruchs ist Abbott berechtigt, Ihr LibreView-Datenverarbeitungssystem-Konto unter Einhaltung einer Kündigungsfrist von vier Wochen zu kündigen. Ansonsten gilt Abschnitt 26 nicht für Benutzer in Australien.
DURCH KLICKEN AUF „AGREE“ (STIMME ZU) BEI DER EINRICHTUNG EINES LIBREVIEW-DATENVERARBEITUNGSSYSTEM-KONTOS ALS PROFESSIONELLER BENUTZER ERKLÄREN UND GEWÄHRLEISTEN SIE, DASS SIE ORDNUNGSGEMÄSS ZUR ANNAHME DIESER NUTZUNGSBEDINGUNGEN BEFUGT SIND UND DASS ES IHRER ABSICHT ENTSPRICHT, DASS IHRE HANDLUNG ALS ELEKTRONISCHE UNTERSCHRIFT FÜR DIESE NUTZUNGSBEDINGUNGEN MIT DER GLEICHEN KRAFT UND WIRKUNG WIE EINE VON HAND GELEISTETE UNTERSCHRIFT GILT.
Bitte drucken Sie eine Kopie dieser Nutzungsbedingungen für Ihre Unterlagen aus.
(FÜR BENUTZER IM EWR, IN JAPAN, IN DER SCHWEIZ UND IM VEREINIGTEN KÖNIGREICH SIEHE DIE DATENVERARBEITUNGSVEREINBARUNG UNTEN)
VERTRAG auf der Grundlage der Standardvertragsklauseln 2021/914 – Modul 2 (Übermittlung von Verantwortlichen an Auftragsverarbeiter) und einschließlich Modul 3 (Übertragung von Auftragsverarbeitern an Auftragsverarbeiter)
Diese Vereinbarung über die Datenverarbeitung in der EU/in Japan/in der Schweiz/im Vereinigten Königreich („DPA“) ist Teil der Nutzungsbedingungen, die Ihre Nutzung der LibreView-Website auf www.LibreView.com (die „Website“) als professionelle Benutzer regeln. Bitte lesen Sie diese DPA sorgfältig durch, bevor Sie mit der Nutzung unserer Website beginnen, ein Patientenprofil erstellen, Praktiken ausüben und/oder andere professionelle Nutzer einladen, ein LibreView-Datenverarbeitungssystem-Konto zu erstellen, da diese DPA eine rechtsgültige Vereinbarung zwischen Ihnen als für die Verarbeitung Verantwortlichem und Datenexporteur und Abbott Diabetes Care Inc. 1420 Harbor Bay Parkway, Alameda, CA 94502 (USA), durch seinen Vertreter gemäß Artikel 27 der DSGVO oder andere lokale Tochtergesellschaften („Abbott“) als Verarbeiter und Datenimporteur und Abbott Laboratories als Unterauftragsverarbeiter und Erhalt von personenbezogenen Daten durch eine Weiterleitung von Abbott als Auftragsverarbeiter und Datenimporteur darstellt.
Ihr Zugang und Ihre Nutzung der Website und des LibreView-Datenverarbeitungssystems („LibreView“) setzt voraus, dass Sie sich mit dieser DPA einverstanden erklären und an sie gebunden sind. Wenn Sie mit dieser DPA nicht einverstanden sind, dürfen Sie die über diese Website verfügbaren Dienste und Informationen nicht nutzen oder darauf zugreifen. Alle zuvor bestehenden Datenschutzvereinbarungen, die sich auf LibreView oder ein LibreView-Konto für professionelle Benutzer zwischen den Parteien beziehen, werden ersetzt und gelten nicht mehr, es sei denn, die Parteien vereinbaren dies ausdrücklich.
ABSCHNITT I
Klausel 1
Zweck und Anwendungsbereich
|
(a) |
Mit diesen Standardvertragsklauseln soll sichergestellt werden, dass die Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) 1 bei der Übermittlung personenbezogener Daten an ein Drittland eingehalten werden. |
|
(b) |
Die Parteien:
|
|
(c) |
Diese Klauseln gelten für die Übermittlung personenbezogener Daten gemäß Anhang I.B. |
|
(d) |
Die Anlage zu diesen Klauseln mit den darin enthaltenen Anhängen ist Bestandteil dieser Klauseln. 1Handelt es sich bei dem Datenexporteur um einen Auftragsverarbeiter, der der Verordnung (EU) 2016/679 unterliegt und der im Auftrag eines Organs oder einer Einrichtung der Union als Verantwortlicher handelt, so gewährleistet der Rückgriff auf diese Klauseln bei der Beauftragung eines anderen Auftragsverarbeiters (Unterauftragsverarbeitung), der nicht unter die Verordnung (EU) 2016/679 fällt, ebenfalls die Einhaltung von Artikel 29 Absatz 4 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39), insofern als diese Klauseln und die gemäß Artikel 29 Absatz 3 der Verordnung (EU) 2018/1725 im Vertrag oder in einem anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter festgelegten Datenschutzpflichten angeglichen sind. Dies ist insbesondere dann der Fall, wenn sich der Verantwortliche und der Auftragsverarbeiter auf die im Beschluss 2021/ 915. enthaltenen Standardvertragsklauseln stützen.
|
Wirkung und Unabänderbarkeit der Klauseln
|
(a) |
Diese Klauseln enthalten geeignete Garantien, einschließlich durchsetzbarer Rechte betroffener Personen und wirksamer Rechtsbehelfe gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 sowie – in Bezug auf Datenübermittlungen von Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter – Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679, sofern diese nicht geändert werden, mit Ausnahme der Auswahl des entsprechenden Moduls oder der entsprechenden Module oder der Ergänzung oder Aktualisierung von Informationen in der Anlage. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und/oder weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu diesen Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden. |
|
(b) |
Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Datenexporteur gemäß der Verordnung (EU) 2016/679 unterliegt. |
Klausel 3
Drittbegünstigte
|
(a) |
Betroffene Personen können diese Klauseln als Drittbegünstigte gegenüber dem Datenexporteur und/oder dem Datenimporteur geltend machen und durchsetzen, mit folgenden Ausnahmen:
|
|
(b) |
Die Rechte betroffener Personen gemäß der Verordnung (EU) 2016/679 bleiben von Buchstabe a unberührt. |
Klausel 4
Auslegung
|
(a) |
Werden in diesen Klauseln in der Verordnung (EU) 2016/679 definierte Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in dieser Verordnung. |
|
(b) |
Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 auszulegen. |
|
(c) |
Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die mit den in der Verordnung (EU) 2016/679 vorgesehenen Rechten und Pflichten im Widerspruch steht. |
Klausel 5
Vorrang
Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen von damit zusammenhängenden Vereinbarungen zwischen den Parteien, die zu dem Zeitpunkt bestehen, zu dem diese Klauseln vereinbart oder eingegangen werden, haben diese Klauseln Vorrang.
Klausel 6
Beschreibung der Datenübermittlung(en)
Die Einzelheiten der Datenübermittlung(en), insbesondere die Kategorien der übermittelten personenbezogenen Daten und der/die Zweck(e), zu dem/denen sie übermittelt werden, sind in Anhang I.B aufgeführt.
Klausel 7
Absichtlich leer gelassen
ABSCHNITT II – PFLICHTEN DER PARTEIEN
Klausel 8
Datenschutzgarantien
Der Datenexporteur versichert, sich im Rahmen des Zumutbaren davon überzeugt zu haben, dass der Datenimporteur – durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen – in der Lage ist, seinen Pflichten aus diesen Klauseln nachzukommen.
MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
8.1 Weisungen
|
(a) |
Der Datenimporteur verarbeitet die personenbezogenen Daten nur auf dokumentierte Weisung des Datenexporteurs. Der Datenexporteur kann solche Weisungen während der gesamten Vertragslaufzeit erteilen. |
|
(b) |
Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er diese Weisungen nicht befolgen kann. |
8.2 Zweckbindung
Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den/die in Anhang I.B genannten spezifischen Zweck(e), sofern keine weiteren Weisungen des Datenexporteurs bestehen.
8.3 Transparenz
Auf Anfrage stellt der Datenexporteur der betroffenen Person eine Kopie dieser Klauseln, einschließlich der von den Parteien ausgefüllten Anlage, unentgeltlich zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich der in Anhang II beschriebenen Maßnahmen und personenbezogener Daten, notwendig ist, kann der Datenexporteur Teile des Textes der Anlage zu diesen Klauseln vor der Weitergabe einer Kopie unkenntlich machen; er legt jedoch eine aussagekräftige Zusammenfassung vor, wenn die betroffene Person andernfalls den Inhalt der Anlage nicht verstehen würde oder ihre Rechte nicht ausüben könnte. Auf Anfrage teilen die Parteien der betroffenen Person die Gründe für die Schwärzungen so weit wie möglich mit, ohne die geschwärzten Informationen offenzulegen. Diese Klausel gilt unbeschadet der Pflichten des Datenexporteurs gemäß den Artikeln 13 und 14 der Verordnung (EU) 2016/679.
8.4 Richtigkeit
Stellt der Datenimporteur fest, dass die erhaltenen personenbezogenen Daten unrichtig oder veraltet sind, unterrichtet er unverzüglich den Datenexporteur. In diesem Fall arbeitet der Datenimporteur mit dem Datenexporteur zusammen, um die Daten zu löschen oder zu berichtigen.
8.5 Dauer der Verarbeitung und Löschung oder Rückgabe der Daten
Die Daten werden vom Datenimporteur nur für die in Anhang I.B angegebene Dauer verarbeitet. Nach Wahl des Datenexporteurs löscht der Datenimporteur nach Beendigung der Erbringung der Datenverarbeitungsdienste alle im Auftrag des Datenexporteurs verarbeiteten personenbezogenen Daten und bescheinigt dem Datenexporteur, dass dies erfolgt ist, oder gibt dem Datenexporteur alle in seinem Auftrag verarbeiteten personenbezogenen Daten zurück und löscht bestehende Kopien. Bis zur Löschung oder Rückgabe der Daten stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Falls für den Datenimporteur lokale Rechtsvorschriften gelten, die ihm die Rückgabe oder Löschung der personenbezogenen Daten untersagen, sichert der Datenimporteur zu, dass er die Einhaltung dieser Klauseln auch weiterhin gewährleistet und diese Daten nur in dem Umfang und so lange verarbeitet, wie dies gemäß den betreffenden lokalen Rechtsvorschriften erforderlich ist. Dies gilt unbeschadet von Klausel 14, insbesondere der Pflicht des Datenimporteurs gemäß Klausel 14 Buchstabe e, den Datenexporteur während der Vertragslaufzeit zu benachrichtigen, wenn er Grund zu der Annahme hat, dass für ihn Rechtsvorschriften oder Gepflogenheiten gelten oder gelten werden, die nicht mit den Anforderungen in Klausel 14 Buchstabe a im Einklang stehen.
8.6 Sicherheit der Verarbeitung
|
(a) |
Der Datenimporteur und, während der Datenübermittlung, auch der Datenexporteur treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu diesen Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen die Parteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und dem/den Zweck(en) der Verarbeitung sowie den mit der Verarbeitung verbundenen Risiken für die betroffenen Personen gebührend Rechnung. Die Parteien ziehen insbesondere eine Verschlüsselung oder Pseudonymisierung, auch während der Datenübermittlung, in Betracht, wenn dadurch der Verarbeitungszweck erfüllt werden kann. Im Falle einer Pseudonymisierung verbleiben die zusätzlichen Informationen, mit denen die personenbezogenen Daten einer speziellen betroffenen Person zugeordnet werden können, soweit möglich, unter der ausschließlichen Kontrolle des Datenexporteurs. Zur Erfüllung seinen Pflichten gemäß diesem Absatz setzt der Datenimporteur mindestens die in Anhang II aufgeführten technischen und organisatorischen Maßnahmen um. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Schutzniveau bieten. |
|
(b) |
Der Datenimporteur gewährt seinem Personal nur insoweit Zugang zu den personenbezogenen Daten, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Er gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. |
|
(c) |
Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Datenimporteur gemäß diesen Klauseln ergreift der Datenimporteur geeignete Maßnahmen zur Behebung der Verletzung, darunter auch Maßnahmen zur Abmilderung ihrer nachteiligen Auswirkungen. Zudem meldet der Datenimporteur dem Datenexporteur die Verletzung unverzüglich, nachdem sie ihm bekannt wurde. Diese Meldung enthält die Kontaktdaten einer Anlaufstelle für weitere Informationen, eine Beschreibung der Art der Verletzung (soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen personenbezogenen Datensätze), die wahrscheinlichen Folgen der Verletzung und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung etwaiger nachteiliger Auswirkungen. Wenn und soweit nicht alle Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt. |
|
(d) |
Unter Berücksichtigung der Art der Verarbeitung und der dem Datenimporteur zur Verfügung stehenden Informationen arbeitet der Datenimporteur mit dem Datenexporteur zusammen und unterstützt ihn dabei, seinen Pflichten gemäß der Verordnung (EU) 2016/679 nachzukommen, insbesondere die zuständige Aufsichtsbehörde und die betroffenen Personen zu benachrichtigen. |
8.7 Sensible Daten
Soweit die Übermittlung personenbezogene Daten umfasst, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten“), wendet der Datenimporteur die in Anhang I.B beschriebenen speziellen Beschränkungen und/oder zusätzlichen Garantien an.
8.8 Weiterübermittlungen
Der Datenimporteur gibt die personenbezogenen Daten nur auf dokumentierte Weisung des Datenexporteurs an Dritte weiter. Die Daten dürfen zudem nur an Dritte weitergegeben werden, die (in demselben Land wie der Datenimporteur oder in einem anderen Drittland) außerhalb der Europäischen Union 2 ansässig sind (im Folgenden „Weiterübermittlung“), sofern der Dritte im Rahmen des betreffenden Moduls an diese Klauseln gebunden ist oder sich mit der Bindung daran einverstanden erklärt oder falls
|
(i) |
die Weiterübermittlung an ein Land erfolgt, für das ein Angemessenheitsbeschluss nach Artikel 45 der Verordnung (EU) 2016/679 gilt, der die Weiterübermittlung abdeckt, |
|
(ii) |
der Dritte auf andere Weise geeignete Garantien gemäß Artikel 46 oder Artikel 47 der Verordnung (EU) 2016/679 im Hinblick auf die betreffende Verarbeitung gewährleistet, |
|
(iii) |
die Weiterübermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit bestimmten Verwaltungs-, Gerichts- oder regulatorischen Verfahren erforderlich ist oder |
|
(iv) |
die Weiterübermittlung erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen. |
Jede Weiterübermittlung erfolgt unter der Bedingung, dass der Datenimporteur alle anderen Garantien gemäß diesen Klauseln, insbesondere die Zweckbindung, einhält.
2 Das Abkommen über den Europäischen Wirtschaftsraum (EWR-Abkommen) regelt die Einbeziehung der drei EWR-Staaten Island, Liechtenstein und Norwegen in den Binnenmarkt der Europäischen Union. Das Datenschutzrecht der Union, darunter die Verordnung (EU) 2016/679, ist in das EWR-Abkommen einbezogen und wurde in Anhang XI aufgenommen. Daher gilt eine Weitergabe durch den Datenimporteur an einen im EWR ansässigen Dritten nicht als Weiterübermittlung im Sinne dieser Klauseln.
8.9 Dokumentation und Einhaltung der Klauseln
|
(a) |
Der Datenimporteur bearbeitet Anfragen des Datenexporteurs, die sich auf die Verarbeitung gemäß diesen Klauseln beziehen, umgehend und in angemessener Weise. |
|
(b) |
Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können. Insbesondere führt der Datenimporteur geeignete Aufzeichnungen über die im Auftrag des Datenexporteurs durchgeführten Verarbeitungstätigkeiten. |
|
(c) |
Der Datenimporteur stellt dem Datenexporteur alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in diesen Klauseln festgelegten Pflichten nachzuweisen; auf Verlangen des Datenexporteurs ermöglicht er diesem, die unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung zu prüfen, und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Datenexporteur einschlägige Zertifizierungen des Datenimporteurs berücksichtigen. |
|
(d) |
Der Datenexporteur kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Datenimporteurs umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt. |
|
(e) |
Die Parteien stellen der zuständigen Aufsichtsbehörde die unter den Buchstaben b und c genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung. |
MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
8.1 Weisungen
|
(a) |
Der Datenexporteur hat dem Datenimporteur mitgeteilt, dass er als Auftragsverarbeiter nach den Weisungen seines/seiner Verantwortlichen fungiert, und der Datenexporteur stellt dem Datenimporteur diese Weisungen vor der Verarbeitung zur Verfügung. |
|
(b) |
Der Datenimporteur verarbeitet die personenbezogenen Daten nur auf der Grundlage dokumentierter Weisungen des Verantwortlichen, die dem Datenimporteur vom Datenexporteur mitgeteilt wurden, sowie auf der Grundlage aller zusätzlichen dokumentierten Weisungen des Datenexporteurs. Diese zusätzlichen Weisungen dürfen nicht im Widerspruch zu den Weisungen des Verantwortlichen stehen. Der Verantwortliche oder der Datenexporteur kann während der gesamten Vertragslaufzeit weitere dokumentierte Weisungen im Hinblick auf die Datenverarbeitung erteilen. |
|
(c) |
Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er diese Weisungen nicht befolgen kann. Ist der Datenimporteur nicht in der Lage, die Weisungen des Verantwortlichen zu befolgen, setzt der Datenexporteur den Verantwortlichen unverzüglich davon in Kenntnis. |
|
(d) |
Der Datenexporteur sichert zu, dass er dem Datenimporteur dieselben Datenschutzpflichten auferlegt hat, die im Vertrag oder in einem anderen Rechtsinstrument nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats zwischen dem Verantwortlichen und dem Datenexporteur festgelegt. |
8.2 Zweckbindung
Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den/die in Anhang I.B genannten spezifischen Übermittlungszweck(e), sofern keine weiteren Weisungen seitens des Verantwortlichen, die dem Datenimporteur vom Datenexporteur mitgeteilt wurden, oder seitens des Datenexporteurs bestehen.
8.3 Transparenz
Auf Anfrage stellt der Datenexporteur der betroffenen Person eine Kopie dieser Klauseln, einschließlich der von den Parteien ausgefüllten Anlage, unentgeltlich zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, notwendig ist, kann der Datenexporteur Teile des Textes der Anlage vor der Weitergabe einer Kopie unkenntlich machen; er legt jedoch eine aussagekräftige Zusammenfassung vor, wenn die betroffene Person andernfalls den Inhalt der Anlage nicht verstehen würde oder ihre Rechte nicht ausüben könnte. Auf Anfrage teilen die Parteien der betroffenen Person die Gründe für die Schwärzungen so weit wie möglich mit, ohne die geschwärzten Informationen offenzulegen.
8.4 Richtigkeit
Stellt der Datenimporteur fest, dass die erhaltenen personenbezogenen Daten unrichtig oder veraltet sind, unterrichtet er unverzüglich den Datenexporteur. In diesem Fall arbeitet der Datenimporteur mit dem Datenexporteur zusammen, um die Daten zu berichtigen oder zu löschen.
8.5 Dauer der Verarbeitung und Löschung oder Rückgabe der Daten
Die Daten werden vom Datenimporteur nur für die in Anhang I.B angegebene Dauer verarbeitet. Nach Wahl des Datenexporteurs löscht der Datenimporteur nach Beendigung der Datenverarbeitungsdienste alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten und bescheinigt dem Datenexporteur, dass dies erfolgt ist, oder gibt dem Datenexporteur alle in seinem Auftrag verarbeiteten personenbezogenen Daten zurück und löscht bestehende Kopien. Bis zur Löschung oder Rückgabe der Daten stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Falls für den Datenimporteur lokale Rechtsvorschriften gelten, die ihm die Rückgabe oder Löschung der personenbezogenen Daten untersagen, sichert der Datenimporteur zu, dass er die Einhaltung dieser Klauseln auch weiterhin gewährleistet und diese Daten nur in dem Umfang und so lange verarbeitet, wie dies gemäß den betreffenden lokalen Rechtsvorschriften erforderlich ist. Dies gilt unbeschadet von Klausel 14, insbesondere der Pflicht des Datenimporteurs gemäß Klausel 14 Buchstabe e, den Datenexporteur während der Vertragslaufzeit zu benachrichtigen, wenn er Grund zu der Annahme hat, dass für ihn Rechtsvorschriften oder Gepflogenheiten gelten oder gelten werden, die nicht mit den Anforderungen in Klausel 14 Buchstabe a im Einklang stehen.
8.6 Sicherheit der Verarbeitung
|
(a) |
Der Datenimporteur und, während der Datenübermittlung, auch der Datenexporteur treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu diesen Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen sie dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und dem/den Zweck(en) der Verarbeitung sowie den mit der Verarbeitung verbundenen Risiken für die betroffene Person gebührend Rechnung. Die Parteien ziehen insbesondere eine Verschlüsselung oder Pseudonymisierung, auch während der Datenübermittlung, in Betracht, wenn dadurch der Verarbeitungszweck erfüllt werden kann. Im Falle einer Pseudonymisierung verbleiben die zusätzlichen Informationen, mit denen die personenbezogenen Daten einer speziellen betroffenen Person zugeordnet werden können, soweit möglich, unter der ausschließlichen Kontrolle des Datenexporteurs oder des Verantwortlichen. Zur Erfüllung seinen Pflichten gemäß diesem Absatz setzt der Datenimporteur mindestens die in Anhang II aufgeführten technischen und organisatorischen Maßnahmen um. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Schutzniveau bieten. |
|
(b) |
Der Datenimporteur gewährt seinem Personal nur insoweit Zugang zu den Daten, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Er gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. |
|
(c) |
Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Datenimporteur gemäß diesen Klauseln ergreift der Datenimporteur geeignete Maßnahmen zur Behebung der Verletzung, darunter auch Maßnahmen zur Abmilderung ihrer nachteiligen Auswirkungen. Außerdem meldet der Datenimporteur die Verletzung dem Datenexporteur und, sofern angemessen und machbar, dem Verantwortlichen unverzüglich, nachdem ihm die Verletzung bekannt wurde. Diese Meldung enthält die Kontaktdaten einer Anlaufstelle für weitere Informationen, eine Beschreibung der Art der Verletzung (soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen personenbezogenen Datensätze), die wahrscheinlichen Folgen der Verletzung und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes der Daten, einschließlich Maßnahmen zur Abmilderung etwaiger nachteiliger Auswirkungen. Wenn und soweit nicht alle Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt. |
|
(d) |
Unter Berücksichtigung der Art der Verarbeitung und der dem Datenimporteur zur Verfügung stehenden Informationen arbeitet der Datenimporteur mit dem Datenexporteur zusammen und unterstützt ihn dabei, seinen Pflichten gemäß der Verordnung (EU) 2016/679 nachzukommen, insbesondere den Verantwortlichen zu unterrichten, damit dieser wiederum die zuständige Aufsichtsbehörde und die betroffenen Personen benachrichtigen kann. |
8.7 Sensible Daten
Soweit die Übermittlung personenbezogene Daten umfasst, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten“), wendet der Datenimporteur die in Anhang I.B angegebenen speziellen Beschränkungen und/oder zusätzlichen Garantien an.
8.8 Weiterübermittlungen
Der Datenimporteur gibt die personenbezogenen Daten nur auf der Grundlage dokumentierter Weisungen des Verantwortlichen, die dem Datenimporteur vom Datenexporteur mitgeteilt wurden, an Dritte weiter. Die Daten dürfen zudem nur an Dritte weitergegeben werden, die (in demselben Land wie der Datenimporteur oder in einem anderen Drittland) außerhalb der Europäischen Union 3 ansässig sind (im Folgenden „Weiterübermittlung“), sofern der Dritte im Rahmen des betreffenden Moduls an diese Klauseln gebunden ist oder sich mit der Bindung daran einverstanden erklärt oder falls
|
(i) |
die Weiterübermittlung an ein Land erfolgt, für das ein Angemessenheitsbeschluss nach Artikel 45 der Verordnung (EU) 2016/679 gilt, der die Weiterübermittlung abdeckt, |
|
(ii) |
der Dritte auf andere Weise geeignete Garantien gemäß Artikel 46 oder Artikel 47 der Verordnung (EU) 2016/679 gewährleistet, |
|
(iii) |
die Weiterübermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit bestimmten Verwaltungs-, Gerichts- oder regulatorischen Verfahren erforderlich ist oder |
|
(iv) |
die Weiterübermittlung erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen. |
Jede Weiterübermittlung erfolgt unter der Bedingung, dass der Datenimporteur alle anderen Garantien gemäß diesen Klauseln, insbesondere die Zweckbindung, einhält.
8.9 Dokumentation und Einhaltung der Klauseln
|
(a) |
Der Datenimporteur bearbeitet Anfragen des Datenexporteurs oder des Verantwortlichen, die sich auf die Verarbeitung gemäß diesen Klauseln beziehen, umgehend und in angemessener Weise. |
|
(b) |
Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können. Insbesondere führt der Datenimporteur geeignete Aufzeichnungen über die im Auftrag des Verantwortlichen durchgeführten Verarbeitungstätigkeiten. |
|
(c) |
Der Datenimporteur stellt dem Datenexporteur alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten Pflichten erforderlich sind, und der Datenexporteur stellt diese Informationen wiederum dem Verantwortlichen bereit. |
|
(d) |
Der Datenimporteur ermöglicht dem Datenexporteur die Prüfung der unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung und trägt zu einer solchen Prüfung bei. Gleiches gilt, wenn der Datenexporteur eine Prüfung auf Weisung des Verantwortlichen beantragt. Bei der Entscheidung über eine Prüfung kann der Datenexporteur einschlägige Zertifizierungen des Datenimporteurs berücksichtigen. |
|
(e) |
Wird die Prüfung auf Weisung des Verantwortlichen durchgeführt, stellt der Datenexporteur die Ergebnisse dem Verantwortlichen zur Verfügung. |
|
(f) |
Der Datenexporteur kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Parteien stellen der zuständigen Aufsichtsbehörde die unter den Buchstaben b und c genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung. |
Klausel 9
Einsatz von Unterauftragsverarbeitern
MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
|
(a) |
ALLGEMEINE SCHRIFTLICHE GENEHMIGUNG. Der Datenimporteur besitzt die allgemeine Genehmigung des Datenexporteurs für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Der Datenimporteur unterrichtet den Datenexporteur mindestens [Zeitraum angeben] im Voraus ausdrücklich in schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern und räumt dem Datenexporteur damit ausreichend Zeit ein, um vor der Beauftragung des/der Unterauftragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können. Der Datenimporteur stellt dem Datenexporteur die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann. |
|
(b) |
Beauftragt der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Datenexporteurs), so muss diese Beauftragung im Wege eines schriftlichen Vertrags erfolgen, der im Wesentlichen dieselben Datenschutzpflichten vorsieht wie diejenigen, die den Datenimporteur gemäß diesen Klauseln binden, einschließlich im Hinblick auf Rechte als Drittbegünstigte für betroffene Personen. 4 Die Parteien erklären sich damit einverstanden, dass der Datenimporteur durch Einhaltung der vorliegenden Klausel seinen Pflichten gemäß Klausel 8.8 nachkommt. Der Datenimporteur stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Datenimporteur gemäß diesen Klauseln unterliegt. |
|
(c) |
Der Datenimporteur stellt dem Datenexporteur auf dessen Verlangen eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, notwendig ist, kann der Datenimporteur den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen. |
|
(d) |
Der Datenimporteur haftet gegenüber dem Datenexporteur in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Datenimporteur geschlossenen Vertrag nachkommt. Der Datenimporteur benachrichtigt den Datenexporteur, wenn der Unterauftragsverarbeiter seinen Pflichten gemäß diesem Vertrag nicht nachkommt. |
|
(e) |
Der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Datenexporteur – sollte der Datenimporteur faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sein – das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben. |
4Diese Anforderung ist gegebenenfalls vom Unterauftragsverarbeiter zu erfüllen, der diesen Klauseln gemäß Klausel 7 im Rahmen des betreffenden Moduls beitritt.
MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
|
(a) |
ALLGEMEINE SCHRIFTLICHE GENEHMIGUNG. Der Datenimporteur besitzt die allgemeine Genehmigung des Verantwortlichen für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Der Datenimporteur unterrichtet den Verantwortlichen mindestens 90 im Voraus ausdrücklich in schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern und räumt dem Verantwortlichen damit ausreichend Zeit ein, um vor der Beauftragung des/der Unterauftragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können. Der Datenimporteur stellt dem Verantwortlichen die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann. Der Datenimporteur unterrichtet den Datenexporteur über die Beauftragung des/der Unterauftragsverarbeiter/s. |
|
(b) |
Beauftragt der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen), so muss diese Beauftragung im Wege eines schriftlichen Vertrags erfolgen, der im Wesentlichen dieselben Datenschutzpflichten vorsieht wie diejenigen, die den Datenimporteur gemäß diesen Klauseln binden, einschließlich im Hinblick auf Rechte als Drittbegünstigte für betroffene Personen 5. Die Parteien erklären sich damit einverstanden, dass der Datenimporteur durch Einhaltung der vorliegenden Klausel seinen Pflichten gemäß Klausel 8.8 nachkommt. Der Datenimporteur stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Datenimporteur gemäß diesen Klauseln unterliegt. |
|
(c) |
Auf Verlangen des Datenexporteurs oder des Verantwortlichen stellt der Datenimporteur eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, notwendig ist, kann der Datenimporteur den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen. |
|
(d) |
Der Datenimporteur haftet gegenüber dem Datenexporteur in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Datenimporteur geschlossenen Vertrag nachkommt. Der Datenimporteur benachrichtigt den Datenexporteur, wenn der Unterauftragsverarbeiter seinen Pflichten gemäß diesem Vertrag nicht nachkommt. |
|
(e) |
Der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Datenexporteur – sollte der Datenimporteur faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sein – das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben. |
5Diese Anforderung ist gegebenenfalls vom Unterauftragsverarbeiter zu erfüllen, der diesen Klauseln gemäß Klausel 7 im Rahmen des betreffenden Moduls beitritt.
Klausel 10
Rechte betroffener Personen
MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
|
(a) |
Der Datenimporteur unterrichtet den Datenexporteur unverzüglich über jeden Antrag, den er von einer betroffenen Person erhalten hat. Er beantwortet diesen Antrag nicht selbst, es sei denn, er wurde vom Datenexporteur dazu ermächtigt. |
|
(b) |
Der Datenimporteur unterstützt den Datenexporteur bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679 zu beantworten. Zu diesem Zweck legen die Parteien in Anhang II unter Berücksichtigung der Art der Verarbeitung die geeigneten technischen und organisatorischen Maßnahmen, durch die Unterstützung geleistet wird, sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest. |
|
(c) |
Bei der Erfüllung seiner Pflichten gemäß den Buchstaben a und b befolgt der Datenimporteur die Weisungen des Datenexporteurs. |
MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
|
(a) |
Der Datenimporteur unterrichtet den Datenexporteur und gegebenenfalls den Verantwortlichen unverzüglich über jeden Antrag, den er von einer betroffenen Person erhält; er beantwortet diesen Antrag erst dann, wenn er vom Verantwortlichen dazu ermächtigt wurde. |
|
(b) |
Der Datenimporteur unterstützt den Verantwortlichen, gegebenenfalls in Zusammenarbeit mit dem Datenexporteur, bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 zu beantworten. Zu diesem Zweck legen die Parteien in Anhang II unter Berücksichtigung der Art der Verarbeitung die geeigneten technischen und organisatorischen Maßnahmen, durch die Unterstützung geleistet wird, sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest. |
|
(c) |
Bei der Erfüllung seiner Pflichten gemäß den Buchstaben a und b befolgt der Datenimporteur die Weisungen des Verantwortlichen, die ihm vom Datenexporteur übermittelt wurden. |
Klausel 11
Rechtsbehelf
|
(a) |
Der Datenimporteur informiert die betroffenen Personen in transparenter und leicht zugänglicher Form mittels individueller Benachrichtigung oder auf seiner Website über eine Anlaufstelle, die befugt ist, Beschwerden zu bearbeiten. Er bearbeitet umgehend alle Beschwerden, die er von einer betroffenen Person erhält. |
MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
|
(b) |
Im Falle einer Streitigkeit zwischen einer betroffenen Person und einer der Parteien bezüglich der Einhaltung dieser Klauseln bemüht sich die betreffende Partei nach besten Kräften um eine zügige gütliche Beilegung. Die Parteien halten einander über derartige Streitigkeiten auf dem Laufenden und bemühen sich gegebenenfalls gemeinsam um deren Beilegung. |
|
(c) |
Macht die betroffene Person ein Recht als Drittbegünstigte gemäß Klausel 3 geltend, erkennt der Datenimporteur die Entscheidung der betroffenen Person an,
|
|
(d) |
Die Parteien erkennen an, dass die betroffene Person von einer Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht gemäß Artikel 80 Absatz 1 der Verordnung (EU) 2016/679 vertreten werden kann. |
|
(e) |
Der Datenimporteur unterwirft sich einem nach geltendem Unionsrecht oder dem geltenden Recht eines Mitgliedstaats verbindlichen Beschluss. |
|
(f) |
Der Datenimporteur erklärt sich damit einverstanden, dass die Entscheidung der betroffenen Person nicht ihre materiellen Rechte oder Verfahrensrechte berührt, Rechtsbehelfe im Einklang mit geltenden Rechtsvorschriften einzulegen. |
Klausel 12
Haftung
MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
|
(a) |
Jede Partei haftet gegenüber der/den anderen Partei(en) für Schäden, die sie der/den anderen Partei(en) durch einen Verstoß gegen diese Klauseln verursacht. |
|
(b) |
Der Datenimporteur haftet gegenüber der betroffenen Person, und die betroffene Person hat Anspruch auf Schadenersatz für jeden materiellen oder immateriellen Schaden, den der Datenimporteur oder sein Unterauftragsverarbeiter der betroffenen Person verursacht, indem er deren Rechte als Drittbegünstigte gemäß diesen Klauseln verletzt. |
|
(c) |
Ungeachtet von Buchstabe b haftet der Datenimporteur gegenüber der betroffenen Person, und die betroffene Person hat Anspruch auf Schadenersatz für jeden materiellen oder immateriellen Schaden, den der Datenexporteur oder der Datenimporteur (oder dessen Unterauftragsverarbeiter) der betroffenen Person verursacht, indem er deren Rechte als Drittbegünstigte gemäß diesen Klauseln verletzt. Dies gilt unbeschadet der Haftung des Datenexporteurs und, sofern der Datenexporteur ein im Auftrag eines Verantwortlichen handelnder Auftragsverarbeiter ist, unbeschadet der Haftung des Verantwortlichen gemäß der Verordnung (EU) 2016/679 oder gegebenenfalls der Verordnung (EU) 2018/1725. |
|
(d) |
Die Parteien erklären sich damit einverstanden, dass der Datenexporteur, der nach Buchstabe c für durch den Datenimporteur (oder dessen Unterauftragsverarbeiter) verursachte Schäden haftet, berechtigt ist, vom Datenimporteur den Teil des Schadenersatzes zurückzufordern, der der Verantwortung des Datenimporteurs für den Schaden entspricht. |
|
(e) |
Ist mehr als eine Partei für Schäden verantwortlich, die der betroffenen Person infolge eines Verstoßes gegen diese Klauseln entstanden sind, so haften alle verantwortlichen Parteien gesamtschuldnerisch, und die betroffene Person ist berechtigt, gegen jede der Parteien gerichtlich vorzugehen. |
|
(f) |
Die Parteien erklären sich damit einverstanden, dass eine Partei, die nach Buchstabe e haftbar gemacht wird, berechtigt ist, von der/den anderen Partei(en) den Teil des Schadenersatzes zurückzufordern, der deren Verantwortung für den Schaden entspricht. |
|
(g) |
Der Datenimporteur kann sich nicht auf das Verhalten eines Unterauftragsverarbeiters berufen, um sich seiner eigenen Haftung entziehen. |
Klausel 13
Aufsicht
MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
|
(a) |
Wenn der Datenexporteur in einem EU-Mitgliedstaat niedergelassen ist: Die Aufsichtsbehörde, die dafür verantwortlich ist, sicherzustellen, dass der Datenexporteur bei Datenübermittlungen die Verordnung (EU) 2016/679 einhält, fungiert als zuständige Aufsichtsbehörde (entsprechend der Angabe in Anhang I.C). Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen ist, aber nach Artikel 3 Absatz 2 der Verordnung (EU) 2016/679 in den räumlichen Anwendungsbereich dieser Verordnung fällt und einen Vertreter gemäß Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 benannt hat: Die Aufsichtsbehörde des Mitgliedstaats, in dem der Vertreter nach Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 niedergelassen ist, fungiert als zuständige Aufsichtsbehörde (entsprechend der Angabe in Anhang I.C). Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen ist, aber nach Artikel 3 Absatz 2 der Verordnung (EU) 2016/679 in den räumlichen Anwendungsbereich dieser Verordnung fällt, ohne jedoch einen Vertreter gemäß Artikel 27 Absatz 2 der Verordnung (EU) 2016/679 benennen zu müssen: Die Aufsichtsbehörde eines der Mitgliedstaaten, in denen die betroffenen Personen niedergelassen sind, deren personenbezogene Daten gemäß diesen Klauseln im Zusammenhang mit den ihnen angebotenen Waren oder Dienstleistungen übermittelt werden oder deren Verhalten beobachtet wird, fungiert als zuständige Aufsichtsbehörde (entsprechend der Angabe in Anhang I.C). |
|
(b) |
Der Datenimporteur erklärt sich damit einverstanden, sich der Zuständigkeit der zuständigen Aufsichtsbehörde zu unterwerfen und bei allen Verfahren, mit denen die Einhaltung dieser Klauseln sichergestellt werden soll, mit ihr zusammenzuarbeiten. Insbesondere erklärt sich der Datenimporteur damit einverstanden, Anfragen zu beantworten, sich Prüfungen zu unterziehen und den von der Aufsichtsbehörde getroffenen Maßnahmen, darunter auch Abhilfemaßnahmen und Ausgleichsmaßnahmen, nachzukommen. Er bestätigt der Aufsichtsbehörde in schriftlicher Form, dass die erforderlichen Maßnahmen ergriffen wurden. |
ABSCHNITT III – LOKALE RECHTSVORSCHRIFTEN UND PFLICHTEN IM FALLE DES ZUGANGS VON BEHÖRDEN ZU DEN DATEN
Klausel 14
Lokale Rechtsvorschriften und Gepflogenheiten, die sich auf die Einhaltung der Klauseln auswirken
MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
|
(a) |
Die Parteien sichern zu, keinen Grund zu der Annahme zu haben, dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland, einschließlich Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die öffentlichen Behörden den Zugang zu diesen Daten gestatten, den Datenimporteur an der Erfüllung seiner Pflichten gemäß diesen Klauseln hindern. Dies basiert auf dem Verständnis, dass Rechtsvorschriften und Gepflogenheiten, die den Wesensgehalt der Grundrechte und Grundfreiheiten achten und nicht über Maßnahmen hinausgehen, die in einer demokratischen Gesellschaft notwendig und verhältnismäßig sind, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele sicherzustellen, nicht im Widerspruch zu diesen Klauseln stehen. |
|
(b) |
Die Parteien erklären, dass sie hinsichtlich der Zusicherung in Buchstabe a insbesondere die folgenden Aspekte gebührend berücksichtigt haben:
|
|
(c) |
Der Datenimporteur versichert, dass er sich im Rahmen der Beurteilung nach Buchstabe b nach besten Kräften bemüht hat, dem Datenexporteur sachdienliche Informationen zur Verfügung zu stellen, und erklärt sich damit einverstanden, dass er mit dem Datenexporteur weiterhin zusammenarbeiten wird, um die Einhaltung dieser Klauseln zu gewährleisten. |
|
(d) |
Die Parteien erklären sich damit einverstanden, die Beurteilung nach Buchstabe b zu dokumentieren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen. |
|
(e) |
Der Datenimporteur erklärt sich damit einverstanden, während der Laufzeit des Vertrags den Datenexporteur unverzüglich zu benachrichtigen, wenn er nach Zustimmung zu diesen Klauseln Grund zu der Annahme hat, dass für ihn Rechtsvorschriften oder Gepflogenheiten gelten, die nicht mit den Anforderungen in Buchstabe a im Einklang stehen; hierunter fällt auch eine Änderung der Rechtsvorschriften des Drittlandes oder eine Maßnahme (z. B. ein Offenlegungsersuchen), die sich auf eine nicht mit den Anforderungen in Buchstabe a im Einklang stehende Anwendung dieser Rechtsvorschriften in der Praxis bezieht. [In Bezug auf Modul drei: Der Datenexporteur leitet die Benachrichtigung an den Verantwortlichen weiter.] |
|
(f) |
Nach einer Benachrichtigung gemäß Buchstabe e oder wenn der Datenexporteur anderweitig Grund zu der Annahme hat, dass der Datenimporteur seinen Pflichten gemäß diesen Klauseln nicht mehr nachkommen kann, ermittelt der Datenexporteur unverzüglich geeignete Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit), die der Datenexporteur und/oder der Datenimporteur ergreifen müssen, um Abhilfe zu schaffen, [in Bezug auf Modul drei: gegebenenfalls in Absprache mit dem Verantwortlichen]. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Auffassung ist, dass keine geeigneten Garantien für eine derartige Übermittlung gewährleistet werden können, oder wenn er [in Bezug Modul drei: vom Verantwortlichen oder] von der dafür zuständigen Aufsichtsbehörde dazu angewiesen wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit es um die Verarbeitung personenbezogener Daten gemäß diesen Klauseln geht. Sind mehr als zwei Parteien an dem Vertrag beteiligt, so kann der Datenexporteur von diesem Kündigungsrecht nur gegenüber der verantwortlichen Partei Gebrauch machen, sofern die Parteien nichts anderes vereinbart haben. Wird der Vertrag gemäß dieser Klausel gekündigt, finden Klausel 16 Buchstaben d und e Anwendung. |
6Zur Ermittlung der Auswirkungen derartiger Rechtsvorschriften und Gepflogenheiten auf die Einhaltung dieser Klauseln können in die Gesamtbeurteilung verschiedene Elemente einfließen. Diese Elemente können einschlägige und dokumentierte praktische Erfahrungen im Hinblick darauf umfassen, ob es bereits früher Ersuchen um Offenlegung seitens Behörden gab, die einen hinreichend repräsentativen Zeitrahmen abdecken, oder ob es solche Ersuchen nicht gab. Dies betrifft insbesondere interne Aufzeichnungen oder sonstige Belege, die fortlaufend mit gebührender Sorgfalt erstellt und von leitender Ebene bestätigt wurden, sofern diese Informationen rechtmäßig an Dritte weitergegeben werden können. Sofern anhand dieser praktischen Erfahrungen der Schluss gezogen wird, dass dem Datenimporteur die Einhaltung dieser Klauseln nicht unmöglich ist, muss dies durch weitere relevante objektive Elemente untermauert werden; den Parteien obliegt die sorgfältige Prüfung, ob alle diese Elemente ausreichend zuverlässig und repräsentativ sind, um die getroffene Schlussfolgerung zu bekräftigen. Insbesondere müssen die Parteien berücksichtigen, ob ihre praktische Erfahrung durch öffentlich verfügbare oder anderweitig zugängliche zuverlässige Informationen über das Vorhandensein oder Nicht-Vorhandensein von Ersuchen innerhalb desselben Wirtschaftszweigs und/oder über die Anwendung der Rechtsvorschriften in der Praxis, wie Rechtsprechung und Berichte unabhängiger Aufsichtsgremien, erhärtet und nicht widerlegt wird.
Klausel 15
Pflichten des Datenimporteurs im Falle des Zugangs von Behörden zu den Daten
MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
15.1 Benachrichtigung
|
(a) |
Der Datenimporteur erklärt sich damit einverstanden, den Datenexporteur und, soweit möglich, die betroffene Person (gegebenenfalls mit Unterstützung des Datenexporteurs) unverzüglich zu benachrichtigen,
|
[In Bezug auf Modul drei: Der Datenexporteur leitet die Benachrichtigung an den Verantwortlichen weiter.]
|
(b) |
Ist es dem Datenimporteur gemäß den Rechtsvorschriften des Bestimmungslandes untersagt, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, so erklärt sich der Datenimporteur einverstanden, sich nach besten Kräften um eine Aufhebung des Verbots zu bemühen, damit möglichst viele Informationen so schnell wie möglich mitgeteilt werden können. Der Datenimporteur verpflichtet sich, seine Anstrengungen zu dokumentieren, um diese auf Verlangen des Datenexporteurs nachweisen zu können. |
|
(c) |
Soweit dies nach den Rechtsvorschriften des Bestimmungslandes zulässig ist, erklärt sich der Datenimporteur bereit, dem Datenexporteur während der Vertragslaufzeit in regelmäßigen Abständen möglichst viele sachdienliche Informationen über die eingegangenen Ersuchen zur Verfügung zu stellen (insbesondere Anzahl der Ersuchen, Art der angeforderten Daten, ersuchende Behörde(n), ob Ersuchen angefochten wurden und das Ergebnis solcher Anfechtungen usw.). [In Bezug auf Modul drei: Der Datenexporteur leitet die Informationen an den Verantwortlichen weiter.] |
|
(d) |
Der Datenimporteur erklärt sich damit einverstanden, die Informationen gemäß den Buchstaben a bis c während der Vertragslaufzeit aufzubewahren und der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen. |
|
(e) |
Die Buchstaben a bis c gelten unbeschadet der Pflicht des Datenimporteurs gemäß Klausel 14 Buchstabe e und Klausel 16, den Datenexporteur unverzüglich zu informieren, wenn er diese Klauseln nicht einhalten kann. |
15.2 Überprüfung der Rechtmäßigkeit und Datenminimierung
|
(a) |
Der Datenimporteur erklärt sich damit einverstanden, die Rechtmäßigkeit des Offenlegungsersuchens zu überprüfen, insbesondere ob das Ersuchen im Rahmen der Befugnisse liegt, die der ersuchenden Behörde übertragen wurden, und das Ersuchen anzufechten, wenn er nach sorgfältiger Beurteilung zu dem Schluss kommt, dass hinreichende Gründe zu der Annahme bestehen, dass das Ersuchen nach den Rechtsvorschriften des Bestimmungslandes, gemäß geltenden völkerrechtlichen Verpflichtungen und nach den Grundsätzen der Völkercourtoisie rechtswidrig ist. Unter den genannten Bedingungen sind vom Datenimporteur mögliche Rechtsmittel einzulegen. Bei der Anfechtung eines Ersuchens erwirkt der Datenimporteur einstweilige Maßnahmen, um die Wirkung des Ersuchens auszusetzen, bis die zuständige Justizbehörde über dessen Begründetheit entschieden hat. Er legt die angeforderten personenbezogenen Daten erst offen, wenn dies nach den geltenden Verfahrensregeln erforderlich ist. Diese Anforderungen gelten unbeschadet der Pflichten des Datenimporteurs gemäß Klausel 14 Buchstabe e. |
|
(b) |
Der Datenimporteur erklärt sich damit einverstanden, seine rechtliche Beurteilung und eine etwaige Anfechtung des Offenlegungsersuchens zu dokumentieren und diese Unterlagen dem Datenexporteur zur Verfügung zu stellen, soweit dies nach den Rechtsvorschriften des Bestimmungslandes zulässig ist. Auf Anfrage stellt er diese Unterlagen auch der zuständigen Aufsichtsbehörde zur Verfügung. [In Bezug auf Modul drei: Der Datenexporteur stellt die Beurteilung dem Verantwortlichen zur Verfügung.] |
|
(c) |
Der Datenimporteur erklärt sich damit einverstanden, bei der Beantwortung eines Offenlegungsersuchens auf der Grundlage einer vernünftigen Auslegung des Ersuchens die zulässige Mindestmenge an Informationen bereitzustellen. |
ABSCHNITT IV – SCHLUSSBESTIMMUNGEN
Klausel 16
Verstöße gegen die Klauseln und Beendigung des Vertrags
|
(a) |
Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Klauseln einzuhalten. |
|
(b) |
Verstößt der Datenimporteur gegen diese Klauseln oder kann er diese Klauseln nicht einhalten, setzt der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aus, bis der Verstoß beseitigt oder der Vertrag beendet ist. Dies gilt unbeschadet von Klausel 14 Buchstabe f. |
|
(c) |
Der Datenexporteur ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn
In diesen Fällen unterrichtet der Datenexporteur die zuständige Aufsichtsbehörde [in Bezug auf Modul drei: und den Verantwortlichen] über derartige Verstöße. Sind mehr als zwei Parteien an dem Vertrag beteiligt, so kann der Datenexporteur von diesem Kündigungsrecht nur gegenüber der verantwortlichen Partei Gebrauch machen, sofern die Parteien nichts anderes vereinbart haben. |
|
(d) |
[In Bezug auf die Module eins, zwei und drei: Personenbezogene Daten, die vor Beendigung des Vertrags gemäß Buchstabe c übermittelt wurden, müssen nach Wahl des Datenexporteurs unverzüglich an diesen zurückgegeben oder vollständig gelöscht werden. Dies gilt gleichermaßen für alle Kopien der Daten.] Bis zur Löschung oder Rückgabe der Daten stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Falls für den Datenimporteur lokale Rechtsvorschriften gelten, die ihm die Rückgabe oder Löschung der übermittelten personenbezogenen Daten untersagen, sichert der Datenimporteur zu, dass er die Einhaltung dieser Klauseln auch weiterhin gewährleistet und diese Daten nur in dem Umfang und so lange verarbeitet, wie dies gemäß den betreffenden lokalen Rechtsvorschriften erforderlich ist. |
|
(e) |
Jede Partei kann ihre Zustimmung widerrufen, durch diese Klauseln gebunden zu sein, wenn i) die Europäische Kommission einen Beschluss nach Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 erlässt, der sich auf die Übermittlung personenbezogener Daten bezieht, für die diese Klauseln gelten, oder ii) die Verordnung (EU) 2016/679 Teil des Rechtsrahmens des Landes wird, an das die personenbezogenen Daten übermittelt werden. Dies gilt unbeschadet anderer Verpflichtungen, die für die betreffende Verarbeitung gemäß der Verordnung (EU) 2016/679 gelten. |
Klausel 17
Anwendbares Recht
MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
Diese Klauseln unterliegen dem Recht des EU-Mitgliedstaats, in dem der Datenexporteur niedergelassen ist. Wenn dieses Recht keine Rechte als Drittbegünstigte zulässt, unterliegen diese Klauseln dem Recht eines anderen EU-Mitgliedstaats, das Rechte als Drittbegünstigte zulässt.
Klausel 18
Gerichtsstand und Zuständigkeit
MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
|
(a) |
Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten eines EU-Mitgliedstaats beigelegt. |
|
(b) |
Die Vertragsparteien vereinbaren, dass dies die Gerichte des Mitgliedstaats sind, dessen Recht nach Klausel 17 anwendbar ist. |
|
(c) |
Eine betroffene Person kann Klage gegen den Datenexporteur und/oder den Datenimporteur auch vor den Gerichten des Mitgliedstaats erheben, in dem sie ihren gewöhnlichen Aufenthaltsort hat. |
|
(d) |
Die Parteien erklären sich damit einverstanden, sich der Zuständigkeit dieser Gerichte zu unterwerfen. |
ANHANG I
A. LISTE DER PARTEIEN
MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
Datenexporteur(e):
Professioneller Benutzer, ein Anbieter von Gesundheitsdienstleistungen für Patienten.
Rolle: Controlle
Datenimporteur(e):
Abbott, der Anbieter des LibreView Datenverarbeitungssystems.
Rolle: Verarbeiter
MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
Datenexporteur(e):
Abbott, der Anbieter des LibreView Datenverarbeitungssystems.
Rolle: Verarbeiter
Datenimporteur(e):
Abbott Laboratories
Rolle: Unterauftragsverarbeiter
B. BESCHREIBUNG DER DATENÜBERMITTLUNG
MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
Kategorien betroffener Personen, deren personenbezogene Daten übermittelt werden
Die übermittelten personenbezogenen Daten betreffen die folgenden Kategorien von betroffenen Personen:
Kategorien der übermittelten personenbezogenen Daten
Die übermittelten personenbezogenen Daten betreffen die folgenden Kategorien von Daten:
Daten zur Registrierung
IT-Nutzungsdaten
Übermittelte sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Garantien, die der Art der Daten und den verbundenen Risiken in vollem Umfang Rechnung tragen, z. B. strenge Zweckbindung, Zugangsbeschränkungen (einschließlich des Zugangs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnungen über den Zugang zu den Daten, Beschränkungen für Weiterübermittlungen oder zusätzliche Sicherheitsmaßnahmen
Häufigkeit der Übermittlung (z. B. ob die Daten einmalig oder kontinuierlich übermittelt werden)
Kontinuierlich, solange der Datenexporteur den Dienst des Datenimporteurs nutzt.
Art der Verarbeitung
Die übermittelten personenbezogenen Daten sind Gegenstand der folgenden Verarbeitungsvorgänge:
Zweck(e) der Datenübermittlung und Weiterverarbeitung
Bereitstellung, Betrieb und Wartung des LibreView Datenverarbeitungssystems.
Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
Der Datenimporteur speichert die persönlichen Daten der Patienten des Datenexporteurs so lange, wie der Datenexporteur über ein aktives LibreView Datenverarbeitungssystem-Konto als professioneller Benutzer verfügt, es sei denn, der Datenexporteur entscheidet sich für eine frühere Löschung seiner Patienteninformationen. Das LibreView Datenverarbeitungssystem-Konto des professionellen Benutzers des Datenexporteurs gilt als inaktiv, wenn es sechs (6) Monate lang nicht benutzt wurde. Darüber hinaus kann der Datenimporteur personenbezogene Daten in Übereinstimmung mit den geltenden gesetzlichen Bestimmungen aufbewahren.
MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
Kategorien betroffener Personen, deren personenbezogene Daten übermittelt werden
Die übermittelten personenbezogenen Daten betreffen die folgenden Kategorien von betroffenen Personen:
Kategorien der übermittelten personenbezogenen Daten:
Die übermittelten personenbezogenen Daten betreffen die folgenden Kategorien von Daten:
Daten zur Registrierung
IT-Nutzungsdaten
Übermittelte sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Garantien, die der Art der Daten und den verbundenen Risiken in vollem Umfang Rechnung tragen, z. B. strenge Zweckbindung, Zugangsbeschränkungen (einschließlich des Zugangs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnungen über den Zugang zu den Daten, Beschränkungen für Weiterübermittlungen oder zusätzliche Sicherheitsmaßnahmen
Häufigkeit der Übermittlung (z. B. ob die Daten einmalig oder kontinuierlich übermittelt werden)
Nach Maßgabe der Erbringung von Wartungsdienstleistungen.
Art der Verarbeitung
Die übermittelten personenbezogenen Daten sind Gegenstand der folgenden Verarbeitungsvorgänge:
Zweck(e) der Datenübermittlung und Weiterverarbeitung
Bereitstellung, Betrieb und Wartung des LibreView Datenverarbeitungssystems.
Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
Sobald das Problem, für das die Wartungsdienste erbracht wurden, gelöst ist, werden die personenbezogenen Daten vom Datenimporteur gelöscht.
C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE
MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
Die für den Verantwortlichen zuständige Aufsichtsbehörde.
ANHANG II
TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MASSNAHMEN ZUR GEWÄHRLEISTUNG DER DATENSICHERHEIT
MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
Eine Beschreibung der technischen und organisatorischen Maßnahmen, die Abbott gemäß Klausel 8.6 der Standardvertragsklauseln durchführt, ist in Anhang C (Sicherheitsmaßnahmen) enthalten.
Abbott hat technische und organisatorische Sicherheitsmaßnahmen eingerichtet. Sie sind in Anhang II beschrieben und sollen die laufende Vertraulichkeit, Unversehrtheit, Verfügbarkeit und Belastbarkeit seiner Verarbeitungssysteme und -dienste sicherstellen. Abbott verarbeitet personenbezogene Daten auf Servern mit Standort im EWR, die von einem branchenführenden Cloud-Dienstleister betrieben werden, der hochwertige Maßnahmen zum Schutz vor unbefugtem Zugriff bietet.
Physische Zugangskontrollen zu Verarbeitungsbereichen (Vertraulichkeit): Die von Abbotts branchenführendem Cloud-Dienstleister unternommenen Schritte im Hinblick auf das Verhindern von unbefugtem Zugang auf die Datenverarbeitungsanlagen (z. B. Telefone, Datenbanken und Anwendungsserver sowie diesbezügliche Hardware), mit denen personenbezogene Daten verarbeitet werden, enthalten die folgenden geeigneten Maßnahmen:
Zugriffskontrolle für die Nutzung bestimmter Bereiche der Datenverarbeitungsanlagen (Vertraulichkeit): Abbott ergreift geeignete Maßnahmen, um zu verhindern, dass seine Datenverarbeitungssysteme von Unbefugten genutzt werden. Dies wird erreicht durch:
Zugriffskontrolle für die Nutzung bestimmter Bereiche der Datenverarbeitungsanlagen (Vertraulichkeit): Mitarbeiter von Abbott, die befugt sind, Datenverarbeitungsanlagen zu verwenden, dürfen nur auf personenbezogene Daten zugreifen, für die sie hinreichende Zugriffsberechtigungen haben. Personenbezogene Daten, die verschlüsselt sind, können nicht ohne Genehmigung gelesen, kopiert, geändert oder entfernt werden. Dies wird erreicht durch:
Übertragungskontrolle (Unversehrtheit): Abbott unternimmt Schritte, um zu verhindern, dass personenbezogene Daten während ihrer Übertragung oder ihres Transports von Unbefugten gelesen, kopiert, geändert oder gelöscht werden. Dies wird erreicht durch:
Eingangskontrolle (Unversehrtheit): Abbott greift nicht auf Inhalte des professionellen Benutzers zu, es sei denn, es ist notwendig, um dem professionellen Benutzer die Produkte und professionellen Dienstleistungen, die dieser auswählt, zur Verfügung zu stellen. Abbott greift nicht auf Inhalte des professionellen Benutzers für andere Zwecke als die in den Nutzungsbedingungen und dieser DPA beschriebenen zu. Dementsprechend weiß Abbott nicht, welchen Inhalt der professionelle Benutzer auf seinen Systemen speichert und kann nicht unterscheiden zwischen personenbezogenen Daten und anderen Inhalten. Daher behandelt Abbott alle Inhalte professioneller Benutzer auf die gleiche Art und Weise. Auf diese Weise erhalten alle Inhalte professioneller Benutzer das gleiche hohe Sicherheitsniveau, unabhängig davon, ob dieser Inhalt personenbezogene Daten enthält oder nicht.
Abbott ergreift geeignete Maßnahmen, um sicherzustellen, dass es möglich ist, zu überprüfen und festzustellen, dass keine personenbezogenen Daten in Datenverarbeitungssysteme eingegeben oder aus Datenverarbeitungssystemen entfernt worden sind. Dies wird erreicht durch:
Auftragskontrolle: Abbott unternimmt Schritte, um sicherzustellen, dass im Falle der Verarbeitung personenbezogener Daten diese strikt in Übereinstimmung mit den Anweisungen des professionellen Benutzers verarbeitet werden. Dies wird erreicht durch:
Kontrolle der Verfügbarkeit (Verfügbarkeit): Abbott unternimmt Schritte, um sicherzustellen, dass personenbezogene Daten gegen unbeabsichtigte Vernichtung oder unbeabsichtigten Verlust geschützt sind. Dies wird erreicht durch:
Trennung der Verarbeitung für unterschiedliche Zwecke: Abbott unternimmt Schritte, um sicherzustellen, dass personenbezogene Daten, die für unterschiedliche Zwecke erfasst wurden, separat verarbeitet werden können. Dies wird erreicht durch:
Belastbarkeit: Abbott hat folgende technische und organisatorische Sicherheitsmaßnahmen eingerichtet, die insbesondere die Zuverlässigkeit unserer Systeme und Leistungen für die Verarbeitung sicherstellen sollen:
Abbott hat auch organisatorische und technische Maßnahmen ergriffen, die den Empfehlungen 01/2020 des Europäischen Datenschutzausschusses und dem Urteil des Europäischen Gerichtshofs „Schrems II“ Rechnung tragen.
ANHANG III
LISTE DER UNTERAUFTRAGSVERARBEITER
MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
| Name des Unterauftragsverarbeiters | Adresse des Unterauftragsverarbeiters | Beschreibung der Leistungen | Ort, von dem aus die Leistungen erbracht werden |
|---|---|---|---|
| Amazon Web Services | 410 Terry Avenue North, Seattle, WA 98109, USA. | Hosting der Konten des LibreView-Datenmanagementsystems für Benutzer aus dem Europäischen Wirtschaftsraum, der Schweiz und dem Vereinigten Königreich. | Frankreich für Benutzer mit Sitz in Frankreich; Deutschland für Benutzer mit Sitz in Deutschland; Irland für alle anderen Benutzer aus dem EWR, der Schweiz und dem Vereinigten Königreich; Japan für japanische Benutzer |
MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
| Name des Unterauftragsverarbeiters | Adresse des Unterauftragsverarbeiters | Beschreibung der Leistungen | Ort, von dem aus die Leistungen erbracht werden |
|---|---|---|---|
| Abbott Laboratories | 100 Abbott Park Road, Abbott Park, Ill. 60064 U.S.A. | Erbringung von Kundenbetreuungsleistungen, insbesondere Problembehebung und anderer Support für Anwendungen und Software. | Vereinigte Staaten von Amerika |
ANHANG IV
ÄNDERUNGEN DES LOKALEN RECHTS FÜR DATENEXPORTEURE, DIE NICHT DER DSGVO UNTERLIEGEN
|
1 |
Lokale Gesetzesänderungen für in der Schweiz ansässige Datenexporteure:
|
|
2 |
Lokale Gesetzesänderungen für Datenexporteure mit Sitz im Vereinigten Königreich: Britisches Addendum zum internationalen Datentransfer für die Standardvertragsklauseln der EU-Kommission Dieser Zusatz wurde vom Informationsbeauftragten („ICO“) für Parteien, die eingeschränkte Übermittlungen vornehmen, herausgegeben. Der ICO ist der Ansicht, dass er angemessene Garantien für eingeschränkte Übermittlungen bietet, wenn diese als rechtsverbindlicher Vertrag abgeschlossen werden. TEIL 1: TABELLEN Tabelle 1: Parteien
| |||||||||
Tabelle 2: Ausgewählte SCCs, Module und ausgewählte Klauseln
| Zusatz-EU-SCCs |
|
Tabelle 3: Anhanginformationen
„Anhanginformationen“ sind die Angaben, die für die ausgewählten Module gemäß dem Anhang der genehmigten EU-SCCs (mit Ausnahme der Parteien) zu machen sind und die in diesem Zusatz aufgeführt sind:
| Anhang 1A: | Auflistung der Parteien: Wie im Anhang 1A der Zusatz-EU-SCCs aufgeführt |
| Anhang 1B: | Beschreibung der Übermittlungen: Wie im Anhang 1B der Zusatz-EU-SCCs aufgeführt |
| Anhang II: | Technische und organisatorische Maßnahmen einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Daten: Wie im Anhang II der Zusatz-EU-SCCs aufgeführt |
| Anhang III: | Liste der Unterauftragsverarbeiter (nur Module 2 und 3): Wie im Anhang III der Zusatz-EU-SCCs aufgeführt |
Tabelle 4: Beendigung dieses Zusatzes bei Änderungen des genehmigten Zusatzes
| Beendigung dieses Zusatzes bei Änderungen des genehmigten Zusatzes |
|
TEIL 2: ZWANGSKLAUSELN
|
(1) |
Jede Partei erklärt sich mit den in diesem Zusatz festgelegten Bedingungen einverstanden, wenn die andere Partei sich ebenfalls mit diesem Zusatz einverstanden erklärt. |
|
(2) |
Obwohl Anhang 1A und Klausel 7 der Genehmigten EU-SCCs von den Parteien unterzeichnet werden müssen, können die Parteien diesen Zusatz zum Zweck der Durchführung von eingeschränkten Übermittlungen auf jede Weise abschließen, die sie für die Parteien rechtsverbindlich macht und es den betroffenen Personen ermöglicht, ihre in diesem Zusatz festgelegten Rechte durchzusetzen. Die Unterzeichnung dieses Zusatzes hat die gleiche Wirkung wie die Unterzeichnung der Genehmigten EU-SCCs und aller Teile der Genehmigten EU-SCCs. |
|
(3) |
Werden in diesem Zusatz Begriffe verwendet, die in den Genehmigten EU-SCCs definiert sind, so haben diese Begriffe die gleiche Bedeutung wie in den Genehmigten EU-SCCs. Darüber hinaus haben die folgenden Begriffe die folgende Bedeutung: |
| Zusatz | Dieser Zusatz zum internationalen Datentransfer besteht aus diesem Zusatz, der die Zusatz-EU-SCCs enthält. |
| Zusatz-EU-SCCs | Die Version(en) der Genehmigten EU-SCCs, denen dieser Zusatz beigefügt ist, wie in Tabelle 2 festgelegt, wird im Folgenden einschließlich der Anhangsinformationen näher erläutert. |
| Anhanginformationen | Wie im Tabelle 3 festgelegt. |
| Angemessene Schutzmaßnahmen | Das Schutzniveau der personenbezogenen Daten und der Rechte der betroffenen Personen, das nach den Datenschutzgesetzen des Vereinigten Königreichs erforderlich ist, wenn Sie eine eingeschränkte Übermittlung vornehmen und sich dabei auf die Standarddatenschutzklauseln gemäß Artikel 46 Absatz 2 Buchstabe d der Datenschutzgrundverordnung des Vereinigten Königreichs stützen. |
| Genehmigter Zusatz | Der vom ICO herausgegebene und dem Parlament gemäß § 119A des Data Protection Act 2018 am 28. Januar 2022 vorgelegte Muster-Zusatz in seiner gemäß § 18 überarbeiteten Fassung. |
| Genehmigte EU-SCCs | Die Standardvertragsklauseln, die im Anhang des Durchführungsbeschlusses (EU) 2021/914 der Kommission vom 4. Juni 2021 aufgeführt sind. |
| ICO | Der Informationsbeauftragte. |
| Eingeschränkte Übermittlung | Eine Übermittlung nach Kapitel V der Datenschutz-Grundverordnung des Vereinigten Königreichs. |
| Vereinigtes Königreich | Das Vereinigte Königreich Großbritannien und Nordirland. |
| Datenschutzgesetze des Vereinigten Königreichs | Alle Gesetze zum Datenschutz, zur Verarbeitung personenbezogener Daten, zum Schutz der Privatsphäre und/oder zur elektronischen Kommunikation, die jeweils im Vereinigten Königreich gelten, einschließlich der DSGVO des Vereinigten Königreichs und des Data Protection Act 2018. |
| DSGVO Vereinigtes Königreich | Wie in Abschnitt 3 des Data Protection Act 2018 definiert. |
Alternativ Teil 2 Zwangsklauseln:
| Zwangsklauseln | Teil 2: Obligatorische Klauseln des genehmigten Nachtrags, d. h. die Vorlage Nachtrag B.1.0, die vom ICO herausgegeben und dem Parlament gemäß s119A des Data Protection Act 2018 am 2. Februar 2022 vorgelegt wurde, in der gemäß Abschnitt 18 dieser obligatorischen Klauseln überarbeiteten Fassung. |
|
(3) |
Lokale Gesetzesänderungen für in Japan ansässige Datenexporteure:
Der Datenimporteur benachrichtigt den Datenexporteur außerdem unverzüglich innerhalb von fünf Tagen, nachdem er Kenntnis davon erlangt hat, dass eine schwerwiegende Verletzung eines oder mehrerer der folgenden Punkte eingetreten ist oder eingetreten sein könnte: Eine solche Benachrichtigung enthält die Angaben zu einer Kontaktstelle, bei der weitere Informationen eingeholt werden können, eine Beschreibung der Art der Verletzung (einschließlich der Kategorien und der ungefähren Zahl der betroffenen Personen und der betroffenen personenbezogenen Datensätze), ihrer wahrscheinlichen Folgen, der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung, gegebenenfalls einschließlich Maßnahmen zur Abschwächung ihrer möglichen nachteiligen Auswirkungen, sowie weitere Informationen, die der Datenexporteur nach Maßgabe der APPI vernünftigerweise benötigt. Diese anfängliche Frist für die Meldung schwerwiegender Verstöße kann verlängert werden, wenn triftige Gründe vorliegen, und die anschließende Frist für die Bereitstellung weiterer Informationen kann verlängert werden, wenn es für den Datenimporteur schwierig ist, alle in dieser Klausel genannten Informationen innerhalb der anfänglichen Frist bereitzustellen; in diesem Fall legt der Datenimporteur alle verfügbaren Informationen innerhalb der anfänglichen Frist vor und stellt die übrigen Informationen bereit, sobald er diese Informationen erhält. Betrifft die Übermittlung besondere Datenkategorien/sensible Daten im Sinne des APPI (nachstehend „sensible Daten“), so wendet der Datenimporteur besondere Beschränkungen und/oder zusätzliche Garantien an, die der besonderen Art der Daten und den damit verbundenen Risiken entsprechen. Dies kann die Einschränkung des Personals, das auf die personenbezogenen Daten zugreifen darf, zusätzliche Sicherheitsmaßnahmen (z. B. Pseudonymisierung) und/oder zusätzliche Beschränkungen in Bezug auf die weitere Offenlegung umfassen (weitere Einzelheiten siehe Anhang I.B).
Diese Klauseln unterliegen dem japanischen Recht.
|
DOC42186-001_rev-P_de-DE