/Card-Page%20Previews-AI.png?width=1200&height=800&name=Card-Page%20Previews-AI.png)
Gültig ab: 1. April 2025
DIESES DATENVERARBEITUNGSZUSATZ GILT, WENN SIE SICH ALS GESCHÄFTSKUNDE FÜR DIE NITRO-DIENSTE UNTER DEN NITRO NUTZUNGSBEDINGUNGEN REGISTRIERT HABEN UND DAS UK GDPR FÜR DIE VERARBEITUNG VON PERSONENBEZOGENEN DATEN IM RAHMEN DES VERTRAGES ANWENDBAR IST. FALLS SIE SICH ALS EINZELPERSON REGISTRIERT HABEN, BESUCHEN SIE BITTE NITROS DATENSCHUTZRICHTLINIE FÜR WEITERE INFORMATIONEN DARÜBER, WIE NITRO IHRE PERSONENBEZOGENEN DATEN VERARBEITET.
1. UMFANG; ROLLEN DER PARTIEN
Nitro wird personenbezogene Daten im Interesse und im Auftrag des Kunden erhalten und verarbeiten, während es den Service bereitstellt, gemäß den Anweisungen und dem Zweck, die vom Kunden in den Datenverarbeitungsdetails festgelegt werden. Durch diesen Datenverarbeitungszusatz möchten die Parteien ihre spezifischen Vereinbarungen hinsichtlich der Verarbeitung personenbezogener Daten im Rahmen des Vertrages festlegen.
Standardmäßig fungiert Nitro als Auftragsverarbeiter und der Kunde als verantwortliche Stelle in Bezug auf die von Nitro bereitgestellten Dienstleistungen gemäß den Nitro-Nutzungsbedingungen. Dieser Datenverarbeitungszusatz ersetzt und ersetzt alle vorhergehenden Vereinbarungen (falls vorhanden) zur Verarbeitung personenbezogener Daten und zum Datenschutz zwischen den Parteien bezüglich der von Nitro angebotenen Dienstleistungen.
Dieser Datenverarbeitungszusatz ergänzt und ist Teil der Nutzungsbedingungen, und zusammen bilden die Nutzungsbedingungen und dieser Datenverarbeitungszusatz eine einzige rechtliche Vereinbarung zwischen den Parteien. Im Falle von Abweichungen oder Widersprüchen zwischen diesem Datenverarbeitungszusatz und den Nutzungsbedingungen hat der Datenverarbeitungszusatz Vorrang.
2. DEFINITIONEN
„Anlage“ bezeichnet jede Anlage zu diesem Datenverarbeitungszusatz;
„Verantwortlicher“ bezieht sich auf den Kunden, wie in den Nutzungsbedingungen und dem geltenden Bestellformular angegeben;
„Datenverarbeitungsdetails“ bezeichnet Anlage 1 zu diesem Datenverarbeitungszusatz, die weitere Details zu den Anweisungen des Kunden zur Verarbeitung personenbezogener Daten, wie Zweck, Gegenstand und Art der Verarbeitung sowie die Art der verarbeiteten personenbezogenen Daten enthält;
„EU GDPR“ bedeutet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und über den freien Verkehr solcher Daten sowie die Aufhebung der Richtlinie 95/46/EG (Allgemeine Datenschutzverordnung);
„Personenbezogene Daten“ bedeutet personenbezogene Daten im Sinne des UK GDPR, die Nitro im Interesse und im Auftrag des Kunden verarbeitet, während es die Dienstleistungen gemäß den Anweisungen und dem Zweck, die vom Kunden in den Datenverarbeitungsdetails festgelegt werden;
„Auftragsverarbeiter“ bezieht sich auf Nitro Software Inc., Anbieter der Dienstleistungen für den Kunden und wie in den Nutzungsbedingungen angegeben;
„Sub-Auftragsverarbeiterliste“ bezieht sich auf die Liste von Sub-Auftragsverarbeitern, die von Nitro online zur Verfügung gestellt wird und die Sub-Auftragsverarbeiter umfasst, die von Nitro für die Bereitstellung der Dienstleistungen und die Erfüllung von Nitros Verpflichtungen aus dem Vertrag im Allgemeinen engagiert werden. Nitro kann die Sub-Auftragsverarbeiterliste von Zeit zu Zeit gemäß dem Prozess in diesem Datenverarbeitungszusatz aktualisieren;
„Sub-Auftragsverarbeiter“ bedeutet jeden Drittanbieter, der von Nitro für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Bereitstellung der Dienstleistungen an den Kunden engagiert wird;
„UK GDPR“ bedeutet den EU GDPR, der in das britische nationales Recht gemäß Abschnitt 3 des Gesetzes über den Austritt der Europäischen Union 2018 und geändert durch die Vorschriften zum Datenschutz, zur Privatsphäre und zu elektronischen Kommunikationsdiensten (Änderungen usw.) (EU-Austritt) 2019 (in der geänderten Fassung) umgesetzt wurde;
„UK personenbezogene Daten“ bedeutet personenbezogene Daten, auf die der UK GDPR anwendbar ist;
„UK Standardvertragsklauseln“ bedeutet den internationalen Datenübertragungszusatz zu den Standardvertragsklauseln der EU-Kommission, die vom Informationsbeauftragten gemäß Abschnitt 119A(1) des Datenschutzgesetzes 2018 in der Form und Art, die in Anlage 2 zu diesem Datenverarbeitungszusatz aufgeführt ist, herausgegeben wurden.
Alle anderen Begriffe und Definitionen, die mit Großbuchstaben geschrieben sind und die nicht ausdrücklich in diesem Datenverarbeitungszusatz definiert sind, werden wie im geltenden Datenschutzrecht oder in Nitros Nutzungsbedingungen definiert.
3. GEGENSTAND DIESES DATENVERARBEITUNGSZUSATZES
3.1 Dieser Datenverarbeitungszusatz legt die Bedingungen für die Verarbeitung personenbezogener Daten fest, die von oder auf Initiative des Kunden im Rahmen des Vertrags an Nitro übermittelt werden. Die Natur und der Zweck der Verarbeitung, eine Liste und die Art der personenbezogenen Daten sowie die Kategorien der betroffenen Personen sind in den Einzelheiten zur Datenverarbeitung (Anhang 1) aufgeführt.
3.2 Die Verarbeitung erfolgt ausschließlich im Interesse des Kunden und zu dem Zweck, der vom Kunden in den Einzelheiten zur Datenverarbeitung definiert ist. Nitro wird den Kunden unverzüglich informieren, wenn nach seiner Auffassung eine Anweisung gegen geltende Datenschutzgesetze verstößt. Nitro wird die personenbezogenen Daten nur gemäß den dokumentierten Anweisungen des kunden verarbeiten und diese personenbezogenen Daten nicht für eigene Zwecke verwenden, es sei denn, dies ist in den Nutzungsbedingungen ausdrücklich erlaubt. Wenn Nitro gesetzlich verpflichtet ist, von ihm personenbezogene Daten zu verarbeiten, wird Nitro, es sei denn, dies würde geltende zwingende Vorschriften verletzen, den kunden über eine solche Verpflichtung informieren.
4. BEGRIFF
4.1 Dieser Datenverarbeitungszusatz gilt für alle Verarbeitungen personenbezogener Daten, die im Zusammenhang mit der Bereitstellung der Dienstleistungen für den Kunden durch Nitro erfolgen, und gilt so lange, wie Nitro personenbezogene Daten im Auftrag des Kunden im Rahmen des Vertrags verarbeitet. Dieser Datenverarbeitungszusatz ergänzt die Nitro-Nutzungsbedingungen und dient dazu, die Einhaltung der Anforderungen sicherzustellen, die durch die geltenden Datenschutzgesetze und -verordnungen für die Nutzung der Dienstleistungen durch den Kunden auferlegt werden.
4.2 Dieser Datenverarbeitungszusatz endet automatisch mit der Beendigung des Vertrages (oder zu dem Zeitpunkt, an dem die Verarbeitung durch Nitro eingestellt wird). Die Bestimmungen dieses Datenverarbeitungszusatzes, die ausdrücklich oder implizit (nach ihrer Natur) darauf abzielen, nach Beendigung des Datenverarbeitungszusatzes Wirkung zu entfalten, bleiben mit Bezug auf die personenbezogenen Daten, die vom kunden im Rahmen des Vertrags kommuniziert wurden, über das Ende des Vertrags hinaus bestehen.
5. TECHNISCHE UND ORGANISATORISCHE MASßNAHMEN
5.1 Nitro bietet angemessene Garantien bezüglich der Umsetzung geeigneter technischer und organisatorischer Maßnahmen („TOMs“), um eine sichere Verarbeitung personenbezogener Daten zu gewährleisten und die Rechte der betroffenen Person zu schützen. Die von Nitro umgesetzten TOMs sind wie in den Einzelheiten zur Datenverarbeitung dargelegt. Die TOMs können von Nitro von Zeit zu Zeit aktualisiert werden, jedoch wird Nitro sicherstellen, dass die allgemeine Sicherheit, die zum Zeitpunkt der Ausführung des Datenverarbeitungszusatzes implementiert wurde, nicht herabgestuft wird. Der Kunde erkennt die TOMs zum Zeitpunkt der Unterzeichnung oder Annahme dieses Datenverarbeitungszusatzes als angemessen für die Verarbeitung seiner personenbezogenen Daten an.
5.2 Nitro wird alle angemessenen technischen und organisatorischen Maßnahmen gemäß Artikel 32 UK GDPR ergreifen, um ein angemessenes Sicherheitsniveau in Abhängigkeit vom Risiko zu gewährleisten.
5.3 Wenn der Kunde sensible personenbezogene Daten gemäß den Artikeln 9 und 10 UK GDPR im Rahmen des Vertrages an Nitro übergibt, wird der Kunde Nitro hierüber schriftlich unterrichten, und zwar per privacy@gonitro.com.
5.4 Falls der Kunde spezielle technische und organisatorische Maßnahmen von Nitro verlangt, die Nitro nicht standardmäßig implementiert hat, wird der Kunde Nitro für die Implementierung solcher zusätzlichen Maßnahmen gemäß Abschnitt 14 „Kosten“ dieses Datenverarbeitungszusatzes entschädigen.
5.5 Die Einhaltung durch Nitro eines genehmigten Verhaltenskodex gemäß Artikel 40 UK GDPR oder eines genehmigten Zertifizierungsmechanismus gemäß Artikel 42 UK GDPR kann als Nachweis für ausreichende Garantien gemäß UK GDPR herangezogen werden.
6. AUFBEWAHRUNG
6.1 Nitro wird personenbezogene Daten nicht länger speichern, als es für die Verarbeitung dieser personenbezogenen Daten im Rahmen des Vertrages erforderlich ist. Der Kunde wird Nitro nicht anweisen, personenbezogene Daten länger als nötig zu speichern. Die geltende Aufbewahrungsfrist (wie vom Kunden definiert) ist in den Datenverarbeitungsdetails festgelegt.
6.2 Wahlweise kann Nitro alle personenbezogenen Daten nach Beendigung der Dienstleistungen entweder löschen oder an den Kunden zurückgeben und wird vorhandene Kopien löschen, es sei denn, das geltende Recht verlangt die Speicherung der personenbezogenen Daten. Der Kunde erkennt an, dass die Dienste möglicherweise Downloadfunktionen beinhalten, die dem Kunden zur Verfügung stehen, um seine Daten herunterzuladen. Soweit solche Funktionen verfügbar sind, wird der Kunde diese Funktionen nutzen, um seine Daten zu extrahieren oder zu löschen.
7. VERTRAULICHKEIT
7.1 Die Parteien haben in den Nutzungsbedingungen eine Vertraulichkeitsklausel vereinbart, die auf die Verarbeitung personenbezogener Daten im Rahmen des Vertrages Anwendung findet.
7.2 Nitro erkennt an und stimmt zu, dass nur die Mitarbeiter, Auftragnehmer oder Vertreter von Nitro, die in die Verarbeitung personenbezogener Daten eingebunden sind, über die personenbezogenen Daten informiert werden dürfen und auch nur, soweit dies für die Erfüllung des Vertrages angemessen notwendig ist. Nitro stellt sicher, dass Personen, die zur Verarbeitung der personenbezogenen Daten berechtigt sind, vertraglich zur Vertraulichkeit verpflichtet sind oder einer entsprechenden gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen.
8. RECHTE DER BETROFFENEN PERSONEN
8.1 Unter Berücksichtigung der Art der Verarbeitung wird Nitro alle angemessenen Anstrengungen unternehmen, indem es geeignete technische und organisatorische Maßnahmen ergreift, um den Kunden bei der Erfüllung seiner Verpflichtung zu unterstützen, auf Anfragen von betroffenen Personen zu reagieren.
8.2 Für alle von Nitro im Zusammenhang mit der Bearbeitung solcher Anfragen von betroffenen Personen geleisteten Unterstützungen wird der Kunde Nitro gemäß Abschnitt 14 „Kosten“ dieses Datenverarbeitungszusatzes entschädigen. Ein solcher Rückersatz durch den Kunden gilt nicht (i) wenn die betroffene Person ihre Rechte aufgrund einer nachweislich Nitro zuzuweisenden Verletzung von personenbezogenen Daten geltend macht oder (ii) wenn eine solche Unterstützung durch Nitro nicht mehr als vier (4) Stunden Arbeit während der Laufzeit des Vertrags überschreitet.
9. MELDEPFLICHT
9.1 Nachdem Nitro von einer Verletzung personenbezogener Daten erfahren hat, wird Nitro den Kunden unverzüglich benachrichtigen, indem es sich an die im Vertrag oder im entsprechenden Bestellformular angegebene Kontaktperson wendet (oder alternativ über die vom Kunden angegebene Benachrichtigungs-E-Mail-Adresse oder (sofern zutreffend) eine andere E-Mail-Adresse, die der Kunde im Admin-Portal als Datenschutzkontakt geteilt hat). Der Ansprechpartner von Nitro für alle datenschutzbezogenen Angelegenheiten kann per E-Mail unter privacy@gonitro.com erreicht werden.
9.2 Auf Anfrage des Kunden wird Nitro den Kunden über alle neuen Entwicklungen in Bezug auf einen Vorfall von personenbezogenen Daten informieren und die Maßnahmen mitteilen, die ergriffen wurden, um die Konsequenzen zu begrenzen und die Wiederholung eines solchen Vorfalls personenbezogener Daten zu verhindern. Es liegt in der Verantwortung des kunden, jede Verletzung personenbezogener Daten der Aufsichtsbehörde oder den betroffenen Personen, soweit erforderlich, zu melden.
10. SUB-VERARBEITUNG
10.1 Der Kunde ermächtigt Nitro ausdrücklich, Unterauftragsverarbeiter für die Verarbeitung personenbezogener Daten zur Erfüllung des Vertrages zu engagieren und die Bereitstellung der Dienstleistungen im Allgemeinen zu erleichtern. In diesem Umfang erteilt der Kunde Nitro eine allgemeine schriftliche Ermächtigung, um zu entscheiden, mit welchen Unterauftragsverarbeitern Nitro zur Erfüllung seiner Verpflichtungen aus der Vereinbarung zusammenarbeitet. Nitro veröffentlicht eine Liste der Unterauftragnehmer, die sich auf die von Nitro engagierten Unterauftragnehmer bezieht.
10.2 Nitro wird den Kunden über beabsichtigte Änderungen bezüglich der Hinzufügung oder des Austausches von Unterauftragnehmern informieren, indem sie den Kontakt, der im Vertrag oder im relevanten Bestellformular angegeben ist, kontaktieren (oder über die E-Mail-Adresse des Kunden zur Benachrichtigung oder (sofern zutreffend) jede andere E-Mail-Adresse, die der Kunde im Administrationsportal als Datenschutzkontakt angegeben hat). Der Kunde hat das Recht, der Hinzufügung oder dem Austausch schriftlich zu widersprechen. Die Parteien werden in diesem Fall die Hinzufügung, den Austausch oder die Alternative in gutem Glauben und so schnell wie möglich nach der schriftlichen Einwendung des Kunden besprechen.
10.3 Wenn Nitro einen Unterauftragsverarbeiter für die Durchführung spezifischer Verarbeitungstätigkeiten beauftragt, werden die gleichen oder ähnlichen datenschutzrechtlichen Verpflichtungen, wie sie in diesem Datenverarbeitungszusatz festgelegt sind, durch eine schriftliche Vereinbarung diesem Unterauftragsverarbeiter auferlegt, insbesondere durch die Bereitstellung geeigneter Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen (und die Einhaltung der relevanten technischen und organisatorischen Maßnahmen). Wenn ein Unterauftragsverarbeiter seinen Verpflichtungen im Bereich Datenschutz nicht nachkommt, bleibt Nitro dem Kunden gegenüber voll verantwortlich für die Erfüllung der Verpflichtungen dieses Unterauftragsverarbeiters. INTERNATIONALE DATENÜBERTRAGUNGEN
11.1 Der Kunde erkennt an, dass Nitro seinen Sitz in den Vereinigten Staaten von Amerika hat und ermächtigt damit internationale Übertragungen personenbezogener Daten zum Zwecke der Bereitstellung der Dienstleistungen. Eine solche internationale Datenübertragung wird als Anweisung des Kunden betrachtet.
11.2 Falls Nitro zu irgendeinem Zeitpunkt während der Laufzeit dieses Datenverarbeitungszusatzes (i) im Rahmen der UK-Erweiterung der EU-U.S. Datenschutzrahmen (auch bekannt als die UK-U.S. ‚Datenbrücke‘) (“Rahmen”); und (ii) dieser Rahmen als gültige Angemessenheitsentscheidung für die Zwecke von Artikel 45 UK GDPR gilt, erkennen die Parteien an, dass keine angemessenen Schutzmaßnahmen für Übertragungen zwischen Kunde und Nitro erforderlich sind. Datenschutzrahmenwerk (auch bekannt als die „Datenbrücke“ zwischen dem Vereinigten Königreich und den USA) („Rahmenwerk“); und (ii) dass dieses Rahmenwerk eine gültige Angemessenheitsentscheidung für die Zwecke von Artikel 45 UK-DSGVO darstellt, erkennen die Parteien an, dass in Bezug auf Übertragungen zwischen dem Kunden und Nitro keine angemessenen Schutzmaßnahmen erforderlich sind.
11.3 Sofern die in Abschnitt 11.2 dargelegten Bedingungen nicht zutreffen, treten die Parteien in die UK Standardvertragsklauseln ein, in der Form und Weise, die im Anhang 2 zu diesem Datenverarbeitungszusatz festgelegt ist, wobei die UK Standardvertragsklauseln in diesen Datenverarbeitungszusatz aufgenommen und Teil davon werden.
11.4 Der Kunde erkennt an, dass Unterauftragsverarbeiter, die laut Klausel 10 autorisiert sind, ebenfalls personenbezogene Daten in Drittländer verarbeiten dürfen. Der Kunde erlaubt solche Übertragungen, vorausgesetzt, Nitro ergreift alle erforderlichen Schritte, um sicherzustellen, dass solche Übertragungen den Bestimmungen von Kapitel V des UK GDPR und anderen anwendbaren Datenschutzgesetzen entsprechen.
11.5 Falls die Übertragung personenbezogener Daten in ein Drittland oder an eine internationale Organisation nach geltendem Recht, dem Nitro unterliegt, erforderlich ist, darf Nitro diese Übertragung durchführen und muss den Kunden vor dieser Verarbeitung über diese gesetzliche Anforderung informieren, es sei denn, dieses Gesetz verbietet solche Informationen aus wichtigen Gründen des öffentlichen Interesses.
12. DATENSCHUTZWIRKUNGSBEURTEILUNG UND VORHERIGE KONSULTATION
12.1 Wenn der Kunde eine Datenschutz-Folgenabschätzung („DPIA“) (Artikel 35 UK GDPR) oder eine vorherige Konsultation (Artikel 36 UK GDPR) im Zusammenhang mit der Verarbeitung personenbezogener Daten im Rahmen der Durchführung des Vertrages durchführt, wird Nitro den Kunden angemessen unterstützen, indem es auf schriftliche Anfrage des Kunden Unterstützung leistet. Der Kunde wird Nitro für die gemäß Abschnitt 14 „Kosten“ dieses Datenverarbeitungsanhangs bereitgestellte Unterstützung entschädigen. Eine solche Kostenrückerstattung findet nicht statt, wenn (i) die von Nitro angeforderte Unterstützung weniger als vier (4) Arbeitsstunden während der Laufzeit des Vertrags beträgt, oder (ii) die DPIA oder die Vorabberatung durch einen nachweislich von Nitro zu verantwortenden Datenschutzvorfall ausgelöst wird.
13. RECHT AUF PRÜFUNG
13.1 Der Kunde hat das Recht, Prüfungen hinsichtlich der Einhaltung von Nitro mit seinen Verpflichtungen aus diesem Datenverarbeitungszusatz und den geltenden Datenschutzgesetzen durchzuführen. Nitro wird sich bemühen, solchen Audits zu kooperieren und alle Informationen zur Verfügung zu stellen, die zur Erfüllung seiner Verpflichtungen erforderlich sind. Der Kunde hat Nitro mindestens einen (1) Monat im Voraus über eine solche Prüfung zu benachrichtigen, indem er Nitro durch eine schriftliche Mitteilung an privacy@gonitro.com informiert.
13.2 Im Falle einer durchgeführten Prüfung müssen alle beteiligten Parteien zunächst eine spezifische Geheimhaltungsvereinbarung, die von Nitro hinsichtlich dieser Prüfung und der Prüfergebnisse ausgestellt wurde, vor Beginn der Prüfung unterzeichnen. Bei der Durchführung eines solchen Audits sind die Vertraulichkeitsverpflichtungen der Parteien gegenüber Dritten zu berücksichtigen. Sowohl die Parteien als auch ihre Prüfer müssen die im Zusammenhang mit einem Audit gesammelten Informationen geheim halten und sie ausschließlich verwenden, um die Einhaltung dieses Datenverarbeitungszusatzes und der geltenden Gesetze und Vorschriften zum Datenschutz zu überprüfen. Der Kunde hat die Möglichkeit, die Prüfung selbst durchzuführen oder einen unabhängigen Prüfer zu beauftragen; dieser unabhängige Prüfer muss jedoch die in diesem Abschnitt erwähnte Geheimhaltungsvereinbarung ordnungsgemäß unterzeichnen.
13.3 Beide Parteien und, wo anwendbar, deren Vertreter müssen auf Anfrage angemessen mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammenarbeiten.
13.4 Der Kunde wird Nitro die Unterstützung, die Nitro im Zusammenhang mit der Prüfung bereitstellt, gemäß Abschnitt 14 „Kosten“ dieses Datenverarbeitungszusatzes erstatten. Es wird verstanden, dass eine solche Rückerstattung nicht erfolgt, wenn (i) die Prüfung das Ergebnis eines nachweislich von Nitro zu verantwortenden Vorfalls mit personenbezogenen Daten ist oder (ii), wenn die Unterstützung von Nitro vier (4) Arbeitsstunden während der Laufzeit des Vertrags nicht überschreitet.
14. KOSTEN
14.1 Die Unterstützung, die unter diesem Datenverarbeitungszusatz erbracht wird, für die Nitro dem Kunden in Rechnung stellen kann, wird auf der Grundlage der geleisteten Stunden und den geltenden Standardstundensätzen von Nitro (295 USD/Stunde ohne Steuern) in Rechnung gestellt. Nitro wird diese Beträge monatlich in Rechnung stellen, hat jedoch auch das Recht, eine Vorauszahlung zu verlangen.
14.2 Die Zahlung des Kunden an Nitro für die Unterstützung und die von Nitro im Rahmen dieses Datenverarbeitungszusatzes erbrachten Dienstleistungen erfolgt in Übereinstimmung mit den Bestimmungen der Nutzungsbedingungen. HAFTUNG
15.1 Vorbehaltlich des maximal zulässigen Ausmaßes unter dem geltenden Recht gelten die Bestimmungen der Nutzungsbedingungen über die Haftungsbeschränkung auch für diesen Datenverarbeitungszusatz und die daraus resultierenden Schäden. SONSTIGES
16.1 Die Bestimmungen der Nutzungsbedingungen bezüglich Änderungen, vollständige Vereinbarung, Salvatorische Klausel, anwendbares Recht und zuständige Gerichte gelten für diesen Datenverarbeitungszusatz. Im Falle von Abweichungen oder Widersprüchen zwischen diesem Datenverarbeitungszusatz und den UK Standardvertragsklauseln haben, sofern zutreffend, die UK Standardvertragsklauseln Vorrang.
ANHANG 1 – EINZELHEITEN ZUR DATENVERARBEITUNG
A. LISTE DER PARTEIEN
1. Datenexporteur(e):
Name: Kunde, wie im Vertrag und im entsprechenden Bestellformular angegeben.
Adresse: Die Adresse des Datenexporteurs ist im Vertrag und im entsprechenden Bestellformular angegeben.
Name, Position und Kontaktdaten der Kontaktperson: Die Kontaktdaten der Kontaktperson des Datenexporteurs sind festgelegt. im Vertrag, dem entsprechenden Bestellformular (und falls zutreffend im Admin-Portal des Kunden) angegeben.
Aktivitäten, die für die übertragenen Daten relevant sind: Die Aktivitäten, die für die übertragenen Daten unter diesen UK Standardvertragsklauseln relevant sind, sind im folgenden Abschnitt B „Beschreibung der Verarbeitung/Übertragung“ beschrieben.
Unterschrift und Datum: Durch die Unterschrift oder Annahme des entsprechenden Bestellformulars gilt der Datenexporteur als diesen Anhang I unterzeichnet zu haben.
Rolle (verantwortlicher Auftragsverarbeiter): Verantwortlicher
2. Datenimporteur(e):
Name: Nitro Software Inc.
Adresse: 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Vereinigte Staaten.
Name, Position und Kontaktdaten der kontaktierenden Person: privacy@gonitro.com, 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Vereinigte Staaten.
Aktivitäten, die für die übertragenen Daten relevant sind: Die Aktivitäten, die für die im Rahmen dieser UK Standardvertragsklauseln übertragenen Daten relevant sind, werden im Abschnitt B „Beschreibung der Verarbeitung/Übertragung“ weiter unten beschrieben.
Unterschrift und Datum: Durch die Unterzeichnung oder Akzeptierung des relevanten Bestellformulars gilt der Datenimporteur als Unterzeichner dieses Anhangs I.
Rolle (Verantwortlicher/Verarbeiter): Verarbeiter
B. BESCHREIBUNG DER VERARBEITUNG/ÜBERTRAGUNG
1. GEGENSTAND DER VERARBEITUNG DER PERSONENBEZOGENEN DATEN
Der Gegenstand wird vom Kunden wie im Vertrag und im entsprechenden Bestellformular festgelegt.
2. DIE NATUR UND DER ZWECK DER VERARBEITUNG PERSONENBEZOGENER DATEN
Die Natur und der Zweck der Verarbeitung wird vom Kunden wie im Vertrag und im entsprechenden Bestellformular festgelegt.
Standardmäßig soll eine solche Verarbeitung den Zweck haben, die Dienstleistungen einschließlich aller Funktionen und Merkmale für den Kunden und seine Benutzer bereitzustellen und allgemeiner gesagt, Nitro zu ermöglichen, seinen vertraglichen Verpflichtungen im Rahmen des Vertrags nachzukommen. Ein solcher Zweck kann die Bereitstellung der Cloud-Dienste umfassen (zum Beispiel, aber nicht beschränkt auf, die Bereitstellung des Kundencloudportals, elektronische Signaturdienste, Analysedienste usw.) sowie die Bereitstellung von Support.
Die Art der Verarbeitung umfasst unter anderem die vom Kunden im Vertrag und im entsprechenden Bestellformular erteilten Anweisungen und schließt die Verarbeitung, Sammlung, Speicherung, Kommunikation und Übertragung personenbezogener Daten ein. VERARBEITETE PERSONENBEZOGENE DATEN
Abhängig von den innerhalb der Dienste genutzten Funktionen (z. B. Admin-Portal, elektronische Signaturdienste, Analysedienste usw.) und dem Inhalt der vom Kunden und seinen Nutzern in die Dienste hochgeladenen Kundendaten verarbeitet Nitro verschiedene Arten personenbezogener Daten.
Im Allgemeinen umfassen die von Nitro verarbeiteten personenbezogenen Daten ohne Einschränkung:
- Identifikationsdaten (z. B. Benutzer- und Nutzungsangaben)
- Dokumentendaten (z. B. personenbezogene Daten in verarbeiteten PDF-Dokumenten)
Ein detaillierter Überblick über die Art der verarbeiteten personenbezogenen Daten beim Einsatz der Dienste ist über Nitros Vertrauenszentrum verfügbar: https://www.gonitro.com/security-compliance/data-protection/processing-of-personal-data
4.
SENSIBLE DATENDer Datenexporteur kann sensible personenbezogene Daten gemäß Abschnitt 5.3 dieses Datenverarbeitungszusatzes in den personenbezogenen Daten einbeziehen. Übertragene sensible Daten (sofern zutreffend) und angewandte Einschränkungen oder Schutzmaßnahmen, die der Natur der Daten und den damit verbundenen Risiken voll Rechnung tragen, wie zum Beispiel strikte Zweckbeschränkungen, Zugangsrestriktionen (einschließlich Zugang nur für Mitarbeiter, die eine spezialisierte Schulung durchlaufen haben), Dokumentation über den Zugriff auf die Daten, Einschränkungen für weitere Übertragungen oder zusätzliche Sicherheitsmaßnahmen: Verweis wird auf die TOMs verwiesen, die in den nachstehenden Einzelheiten zur Datenverarbeitung aufgeführt oder erwähnt werden.
5.
KATEGORIE DER BETROFFENEN PERSONENDie folgenden Kategorien betroffener Personen sind standardmäßig im Geltungsbereich:
- Alle Benutzer mit Zugang zu den Diensten (dazu gehören Admin-Benutzer, allgemeine Benutzer oder eingeladene Benutzer wie Unterzeichner).
- Alle betroffenen Personen, die in den vom Kunden oder seinen Nutzern in die Dienste hochgeladenen Kundendaten enthalten sind.
Der Kunde bestätigt, dass diese betroffenen Personen standardmäßig als eine der folgenden Kategorien betrachtet werden:
- Mitarbeiter des Kunden
- Kunden des Kunden
- Interessenten des Kunden
- Lieferanten des Kunden
6.
SUB-AUFSICHTSRACHTENNitro engagiert Sub-Auftragsverarbeiter, um sicherzustellen, dass alle Funktionen innerhalb der Dienste verfügbar sind. Welche Unterauftragnehmer anwendbar sind, hängt von der Nutzung der Dienste sowie den vom Kunden angeforderten Funktionen und der Konfiguration ab. Eine detaillierte Liste der von Nitro engagierten Sub-Auftragsverarbeiter (einschließlich des Verfahrens, das wir bei der Beauftragung neuer Sub-Auftragsverarbeiter anwenden) ist über unser Vertrauenszentrum verfügbar: https://www.gonitro.com/security-compliance/data-protection/subprocessors-and-subcontractors
7.
TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN (TOMs)Nitro implementiert geeignete technische und organisatorische Maßnahmen, um eine angemessene Sicherheit bei der Nutzung der Dienste zu gewährleisten.
Wir aktualisieren solche Maßnahmen kontinuierlich. Eine detaillierte Übersicht der ergriffenen Maßnahmen ist über unser Trust Center in unserem Sicherheitsbereich verfügbar: https://www.gonitro.com/security-compliance/security und in unserer Informationssicherheitsrichtlinie. Unser Vertrauenszentrum listet auch die Zertifizierungen auf, die Nitro im Bereich Compliance hat: https://www.gonitro.com/security-compliance/compliance.8.
AUFBEWAHRUNGSDAUERNitro wird personenbezogene Daten nicht länger speichern, als es zur Bereitstellung der Dienste erforderlich ist. Je nach den Diensten und den Funktionalitäten, die Sie als Kunde nutzen, können die geltenden Aufbewahrungsfristen unterschiedlich sein. Jeder Kunde kann Nitro bitten, spezifische Aufbewahrungsfristen in ihrer Umgebung zu konfigurieren (soweit dies technisch möglich ist).
Falls keine spezifischen Aufbewahrungsfristen konfiguriert wurden, werden personenbezogene Daten von Nitro standardmäßig gespeichert, bis sie vom Kunden gelöscht oder bis zur Beendigung des Vertrags zwischen Nitro und dem Kunden (plus maximal 30 Tage) gelöscht werden, je nachdem, welches der beiden Szenarien zuerst eintritt. Ein detaillierter Überblick über die Aufbewahrungsfristen ist über unser Vertrauenszentrum verfügbar: https://www.gonitro.com/security-compliance/data-protection/processing-of-personal-data
9.
HÄUFIGKEIT DER INTERNATIONALEN ÜBERTRAGUNGENFortlaufend, wie erforderlich, um die Dienste für den Kunden bereitzustellen.
ANHANG 2 – UK STANDARDVERTRAGSKLAUSELN
Datenübertragungszusatz zu den Standardvertragsklauseln der EU-Kommission
VERSION B1.0, in Kraft am 21. März 2022
Dieser Zusatz wurde vom Informationskommissar für Parteien, die eingeschränkte Übertragungen vornehmen, herausgegeben. Der Informationskommissar ist der Ansicht, dass dies angemessene Garantien für eingeschränkte Übertragungen bietet, wenn es als rechtsverbindlicher Vertrag abgeschlossen wird.
Teil 1: Tabellen
Tabelle 1: Parteien
|
Startdatum |
Das Datum des Datenverarbeitungszusatzes |
|
|
Die Parteien |
Exporter (der die eingeschränkte Übertragung sendet) Kunde |
Importer (der die eingeschränkte Übertragung erhält) Nitro |
|
Details der Parteien |
Vollständiger rechtlicher Name: Kunde, wie im Vertrag und dem relevanten Bestellformular angegeben. Handelsname (falls abweichend): Hauptadresse (falls eine registrierte Firmenadresse): Die Adresse des Datenexporteurs ist im Vertrag und dem relevanten Bestellformular angegeben. Offizielle Registrierungsnummer (sofern vorhanden) (Firmennummer oder ähnlicher Identifikator): Wie im Vertrag und dem relevanten Bestellformular angegeben, oder sonst N/A |
Vollständiger rechtlicher Name: Nitro Software Inc. Handelsname (falls abweichend): Hauptadresse (falls eine registrierte Firmenadresse): 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Vereinigte Staaten. Offizielle Registrierungsnummer (sofern vorhanden) (Firmennummer oder ähnlicher Identifikator): N/A |
|
Hauptansprechpartner |
Vollständiger Name (optional): Der vollständige Name der Kontaktperson für den Datenexporteur ist im Vertrag und dem relevanten Bestellformular angegeben. Berufsbezeichnung: Die Berufsbezeichnung der Kontaktperson für den Datenexporteur ist im Vertrag und dem relevanten Bestellformular angegeben. Kontaktinformationen einschließlich E-Mail: Die Kontaktdaten der Kontaktperson für den Datenexporteur sind im Vertrag und dem relevanten Bestellformular angegeben. |
privacy@gonitro.com |
|
Unterschrift (falls erforderlich für die Zwecke von Abschnitt 2) |
Nicht erforderlich – dieser Anhang 2 ist Teil und wird in den Datenverarbeitungszusatz integriert |
Nicht erforderlich – dieser Anhang 2 ist Teil und wird in den Datenverarbeitungszusatz integriert |
Tabelle 2: Ausgewählte SCCs, Module und ausgewählte Klauseln
|
Zusatz EU SCCs |
Die Version der genehmigten EU SCCs, an die dieser Zusatz angehängt ist, einschließlich der angehängten Informationen: Datum: Referenz (sofern vorhanden): Anderer Identifikator (sofern vorhanden): Oder die genehmigten EU SCCs, einschließlich der angehängten Informationen und nur die folgenden Module, Klauseln oder optionalen Bestimmungen der genehmigten EU SCCs, die für die Zwecke dieses Zusatzes in Kraft treten: |
|
Modul |
Modul in Betrieb |
Klausel 7 (Docking-Klausel) |
Klausel 11 |
Klausel 9a (Vorherige Genehmigung oder Allgemeine Genehmigung) |
Klausel 9a (Zeitraum) |
Wird personenbezogene Daten vom Importeur mit personenbezogenen Daten kombiniert, die vom Exporteur gesammelt wurden? |
|
1 |
|
|
|
|
|
|
|
2 |
X |
N/A |
N/A |
Allgemeine Genehmigung |
30 Tage |
Nein |
|
3 |
|
|
|
|
|
|
|
4 |
|
|
|
|
|
|
Tabelle 3: Anhängige Informationen
„Anhängige Informationen” bezeichnet die Informationen, die für die ausgewählten Module gemäß dem Anhang der genehmigten EU-SCCs (abgesehen von den Parteien) bereitgestellt werden müssen, und die für diesen Zusatz wie folgt dargelegt sind:
|
Anhang 1A: Liste der Parteien: Siehe Tabelle 1 oben. |
|
Anhang 1B: Beschreibung der Übertragung: Siehe Anhang 1 zu diesem Datenverarbeitungszusatz. |
|
Anhang II: Technische und organisatorische Maßnahmen einschließlich technischer und organisatorischer Maßnahmen zum Schutz der Daten: Siehe Klausel 5 zu diesem Datenverarbeitungszusatz. |
|
Anhang III: Liste der Subverarbeiter (Module 2 und 3 nur): Siehe Klausel 10.1 zu diesem Datenverarbeitungszusatz. |
Tabelle 4: Beendigung dieses Zusatzes, wenn sich der genehmigte Zusatz ändert
|
Beendigung dieses Zusatzes, wenn sich der genehmigte Zusatz ändert |
Welche Parteien diesen Zusatz beenden können, wie in Abschnitt 19 dargelegt: Importeur Exporter keine Partei |
Teil 1: Obligatorische Klauseln
Abschluss dieses Zusatzes
- Jede Partei erklärt sich bereit, an die in diesem Zusatz festgelegten Bedingungen gebunden zu sein, im Austausch dafür, dass auch die andere Partei sich bereit erklärt, an diesen Zusatz gebunden zu sein.
- Obwohl Anhang 1A und Klausel 7 der genehmigten EU-SCCs eine Unterschrift der Parteien erfordern, können die Parteien diesen Zusatz in jeder Weise abschließen, die sie rechtsverbindlich macht und es den betroffenen Personen ermöglicht, ihre in diesem Zusatz festgelegten Rechte durchzusetzen. In diesen Anhang einzutreten hat dieselbe Wirkung wie die Unterzeichnung der genehmigten EU-SCCs und jedes Teils der genehmigten EU-SCCs.
Auslegung dieses Anhangs
- Wo dieser Anhang Begriffe verwendet, die in den genehmigten EU-SCCs definiert sind, haben diese Begriffe dieselbe Bedeutung wie in den genehmigten EU-SCCs. Darüber hinaus haben die folgenden Begriffe die folgenden Bedeutungen:
|
Zusatz |
Dieser internationale Datenübertragungszusatz besteht aus diesem Zusatz, der die Zusatz EU SCCs einbezieht. |
|
Zusatz EU SCCs |
Die Version(en) der genehmigten EU SCCs, an die dieser Zusatz angehängt ist, wie in Tabelle 2 festgelegt, einschließlich der Anlageninformationen. |
|
Anlageninformationen |
Wie in Tabelle 3 festgelegt. |
|
Geeignete Garantien |
Der Standard des Schutzes der personenbezogenen Daten und der Rechte der betroffenen Personen, der gemäß den britischen Datenschutzgesetzen erforderlich ist, wenn Sie eine eingeschränkte Übertragung unter Berufung auf die Standardvertragsklauseln gemäß Artikel 46(2)(d) der UK GDPR durchführen. |
|
Genehmigter Zusatz |
Die Vorlagenauszüge, die vom ICO veröffentlicht und gemäß § 119A des Datenschutzgesetzes von 2018 am 2. Februar 2022 dem Parlament vorgelegt wurden, in der durch Abschnitt 18 überarbeiteten Fassung. |
|
Genehmigte EU SCCs |
Die Standardvertragsklauseln, die im Anhang der Durchführungsentscheidung (EU) 2021/914 vom 4. Juni 2021 enthalten sind. |
|
ICO |
Der Informationsbeauftragte. |
|
Eingeschränkte Übertragung |
Eine Übertragung, die unter Kapitel V der UK GDPR fällt. |
|
Vereinigtes Königreich |
Das Vereinigte Königreich von Großbritannien und Nordirland. |
|
Britische Datenschutzgesetze |
Alle Gesetze in Bezug auf Datenschutz, Verarbeitung personenbezogener Daten, Privatsphäre und/oder elektronische Kommunikation, die von Zeit zu Zeit im Vereinigten Königreich in Kraft sind, einschließlich der UK GDPR und des Datenschutzgesetzes von 2018. |
|
UK GDPR |
Wie in Abschnitt 3 des Datenschutzgesetzes von 2018 definiert. |
- Dieser Zusatz muss immer so ausgelegt werden, dass er mit den britischen Datenschutzgesetzen übereinstimmt und die Verpflichtung der Parteien erfüllt, geeignete Garantien zu bieten.
- Wenn die in den Zusatz EU SCCs enthaltenen Bestimmungen die genehmigten SCCs in einer Weise ändern, die unter den genehmigten EU SCCs oder dem genehmigten Zusatz nicht zulässig ist, werden solche Änderungen nicht in diesen Zusatz einbezogen und die entsprechende Bestimmung der genehmigten EU SCCs ersetzt diese.
- Wenn es Unstimmigkeiten oder Konflikte zwischen den britischen Datenschutzgesetzen und diesem Zusatz gibt, gelten die britischen Datenschutzgesetze.
- Wenn die Bedeutung dieses Zusatzes unklar ist oder wenn es mehr als eine Bedeutung gibt, gilt die Bedeutung, die am engsten mit den britischen Datenschutzgesetzen übereinstimmt.
- Alle Verweise auf Gesetze (oder spezifische Bestimmungen von Gesetzen) beziehen sich auf jenes Gesetz (oder jene spezifische Bestimmung), wie es sich im Laufe der Zeit ändern kann. Dies schließt ein, wenn dieses Gesetz (oder diese spezifische Bestimmung) konsolidiert, neu verkündet und/oder ersetzt wurde, nachdem dieser Anhang eingegangen ist.
Hierarchie
- Obwohl Klausel 5 der genehmigten EU-SCCs festgelegt hat, dass die genehmigten EU-SCCs über alle damit verbundenen Vereinbarungen zwischen den Parteien vorrangig sind, stimmen die Parteien zu, dass für eingeschränkte Übertragungen die Hierarchie in Abschnitt 10 Vorrang hat.
- Wo es irgendeinen Widerspruch oder Konflikt zwischen dem genehmigten Anhang und den Anhang EU-SCCs (soweit zutreffend) gibt, hat der genehmigte Anhang Vorrang vor den Anhang EU-SCCs, es sei denn, die inkonsistenten oder widersprüchlichen Begriffe des Anhangs EU-SCCs bieten einen größeren Schutz für betroffene Personen, in diesem Fall haben diese Begriffe Vorrang vor dem genehmigten Anhang.
- Wo dieser Anhang Anhang EU-SCCs enthält, die eingegangen sind, um Übertragungen zu schützen, die dem Allgemeinen Datenschutzgesetz (EU) 2016/679 unterliegen, erkennen die Parteien an, dass nichts in diesem Anhang diese Anhang EU-SCCs beeinflusst.
Einbeziehung von und Änderungen an den EU-SCCs
- Dieser Anhang beinhaltet die Anhang EU-SCCs, die in dem benötigten Umfang geändert werden, damit:
- sie insgesamt für Datenübertragungen des Datenexporteurs an den Datenimporteur gelten, soweit die britischen Datenschutzgesetze für die Verarbeitung des Datenexporteurs gelten, wenn dieser die Datenübertragung vornimmt, und sie angemessene Sicherheitsvorkehrungen für diese Datenübertragungen bieten;
- die Abschnitte 9 bis 11 Klausel 5 (Hierarchie) des Anhangs EU-SCCs außer Kraft setzen; und
- dieser Anhang (einschließlich der darin aufgenommenen Anhang EU-SCCs) unter (1) dem Recht von England und Wales und (2) jeder aus ihm resultierenden Streitigkeit wird von den Gerichten von England und Wales entschieden, es sei denn, die Gesetze und/oder Gerichte von Schottland oder Nordirland wurden ausdrücklich von den Parteien ausgewählt.
- Es sei denn, die Parteien haben alternative Änderungen vereinbart, die die Anforderungen des Abschnitts 12 erfüllen, gelten die Bestimmungen des Abschnitts 15.
- Änderungen der genehmigten EU-SCCs, die nicht zur Erfüllung der Anforderungen des Abschnitts 12 erforderlich sind, dürfen nicht vorgenommen werden.
- Die folgenden Änderungen an den Anhang EU-SCCs (zum Zweck des Abschnitts 12) werden vorgenommen:
- Verweise auf die „Klauseln“ bedeuten diesen Anhang, der die Anhang EU-SCCs integriert;
- In Klausel 2 die Wörter löschen:
„und hinsichtlich der Datenübertragungen von Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter, Standardvertragsklauseln gemäß Artikel 28(7) der Verordnung (EU) 2016/679“; - Klausel 6 (Beschreibung der Übertragung(en)) wird ersetzt durch:
„Die Details der Übertragung(en) und insbesondere die Kategorien der übertragenen personenbezogenen Daten und die Zwecke, für die sie übertragen werden, sind die in Anlage I.B angegebenen, wo die britischen Datenschutzgesetze auf die Verarbeitung des Datenexporteurs gelten, wenn diese die Übertragung vornimmt.“; - Klausel 8.7(i) von Modul 1 wird ersetzt durch:
„es ist in ein Land zu einem Land mit Angemessenheitsvorschriften gemäß § 17A der britischen DSGVO, das die Weiterübertragung abdeckt“; - Klausel 8.8(i) von Modulen 2 und 3 wird ersetzt durch:
„die Weiterübertragung ist in ein Land mit Angemessenheitsvorschriften gemäß § 17A der britischen DSGVO, das die Weiterübertragung abdeckt;“ - Verweise auf die „Verordnung (EU) 2016/679“, „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und über den freien Verkehr solcher Daten (Allgemeine Datenschutzverordnung)“ und „diese Verordnung“ werden alle ersetzt durch „britische Datenschutzgesetze". Verweise auf spezifische Artikel der „Verordnung (EU) 2016/679“ werden durch den entsprechenden Artikel oder Abschnitt der britischen Datenschutzgesetze ersetzt;
- Verweise auf die Verordnung (EU) 2018/1725 werden entfernt;
- Verweise auf die „Europäische Union“, „Union“, „EU“, „EU-Mitgliedstaat“, „Mitgliedstaat“ und „EU oder Mitgliedstaat“ werden durch „Vereinigtes Königreich“ ersetzt;
- Der Verweis auf „Klausel 12(c)(i)“ in Klausel 10(b)(i) von Modul 1 wird ersetzt durch „Klausel 11(c)(i)“;
- Klausel 13(a) und Teil C von Anlage I werden nicht verwendet;
- Die „zuständige Aufsichtsbehörde“ und die „Aufsichtsbehörde“ werden beide durch den „Informationsbeauftragten“ ersetzt;
- In Klausel 16(e) wird Absatz (i) ersetzt durch:
„der Staatssekretär erlässt Verordnungen gemäß § 17A des Datenschutzgesetzes 2018, die die Übertragung personenbezogener Daten betreffen, zu denen diese Klauseln gelten;“; - Klausel 17 wird ersetzt durch:
„Diese Klauseln unterliegen dem Recht von England und Wales.“; - Klausel 18 wird ersetzt durch:
„Alle aus diesen Klauseln resultierenden Streitigkeiten werden von den Gerichten von England und Wales entschieden;" - Die Parteien stimmen zu, sich der Gerichtsbarkeit dieser Gerichte zu unterwerfen.”; und
- Die Fußnoten zu den genehmigten EU-SCCs sind nicht Teil des Anhangs, mit Ausnahme der Fußnoten 8, 9, 10 und 11.
Änderungen an diesem Anhang
- Die Parteien können zustimmen, die Klauseln 17 und/oder 18 der Anhang EU-SCCs zu ändern, um sich auf die Gesetze und/oder Gerichte von Schottland oder Nordirland zu beziehen.
- Wenn die Parteien das Format der in Teil 1 enthaltenen Informationen: Tabellen des genehmigten Anhangs ändern möchten, können sie dies durch schriftliche Vereinbarung tun, vorausgesetzt, die Änderung reduziert nicht die angemessenen Sicherheitsvorkehrungen.
- Von Zeit zu Zeit kann die ICO einen überarbeiteten genehmigten Anhang herausgeben, der:
- angemessene und verhältnismäßige Änderungen am genehmigten Anhang vornimmt, einschließlich der Behebung von Fehlern im genehmigten Anhang; und/oder
- Änderungen an den britischen Datenschutzgesetzen widerspiegelt;
Der überarbeitete genehmigte Anhang legt das Startdatum fest, ab wann die Änderungen am genehmigten Anhang wirksam sind, und ob die Parteien diesen Anhang einschließlich der Anlageninformationen überprüfen müssen. Ein Betroffener kann auch rechtliche Schritte gegen den Datenexporteur und/oder den Datenimporteur vor den Gerichten eines beliebigen Landes im Vereinigten Königreich einleiten. Die Parteien stimmen zu, sich der Gerichtsbarkeit solcher Gerichte zu unterwerfen."; und - Die Fußnoten zu den genehmigten EU-Standardvertragsklauseln sind nicht Bestandteil des Zusatzes, mit Ausnahme der Fußnoten 8, 9, 10 und 11.
Änderungen dieses Zusatzes
- Die Parteien können zustimmen, die Abschnitte 17 und/oder 18 des Zusatzes zu den genehmigten EU-Standardvertragsklauseln zu ändern, um sich auf die Gesetze und/oder Gerichte Schottlands oder Nordirlands zu beziehen.
- Wenn die Parteien das Format der Informationen in Teil 1: Tabellen des genehmigten Zusatzes ändern möchten, können sie dies schriftlich vereinbaren, vorausgesetzt, dass die Änderung die geeigneten Schutzvorkehrungen nicht verringert.
- Von Zeit zu Zeit kann die ICO einen überarbeiteten genehmigten Zusatz herausgeben, der:
- angemessene und verhältnismäßige Änderungen des genehmigten Zusatzes vornimmt, einschließlich der Korrektur von Fehlern im genehmigten Zusatz; und/oder
- Änderungen der britischen Datenschutzgesetze widerspiegelt;
Der überarbeitete genehmigte Zusatz wird das Startdatum angeben, ab dem die Änderungen des genehmigten Zusatzes wirksam sind, und ob die Parteien diesen Zusatz einschließlich der Anlageninformationen überprüfen müssen. Dieser Zusatz wird automatisch geändert, wie im überarbeiteten genehmigten Zusatz ab dem angegebenen Startdatum dargelegt.
- Wenn die ICO einen überarbeiteten genehmigten Zusatz gemäß Abschnitt 18 ausstellt, wenn eine der in Tabelle 4 „Beendigung des Zusatzes, wenn das genehmigte Addendum sich ändert“, ausgewählten Parteien aufgrund der Änderungen im genehmigten Zusatz substanzielle, unverhältnismäßige und nachweisbare Mehrkosten hat wegen: ihrer
- direkten Kosten für die Erfüllung ihrer Verpflichtungen aus dem Zusatz; und/oder
- ihr Risiko unter dem Zusatz,
und in beiden Fällen hat sie zunächst angemessene Maßnahmen ergriffen, um diese Kosten oder Risiken zu senken, damit sie nicht wesentlich und unverhältnismäßig sind, dann kann diese Partei diesen Zusatz am Ende einer angemessenen Kündigungsfrist mit schriftlicher Mitteilung für diesen Zeitraum an die andere Partei vor dem Startdatum des überarbeiteten genehmigten Zusatzes beenden.
- Die Parteien benötigen nicht die Zustimmung eines Dritten, um Änderungen an diesem Zusatz vorzunehmen, jedoch müssen alle Änderungen gemäß seinen Bestimmungen erfolgen.
