Verarbeitungsvereinbarung

Letzte Aktualisierung: 22. September 2025

Diese LensGo-Verarbeitungsvereinbarung und ihre Anhänge ("DPA") spiegeln die Vereinbarung der Parteien in Bezug auf die Verarbeitung personenbezogener Daten durch uns in Ihrem Auftrag im Zusammenhang mit den LensGo-Diensten gemäß den LensGo-Nutzungsbedingungen zwischen dem Nutzer und uns ("Vereinbarung") wider.

Diese DPA ist eine Ergänzung zu den Nutzungsbedingungen und bildet einen integralen Bestandteil der Vereinbarung. Sie tritt mit ihrer Einbeziehung in die Vereinbarung in Kraft, die in der Vereinbarung spezifiziert sein kann oder durch eine unterzeichnete Änderung der Vereinbarung. Im Falle eines Konflikts oder einer Unvereinbarkeit mit den Bedingungen der Vereinbarung hat diese DPA Vorrang vor den Bedingungen der Vereinbarung, soweit ein solcher Konflikt oder eine solche Unvereinbarkeit besteht.

Die Laufzeit dieser DPA folgt der Laufzeit der Vereinbarung. Begriffe, die nicht anderweitig in dieser DPA definiert sind, haben die in der Vereinbarung festgelegte Bedeutung.

1 - Definitionen und Auslegung

1.1 Sofern hier nicht anders definiert, haben die in dieser DPA verwendeten großgeschriebenen Begriffe und Ausdrücke die folgende Bedeutung:

"DPA" bedeutet diese Verarbeitungsvereinbarung und alle Anhänge;

"Nutzerpersonenbezogene Daten" bedeutet alle personenbezogenen Daten, die von einem beauftragten Verarbeiter im Namen des Nutzers gemäß oder in Verbindung mit der Hauptvereinbarung verarbeitet werden;

"Beauftragter Verarbeiter" bedeutet ein Unterauftragsverarbeiter;

"Datenschutzgesetze" bedeutet EU-Datenschutzgesetze und, soweit anwendbar, die Datenschutz- oder Privatsphäre-Gesetze eines anderen Landes;

"EWR" bedeutet den Europäischen Wirtschaftsraum;

"EU-Datenschutzgesetze" bedeutet die EU-Richtlinie 95/46/EG, wie sie in die nationale Gesetzgebung jedes Mitgliedstaats umgesetzt und von Zeit zu Zeit geändert, ersetzt oder ergänzt wurde, einschließlich durch die DSGVO und Gesetze, die die DSGVO umsetzen oder ergänzen;

"DSGVO" bedeutet die EU-Datenschutz-Grundverordnung 2016/679;

"Datenübermittlung" bedeutet:

  • eine Übermittlung von Nutzerpersonenbezogenen Daten vom Nutzer an einen beauftragten Verarbeiter; oder
  • eine Weiterübermittlung von Nutzerpersonenbezogenen Daten von einem beauftragten Verarbeiter an einen Unterauftragsverarbeiter oder zwischen zwei Niederlassungen eines beauftragten Verarbeiters, in jedem Fall, in dem eine solche Übermittlung durch Datenschutzgesetze verboten wäre;

"Dienste" bedeutet ein retrospektives Tool für Teams, um ihre Leistung zu verbessern, sich zu organisieren und auf eine unterhaltsamere Weise Fortschritte zu machen, das Ihnen als Software-as-a-Service zur Verfügung gestellt wird.

"Unterauftragsverarbeiter" bedeutet jede Person, die von oder im Namen des Verarbeiters ernannt wurde, um personenbezogene Daten im Namen des Nutzers im Zusammenhang mit der DPA zu verarbeiten.

"Standardvertragsklauseln" bedeutet die standardmäßigen Vertragsklauseln, die dem Durchführungsbeschluss 2021/914 der Europäischen Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates beigefügt sind.

1.2 Die Begriffe "Kommission", "Verantwortlicher", "Betroffener", "Mitgliedstaat", "personenbezogene Daten", "Verletzung des Schutzes personenbezogener Daten", "Verarbeitung" und "Aufsichtsbehörde" haben dieselbe Bedeutung wie in der DSGVO, und ihre verwandten Begriffe sind entsprechend auszulegen.

2 - Verarbeitung von Nutzerpersonenbezogenen Daten

2.1 Der Verarbeiter wird:

  • allen anwendbaren Datenschutzgesetzen bei der Verarbeitung von Nutzerpersonenbezogenen Daten entsprechen; und
  • Nutzerpersonenbezogene Daten nicht anders verarbeiten als auf der Grundlage der dokumentierten Anweisungen des relevanten Nutzers.

2.2 Der Nutzer weist den Verarbeiter an, Nutzerpersonenbezogene Daten zu verarbeiten.

3 - Personal des Verarbeiters

3.1 Der Verarbeiter wird angemessene Schritte unternehmen, um die Zuverlässigkeit jedes Mitarbeiters, Vertreters oder Auftragnehmers eines beauftragten Verarbeiters, der möglicherweise Zugang zu den Nutzerpersonenbezogenen Daten hat, sicherzustellen. In jedem Fall wird sichergestellt, dass der Zugang streng auf diejenigen Personen beschränkt ist, die die relevanten Nutzerpersonenbezogenen Daten kennen/müssen, wie es für die Zwecke der Hauptvereinbarung streng notwendig ist, und um den anwendbaren Gesetzen im Kontext der Pflichten dieser Person gegenüber dem beauftragten Verarbeiter zu entsprechen. Dabei wird sichergestellt, dass alle diese Personen vertraglichen oder beruflichen oder gesetzlichen Geheimhaltungspflichten unterliegen.

4 - Sicherheit

4.1 Unter Berücksichtigung des Standes der Technik, der Implementierungskosten sowie der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen wird der Verarbeiter in Bezug auf die Nutzerpersonenbezogenen Daten angemessene technische und organisatorische Maßnahmen umsetzen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, einschließlich, soweit angemessen, der in Artikel 32(1) der DSGVO genannten Maßnahmen.

4.2 Bei der Bewertung des angemessenen Sicherheitsniveaus wird der Verarbeiter insbesondere die Risiken berücksichtigen, die sich aus der Verarbeitung ergeben, insbesondere aus einer Verletzung des Schutzes personenbezogener Daten.

5 - Unterauftragsverarbeitung

5.1 Sie stimmen zu, dass wir Unterauftragsverarbeiter beauftragen können, um personenbezogene Daten in Ihrem Auftrag zu verarbeiten. Wir haben derzeit die in Anhang 1 dieser DPA aufgeführten Drittparteien als Unterauftragsverarbeiter ernannt.

5.2 Wenn wir Unterauftragsverarbeiter beauftragen, werden wir den Unterauftragsverarbeitern Datenschutzbedingungen auferlegen, die mindestens dasselbe Schutzniveau für personenbezogene Daten bieten wie die in dieser DPA (einschließlich, wo anwendbar, der Standardvertragsklauseln), soweit dies auf die Art der von solchen Unterauftragsverarbeitern erbrachten Dienstleistungen anwendbar ist.

6 - Haftung

6.1 Jede Partei dieser DPA verpflichtet sich, die andere Partei für Schäden oder Aufwendungen schadlos zu halten, die aus ihrer eigenen schuldhaften Verletzung dieser DPA resultieren, einschließlich jeder schuldhaften Verletzung, die von ihrem gesetzlichen Vertreter, Subunternehmern, Mitarbeitern oder anderen Agenten begangen wird. Darüber hinaus verpflichtet sich jede Partei, die andere Partei gegen jeden Anspruch Dritter zu verteidigen, der sich aus oder im Zusammenhang mit einer schuldhaften Verletzung durch die jeweils andere Partei ergibt.

6.2 Artikel 82 DSGVO bleibt unberührt.

7 - Rechte der betroffenen Person

7.1 Unter Berücksichtigung der Art der Verarbeitung wird der Verarbeiter den Nutzer durch die Implementierung angemessener technischer und organisatorischer Maßnahmen unterstützen, soweit dies möglich ist, zur Erfüllung der Nutzerverpflichtungen, wie sie vom Nutzer vernünftigerweise verstanden werden, um auf Anfragen zur Ausübung der Rechte der betroffenen Person gemäß den Datenschutzgesetzen zu reagieren.

7.2 Der Verarbeiter wird:

  • den Nutzer unverzüglich benachrichtigen, wenn er eine Anfrage von einer betroffenen Person gemäß einem Datenschutzgesetz in Bezug auf Nutzerpersonenbezogene Daten erhält; und
  • sicherstellen, dass er nicht auf diese Anfrage reagiert, außer auf der Grundlage der dokumentierten Anweisungen des Nutzers oder wie durch anwendbare Gesetze, denen der Verarbeiter unterliegt, vorgeschrieben. In diesem Fall wird der Verarbeiter den Nutzer, soweit durch anwendbare Gesetze erlaubt, über diese rechtliche Anforderung informieren, bevor der beauftragte Verarbeiter auf die Anfrage reagiert.

8 - Verletzung des Schutzes personenbezogener Daten

8.1 Der Verarbeiter wird den für die Verarbeitung Verantwortlichen unverzüglich benachrichtigen, sobald dem Verarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die Nutzerpersonenbezogene Daten betrifft. Dabei wird dem Verantwortlichen ausreichende Informationen zur Verfügung gestellt, um dem Verantwortlichen zu ermöglichen, seinen Verpflichtungen zur Meldung oder Information der betroffenen Personen über die Verletzung des Schutzes personenbezogener Daten gemäß den Datenschutzgesetzen nachzukommen.

8.2 Der Verarbeiter wird mit dem Verantwortlichen zusammenarbeiten und angemessene kommerzielle Schritte unternehmen, wie vom Nutzer angewiesen, um bei der Untersuchung, Eindämmung und Behebung jeder solchen Verletzung des Schutzes personenbezogener Daten zu helfen.

8.3 Der Verarbeiter wird dem Verantwortlichen angemessene Unterstützung bei Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Aufsichtsbehörden oder anderen zuständigen Datenschutzbehörden leisten, die der Verantwortliche vernünftigerweise für erforderlich hält gemäß Artikel 35 oder 36 der DSGVO oder gleichwertigen Bestimmungen anderer Datenschutzgesetze. In jedem Fall ausschließlich in Bezug auf die Verarbeitung von Nutzerpersonenbezogenen Daten durch die beauftragten Verarbeiter und unter Berücksichtigung der Art der Verarbeitung und der den beauftragten Verarbeitern verfügbaren Informationen.

9 - Löschung oder Rückgabe von Nutzerpersonenbezogenen Daten

9.1 Vorbehaltlich dieses Abschnitts 9 wird der Verarbeiter und in jedem Fall innerhalb von 30 Werktagen ab dem Datum der Beendigung jeglicher Dienstleistungen, die die Verarbeitung von Nutzerpersonenbezogenen Daten beinhalten (das "Beendigungsdatum"), alle Kopien dieser Nutzerpersonenbezogenen Daten löschen und die Löschung aller Kopien dieser Nutzerpersonenbezogenen Daten sicherstellen.

10 - Datenübermittlung

10.1 Sie erkennen an und stimmen zu, dass wir auf globaler Basis auf personenbezogene Daten zugreifen und diese verarbeiten können, soweit dies erforderlich ist, um den Dienst gemäß der DPA bereitzustellen, und dass personenbezogene Daten an LensGo übermittelt und von LensGo in Rechtsordnungen verarbeitet werden können, in denen Unterauftragsverarbeiter tätig sind. Wo auch immer personenbezogene Daten außerhalb ihres Herkunftslandes übermittelt werden, wird jede Partei sicherstellen, dass solche Übermittlungen in Übereinstimmung mit den Anforderungen der Datenschutzgesetze erfolgen.

11 - Allgemeine Bedingungen

11.1 Vertraulichkeit. Jede Partei muss diese DPA und Informationen, die sie über die andere Partei und deren Geschäft im Zusammenhang mit dieser DPA ("Vertrauliche Informationen") erhält, vertraulich behandeln und darf diese Vertraulichen Informationen nicht ohne die vorherige schriftliche Zustimmung der anderen Partei verwenden oder offenlegen, außer in dem Umfang, in dem:

  • die Offenlegung durch Gesetz vorgeschrieben ist;
  • die relevanten Informationen bereits öffentlich zugänglich sind.

11.2 Mitteilungen. Alle Mitteilungen und Kommunikationen, die unter dieser DPA gegeben werden, müssen schriftlich erfolgen und werden persönlich zugestellt, per Post oder per E-Mail an die Adresse oder E-Mail-Adresse gesendet, die im Kopf dieser DPA angegeben ist oder an eine andere Adresse, wie sie von Zeit zu Zeit von den Parteien bei Adressänderungen mitgeteilt wird.

12 - Anzuwendendes Recht und Gerichtsstand

12.1 Diese Vereinbarung unterliegt den EU-Datenschutzgesetzen und das zuständige Forum zur Lösung von Problemen sind die Gerichte Irlands.

Anhang 1 - Details der Verarbeitung

A. Liste der Parteien

Data exporter:

Name: Name: Der Nutzer, wie in den LensGo-Nutzungsbedingungen definiert.

Address: Adresse: Die Adresse des Nutzers.

Contact: Name, Position und Kontaktdaten der Kontaktperson: Die Kontaktdaten des Nutzers, wie in der Registrierung des Nutzers angegeben.

Activities: Aktivitäten im Zusammenhang mit den unter diesen Klauseln übertragenen Daten: Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung von lensgo.app durch den Nutzer gemäß den LensGo-Nutzungsbedingungen.

Role: Rolle (Verantwortlicher/Verarbeiter): Verantwortlicher

Data importer:

Name: Name: Acosh

Address: Adresse: Sweelinckplantsoen 40, 1323 MT Almere, FL, NL.

Contact: Name, Position und Kontaktdaten der Kontaktperson: Daan de Vos, Inhaber.

Activities: Aktivitäten im Zusammenhang mit den unter diesen Klauseln übertragenen Daten: Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung von lensgo.app durch den Nutzer gemäß den LensGo-Nutzungsbedingungen.

Role: Rolle (Verantwortlicher/Verarbeiter): Verarbeiter

B. Beschreibung der Übermittlung

Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden: Kontakt des Nutzers.

Kategorien der übermittelten personenbezogenen Daten: Name, E-Mail, hochgeladene Inhalte, andere bereitgestellte Informationen.

Häufigkeit: Kontinuierlich.

Zweck: Bereitstellung der Dienste gemäß der Vereinbarung.

Aufbewahrung: Dauer der Vereinbarung, sofern nicht anders vereinbart.

C. Zuständige Aufsichtsbehörde

Für die Zwecke der Standardvertragsklauseln ist die Aufsichtsbehörde, die als zuständige Aufsichtsbehörde handelt, entweder (i) wenn der Nutzer in einem EU-Mitgliedstaat niedergelassen ist, die Aufsichtsbehörde, die für die Einhaltung der DSGVO durch den Nutzer verantwortlich ist; (ii) wenn der Nutzer nicht in einem EU-Mitgliedstaat niedergelassen ist, aber in den extraterritorialen Geltungsbereich der DSGVO fällt und einen Vertreter bestellt hat, die Aufsichtsbehörde des EU-Mitgliedstaats, in dem der Vertreter des Nutzers niedergelassen ist; oder (iii) wenn der Nutzer nicht in einem EU-Mitgliedstaat niedergelassen ist, aber in den extraterritorialen Geltungsbereich der DSGVO fällt, ohne einen Vertreter bestellen zu müssen, die Aufsichtsbehörde des EU-Mitgliedstaats, in dem die betroffenen Personen überwiegend ansässig sind.

Anhang 2 - Sicherheitsmaßnahmen

Vertraulichkeit

  • Kein unbefugter Zugang zu Datenverarbeitungseinrichtungen;
  • Elektronische Zugangskontrolle;
  • Keine unbefugte Nutzung der Datenverarbeitungs- und Datenspeichersysteme;
  • Interne Zugangskontrolle (Berechtigungen für Nutzerrechte zum Zugriff auf und zur Änderung von Daten);
  • Kein unbefugtes Lesen, Kopieren, Ändern oder Löschen von Daten innerhalb des Systems;
  • Isolationskontrolle;
  • Die isolierte Verarbeitung von Daten, die für unterschiedliche Zwecke gesammelt wurden;
  • Verschlüsselung; und,
  • Die Verarbeitung personenbezogener Daten auf eine Weise, dass die Daten nicht mit einer bestimmten betroffenen Person in Verbindung gebracht werden können, ohne die Unterstützung zusätzlicher Informationen, vorausgesetzt, dass diese zusätzlichen Informationen getrennt gespeichert werden und angemessenen technischen und organisatorischen Maßnahmen unterliegen.

Integrität

  • Datenübertragungskontrolle;
  • Kein unbefugtes Lesen, Kopieren, Ändern oder Löschen von Daten bei elektronischer Übertragung oder Transport;
  • Dateneingabekontrolle; und,
  • Intrusion Detection.

Verfügbarkeit und Widerstandsfähigkeit

  • Verfügbarkeitskontrolle;
  • Verhinderung von zufälliger oder vorsätzlicher Zerstörung oder Verlust, z.B.: Backup-Strategie (online/offline; vor Ort/extern), unterbrechungsfreie Stromversorgung (USV), Virenschutz, Firewall, Meldeverfahren und Notfallplanung; und,
  • Schnelle Wiederherstellung.

Verfahren für regelmäßige Tests, Bewertung und Evaluierung

  • Datenschutzmanagement;
  • Vorfallreaktionsmanagement;
  • Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen.

Anhang 3 - Liste der Unterauftragsverarbeiter

  • Hetzner (Cloud Platform) – Wird für Backend-Dienste einschließlich Hosting, Echtzeit-Datenbank und Authentifizierung verwendet (DE).
  • AWS S3 – Wird zur Speicherung aller hochgeladenen Medien (Fotos und Videos) verwendet (EU - FR).
  • Brevo – Wird zum Versand von Transaktions-E-Mails wie Willkommens-E-Mails, Kontobestätigungen und Event-Updates verwendet (FR).
  • Cloudflare – Wird für Content Delivery (CDN), Lastenausgleich und zum Schutz von LensGo vor böswilligem Datenverkehr und DDoS-Angriffen verwendet (EU - SE).
  • Mollie – Wird für die Verwaltung von Abonnements, Zahlungsabwicklung, Rechnungsstellung und als unser Händler von Record verwendet (EU - NL).
  • Google Ads – Wird für die Durchführung und Verfolgung unserer eigenen Marketing- und Werbekampagnen verwendet. Nicht für Retargeting von Nutzern ohne Zustimmung (USA).
  • Rewardful – Wird für die Verwaltung von Affiliate-Tracking, Empfehlungen und die Berechnung von Provisionen an unsere Partner verwendet (CA).

Anhang 4 - Standardvertragsklauseln

ABSCHNITT I

Modul Zwei: Übermittlung Verantwortlicher an Verarbeiter (C2P)

Klausel 1 - Zweck und Geltungsbereich

  1. Zweck dieser Standardvertragsklauseln ist es, die Einhaltung der Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) für die Übermittlung personenbezogener Daten in ein Drittland sicherzustellen.
  2. Die Parteien: die natürliche oder juristische Person(en), Behörde(n), Einrichtung(en) oder andere Stelle(n) (im Folgenden "Einrichtung(en)"), die die personenbezogenen Daten übermittelt, wie in Anhang I.A aufgeführt (im Folgenden jede "Datenexporteur"), und die Einrichtung(en) in einem Drittland, die die personenbezogenen Daten vom Datenexporteur direkt oder indirekt über eine andere Einrichtung, die ebenfalls Partei dieser Klauseln ist, empfängt, wie in Anhang I.A aufgeführt (im Folgenden jede "Datenimporteur"), haben diesen Standardvertragsklauseln (im Folgenden: "Klauseln") zugestimmt.
  3. Diese Klauseln gelten in Bezug auf die Übermittlung personenbezogener Daten, wie in Anhang I.B spezifiziert.
  4. Der Anhang zu diesen Klauseln, der die darin genannten Anhänge enthält, bildet einen integralen Bestandteil dieser Klauseln.

Klausel 2 - Wirkung und Unveränderlichkeit der Klauseln

  1. Diese Klauseln legen angemessene Garantien fest, einschließlich durchsetzbarer Rechte der betroffenen Personen und wirksamer Rechtsbehelfe, gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 und, in Bezug auf Datenübermittlungen von Verantwortlichen an Verarbeiter und/oder von Verarbeitern an Verarbeiter, Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679, vorausgesetzt, sie werden nicht geändert, außer zur Auswahl der geeigneten Module oder zum Hinzufügen oder Aktualisieren von Informationen im Anhang. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfassenderen Vertrag aufzunehmen und/oder andere Klauseln oder zusätzliche Garantien hinzuzufügen, vorausgesetzt, sie widersprechen diesen Klauseln nicht direkt oder indirekt oder beeinträchtigen die grundlegenden Rechte oder Freiheiten der betroffenen Personen.
  2. Diese Klauseln berühren nicht die Verpflichtungen, denen der Datenexporteur aufgrund der Verordnung (EU) 2016/679 unterliegt.

Klausel 3 - Begünstigte Dritte

  1. Betroffene Personen können diese Klauseln als begünstigte Dritte gegen den Datenexporteur und/oder Datenimporteur geltend machen und durchsetzen, mit folgenden Ausnahmen:
  2. Klausel 1, Klausel 2, Klausel 3, Klausel 6, Klausel 7;
  3. Klausel 8 - Klausel 8.1(b), 8.9(a), (c), (d) und (e);
  4. Klausel 9 - Klausel 9(a), (c), (d) und (e);
  5. Klausel 12 - Klausel 12(a), (d) und (f);
  6. Klausel 13;
  7. Klausel 15.1(c), (d) und (e);
  8. Klausel 16(e);
  9. Klausel 18 - Klausel 18(a) und (b).
  10. Absatz (a) berührt nicht die Rechte der betroffenen Personen gemäß der Verordnung (EU) 2016/679.

Klausel 4 - Auslegung

  1. Soweit diese Klauseln Begriffe verwenden, die in der Verordnung (EU) 2016/679 definiert sind, haben diese Begriffe dieselbe Bedeutung wie in dieser Verordnung.
  2. Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 zu lesen und auszulegen.
  3. Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die im Widerspruch zu den in der Verordnung (EU) 2016/679 vorgesehenen Rechten und Pflichten steht.

Klausel 5 - Hierarchie

  1. Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen verwandter Vereinbarungen zwischen den Parteien, die zum Zeitpunkt des Abschlusses dieser Klauseln bestehen oder danach geschlossen werden, gehen diese Klauseln vor. Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen verwandter Vereinbarungen zwischen den Parteien, die zum Zeitpunkt des Abschlusses dieser Klauseln bestehen oder danach geschlossen werden, gehen diese Klauseln vor.

Klausel 6 - Beschreibung der Übermittlung(en)

  1. Die Einzelheiten der Übermittlung(en) und insbesondere die Kategorien personenbezogener Daten, die übermittelt werden, und die Zwecke, für die sie übermittelt werden, sind in Anhang I.B angegeben.

Klausel 7 - Optional - Andockklausel

  1. Eine Einrichtung, die keine Partei dieser Klauseln ist, kann mit Zustimmung der Parteien jederzeit diesen Klauseln beitreten, entweder als Datenexporteur oder als Datenimporteur, indem sie den Anhang ausfüllt und Anhang I.A unterzeichnet.
  2. Sobald sie den Anhang ausgefüllt und Anhang I.A unterzeichnet hat, wird die beitretende Einrichtung eine Partei dieser Klauseln und hat die Rechte und Pflichten eines Datenexporteurs oder Datenimporteurs gemäß ihrer Bezeichnung in Anhang I.A.
  3. Die beitretende Einrichtung hat keine Rechte oder Pflichten aus diesen Klauseln aus der Zeit vor dem Beitritt als Partei.

ABSCHNITT II - VERPFLICHTUNGEN DER PARTEIEN

Klausel 8 - Datenschutzgarantien

dpa.annex4.clause8.content

Klausel 9 - Nutzung von Unterauftragsverarbeitern

  1. Der Datenimporteur hat die allgemeine Ermächtigung des Datenexporteurs für die Beauftragung von Unterauftragsverarbeitern von einer vereinbarten Liste. Der Datenimporteur wird den Datenexporteur schriftlich über beabsichtigte Änderungen dieser Liste durch Hinzufügung oder Ersatz von Unterauftragsverarbeitern mindestens [Zeitraum angeben] im Voraus informieren, wodurch dem Datenexporteur ausreichend Zeit gegeben wird, um gegen solche Änderungen vor der Beauftragung der Unterauftragsverarbeiter Einspruch erheben zu können. Der Datenimporteur wird dem Datenexporteur die Informationen zur Verfügung stellen, die erforderlich sind, um dem Datenexporteur die Ausübung seines Rechts auf Einspruch zu ermöglichen.
  2. Wenn der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung spezifischer Verarbeitungsaktivitäten (im Auftrag des Datenexporteurs) beauftragt, tut er dies durch einen schriftlichen Vertrag, der im Wesentlichen dieselben Datenschutzverpflichtungen vorsieht wie die, die den Datenimporteur gemäß diesen Klauseln binden, einschließlich der Rechte von begünstigten Dritten für betroffene Personen. Die Parteien vereinbaren, dass der Datenimporteur durch die Einhaltung dieser Klausel seinen Verpflichtungen nach Klausel 8.8 nachkommt. Der Datenimporteur wird sicherstellen, dass der Unterauftragsverarbeiter die Verpflichtungen erfüllt, denen der Datenimporteur gemäß diesen Klauseln unterliegt.
  3. Der Datenimporteur wird dem Datenexporteur auf dessen Anfrage eine Kopie einer solchen Unterauftragsverarbeiter-Vereinbarung und etwaiger nachfolgender Änderungen zur Verfügung stellen. Soweit dies erforderlich ist, um Geschäftsgeheimnisse oder andere vertrauliche Informationen, einschließlich personenbezogener Daten, zu schützen, darf der Datenimporteur den Text der Vereinbarung vor dem Teilen einer Kopie schwärzen.
  4. Der Datenimporteur bleibt dem Datenexporteur gegenüber vollständig verantwortlich für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters gemäß dessen Vertrag mit dem Datenimporteur. Der Datenimporteur wird den Datenexporteur über jedes Versäumnis des Unterauftragsverarbeiters informieren, seinen Verpflichtungen gemäß diesem Vertrag nachzukommen.
  5. Der Datenimporteur wird mit dem Unterauftragsverarbeiter eine Klausel für begünstigte Dritte vereinbaren, wonach - für den Fall, dass der Datenimporteur tatsächlich verschwunden ist, rechtlich nicht mehr existiert oder insolvent geworden ist - der Datenexporteur das Recht hat, den Unterauftragsverarbeitervertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

Klausel 10 - Rechte der betroffenen Person

  1. Der Datenimporteur wird den Datenexporteur unverzüglich über jede Anfrage informieren, die er von einer betroffenen Person erhalten hat. Er wird nicht selbst auf diese Anfrage reagieren, es sei denn, er wurde dazu vom Datenexporteur ermächtigt.
  2. Der Datenimporteur wird den Datenexporteur bei der Erfüllung seiner Verpflichtungen unterstützen, auf Anfragen von betroffenen Personen zur Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679 zu reagieren. In diesem Zusammenhang legen die Parteien in Anhang II die angemessenen technischen und organisatorischen Maßnahmen fest, unter Berücksichtigung der Art der Verarbeitung, durch die die Unterstützung bereitgestellt wird, sowie den Umfang und das Ausmaß der erforderlichen Unterstützung.
  3. Bei der Erfüllung seiner Verpflichtungen nach den Absätzen (a) und (b) hält sich der Datenimporteur an die Anweisungen des Datenexporteurs.

Klausel 11 - Rechtsbehelfe

  1. Der Datenimporteur wird betroffene Personen in einem transparenten und leicht zugänglichen Format, durch individuelle Benachrichtigung oder auf seiner Website, über eine Kontaktstelle informieren, die befugt ist, Beschwerden entgegenzunehmen. Er wird jede Beschwerde, die er von einer betroffenen Person erhält, unverzüglich bearbeiten.
  2. Im Falle eines Streits zwischen einer betroffenen Person und einer der Parteien hinsichtlich der Einhaltung dieser Klauseln wird diese Partei ihre besten Anstrengungen unternehmen, um die Angelegenheit auf gütliche Weise zeitnah zu lösen. Die Parteien halten einander über solche Streitigkeiten auf dem Laufenden und arbeiten, wo angemessen, bei deren Lösung zusammen.
  3. Wenn die betroffene Person ein Recht als begünstigter Dritter gemäß Klausel 3 geltend macht, akzeptiert der Datenimporteur die Entscheidung der betroffenen Person,
  4. eine Beschwerde bei der Aufsichtsbehörde im Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts oder Arbeitsorts oder bei der zuständigen Aufsichtsbehörde gemäß Klausel 13 einzureichen;
  5. den Streit den zuständigen Gerichten im Sinne von Klausel 18 vorzulegen.
  6. Die Parteien akzeptieren, dass die betroffene Person durch eine gemeinnützige Körperschaft, Organisation oder Vereinigung gemäß den in Artikel 80 Absatz 1 der Verordnung (EU) 2016/679 festgelegten Bedingungen vertreten werden kann.
  7. Der Datenimporteur wird sich an eine Entscheidung halten, die gemäß dem anwendbaren EU- oder Mitgliedstaatsrecht bindend ist.
  8. Der Datenimporteur stimmt zu, dass die Wahl der betroffenen Person ihre materiellen und verfahrensrechtlichen Rechte, nach anwendbarem Recht Rechtsbehelfe zu suchen, nicht beeinträchtigen wird.

Klausel 12 - Haftung

  1. Jede Partei haftet der anderen Partei(en) für jeden Schaden, den sie der anderen Partei(en) durch eine Verletzung dieser Klauseln zufügt.
  2. Der Datenimporteur haftet der betroffenen Person und die betroffene Person hat Anspruch auf Entschädigung für jeden materiellen oder immateriellen Schaden, den der Datenimporteur oder sein Unterauftragsverarbeiter der betroffenen Person durch Verletzung der Rechte von begünstigten Dritten gemäß diesen Klauseln zufügt.
  3. Unbeschadet des Absatzes (b) haftet der Datenexporteur der betroffenen Person und die betroffene Person hat Anspruch auf Entschädigung für jeden materiellen oder immateriellen Schaden, den der Datenexporteur oder der Datenimporteur (oder sein Unterauftragsverarbeiter) der betroffenen Person durch Verletzung der Rechte von begünstigten Dritten gemäß diesen Klauseln zufügt. Dies berührt nicht die Haftung des Datenexporteurs und, wenn der Datenexporteur ein Verarbeiter ist, der im Auftrag eines für die Verarbeitung Verantwortlichen handelt, die Haftung des für die Verarbeitung Verantwortlichen gemäß der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725, soweit anwendbar.
  4. Die Parteien vereinbaren, dass der Datenexporteur, wenn er gemäß Absatz (c) für Schäden haftbar gemacht wird, die durch den Datenimporteur (oder seinen Unterauftragsverarbeiter) verursacht wurden, Anspruch auf Erstattung des Teils der Entschädigung hat, der dem Anteil der Verantwortung des Datenimporteurs für den Schaden entspricht.
  5. Wenn mehr als eine Partei für einen Schaden verantwortlich ist, der einer betroffenen Person aufgrund einer Verletzung dieser Klauseln zugefügt wurde, haften alle verantwortlichen Parteien gesamtschuldnerisch und die betroffene Person ist berechtigt, vor Gericht gegen jede dieser Parteien zu klagen.
  6. Die Parteien vereinbaren, dass, wenn eine Partei gemäß Absatz (e) haftbar gemacht wird, sie Anspruch auf Erstattung des Teils der Entschädigung von der anderen Partei(en) hat, der deren Anteil der Verantwortung für den Schaden entspricht.
  7. Der Datenimporteur kann das Verhalten eines Unterauftragsverarbeiters nicht anführen, um seiner eigenen Haftung zu entgehen.

Klausel 13 - Aufsicht

  1. Die Aufsichtsbehörde eines der Mitgliedstaaten, in denen sich die betroffenen Personen, deren personenbezogene Daten gemäß diesen Klauseln im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an sie oder deren Verhalten überwacht wird, befinden, wie in Anhang I.C angegeben, handelt als zuständige Aufsichtsbehörde.
  2. Der Datenimporteur stimmt zu, sich der Gerichtsbarkeit der zuständigen Aufsichtsbehörde zu unterwerfen und mit dieser in allen Verfahren zusammenzuarbeiten, die darauf abzielen, die Einhaltung dieser Klauseln sicherzustellen. Insbesondere stimmt der Datenimporteur zu, auf Anfragen zu antworten, sich Audits zu unterziehen und den von der Aufsichtsbehörde ergriffenen Maßnahmen, einschließlich Abhilfe- und Entschädigungsmaßnahmen, nachzukommen. Er wird der Aufsichtsbehörde eine schriftliche Bestätigung zur Verfügung stellen, dass die notwendigen Maßnahmen ergriffen wurden.

ABSCHNITT III - LOKALE GESETZE UND VERPFLICHTUNGEN IM FALL DES ZUGRIFFS DURCH ÖFFENTLICHE BEHÖRDEN

Klausel 14 - Lokale Gesetze und Praktiken, die die Einhaltung der Klauseln beeinflussen

  1. Die Parteien erklären, dass sie keinen Grund zu der Annahme haben, dass die Gesetze und Praktiken im Drittland der Bestimmung, die auf die Verarbeitung der personenbezogenen Daten durch den Datenimporteur anwendbar sind, einschließlich etwaiger Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die den Zugang durch öffentliche Behörden autorisieren, den Datenimporteur daran hindern, seinen Verpflichtungen gemäß diesen Klauseln nachzukommen. Dies basiert auf dem Verständnis, dass Gesetze und Praktiken, die das Wesen der Grundrechte und -freiheiten respektieren und nicht über das hinausgehen, was in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele zu schützen, nicht im Widerspruch zu diesen Klauseln stehen.
  2. Die Parteien erklären, dass sie bei der Abgabe der Garantie in Absatz (a) insbesondere die folgenden Elemente berücksichtigt haben:
  3. die spezifischen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle; beabsichtigte Weiterübermittlungen; die Art des Empfängers; der Verarbeitungszweck; die Kategorien und das Format der übermittelten personenbezogenen Daten; der Wirtschaftssektor, in dem die Übermittlung stattfindet; der Speicherort der übermittelten Daten;
  4. die Gesetze und Praktiken des Drittlandes der Bestimmung - einschließlich derer, die die Offenlegung von Daten an öffentliche Behörden erfordern oder den Zugang durch solche Behörden autorisieren - die im Lichte der spezifischen Umstände der Übermittlung relevant sind, und die anwendbaren Beschränkungen und Garantien;
  5. etwaige relevante vertragliche, technische oder organisatorische Garantien, die getroffen wurden, um die Garantien gemäß diesen Klauseln zu ergänzen, einschließlich der während der Übertragung und für die Verarbeitung der personenbezogenen Daten im Bestimmungsland angewandten Maßnahmen.
  6. Der Datenimporteur garantiert, dass er bei der Durchführung der Bewertung gemäß Absatz (b) sein Bestes getan hat, um dem Datenexporteur relevante Informationen zur Verfügung zu stellen, und stimmt zu, dass er weiterhin mit dem Datenexporteur zusammenarbeiten wird, um die Einhaltung dieser Klauseln sicherzustellen.
  7. Die Parteien vereinbaren, die Bewertung gemäß Absatz (b) zu dokumentieren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
  8. Der Datenimporteur stimmt zu, den Datenexporteur unverzüglich zu benachrichtigen, wenn er nach dem Abschluss dieser Klauseln und für die Dauer des Vertrags Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt, die nicht im Einklang mit den Anforderungen gemäß Absatz (a) stehen, einschließlich nach einer Änderung der Gesetze des Drittlandes oder einer Maßnahme (wie z.B. einer Offenlegungsanforderung), die eine Anwendung solcher Gesetze in der Praxis anzeigt, die nicht im Einklang mit den Anforderungen in Absatz (a) steht.
  9. Nach einer Benachrichtigung gemäß Absatz (e) oder wenn der Datenexporteur aus anderen Gründen Grund zu der Annahme hat, dass der Datenimporteur seinen Verpflichtungen gemäß diesen Klauseln nicht mehr nachkommen kann, wird der Datenexporteur unverzüglich angemessene Maßnahmen (z.B. technische oder organisatorische Maßnahmen zur Sicherstellung von Sicherheit und Vertraulichkeit) identifizieren, die vom Datenexporteur und/oder Datenimporteur ergriffen werden müssen, um die Situation zu bewältigen. Der Datenexporteur wird die Datenübermittlung aussetzen, wenn er der Ansicht ist, dass keine angemessenen Garantien für eine solche Übermittlung sichergestellt werden können, oder wenn er von der zuständigen Aufsichtsbehörde dazu angewiesen wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft. Wenn der Vertrag mehr als zwei Parteien umfasst, kann der Datenexporteur dieses Kündigungsrecht nur in Bezug auf die relevante Partei ausüben, es sei denn, die Parteien haben etwas anderes vereinbart. Wenn der Vertrag gemäß dieser Klausel gekündigt wird, finden Klausel 16(d) und (e) Anwendung.

Klausel 15 - Verpflichtungen des Datenimporteurs im Falle des Zugangs durch öffentliche Behörden

dpa.annex4.clause15.content

ABSCHNITT IV - SCHLUSSBESTIMMUNGEN

Klausel 16 - Nichteinhaltung der Klauseln und Kündigung

  1. Der Datenimporteur wird den Datenexporteur unverzüglich informieren, wenn er nicht in der Lage ist, diesen Klauseln nachzukommen, aus welchem Grund auch immer.
  2. Falls der Datenimporteur gegen diese Klauseln verstößt oder nicht in der Lage ist, diesen Klauseln nachzukommen, setzt der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aus, bis die Einhaltung wieder sichergestellt ist oder der Vertrag gekündigt wird. Dies berührt nicht Klausel 14(f).
  3. Der Datenexporteur ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn:
  4. der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Absatz (b) ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist und in jedem Fall innerhalb eines Monats nach der Aussetzung wiederhergestellt wird;
  5. der Datenimporteur in erheblichem oder anhaltendem Maße gegen diese Klauseln verstößt; oder
  6. der Datenimporteur einer bindenden Entscheidung eines zuständigen Gerichts oder einer Aufsichtsbehörde in Bezug auf seine Verpflichtungen gemäß diesen Klauseln nicht nachkommt.
  7. In diesen Fällen wird er die zuständige Aufsichtsbehörde über eine solche Nichteinhaltung informieren. Wenn der Vertrag mehr als zwei Parteien betrifft, kann der Datenexporteur dieses Kündigungsrecht nur in Bezug auf die relevante Partei ausüben, es sei denn, die Parteien haben etwas anderes vereinbart.
  8. Personenbezogene Daten, die vor der Kündigung des Vertrags gemäß Absatz (c) übermittelt wurden, werden auf Wahl des Datenexporteurs unverzüglich an den Datenexporteur zurückgegeben oder vollständig gelöscht. Dasselbe gilt für alle Kopien der Daten. Der Datenimporteur wird dem Datenexporteur die Löschung der Daten bestätigen. Bis die Daten gelöscht oder zurückgegeben werden, wird der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicherstellen. Im Falle lokaler Gesetze, die für den Datenimporteur gelten und die Rückgabe oder Löschung der übermittelten personenbezogenen Daten verbieten, garantiert der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln sicherstellen und die Daten nur in dem Umfang und für die Dauer verarbeiten wird, wie dies nach diesem lokalen Gesetz erforderlich ist.
  9. Jede Partei kann ihre Zustimmung, an diese Klauseln gebunden zu sein, widerrufen, wenn (i) die Europäische Kommission einen Beschluss gemäß Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 erlässt, der die Übermittlung personenbezogener Daten abdeckt, auf die diese Klauseln Anwendung finden; oder (ii) die Verordnung (EU) 2016/679 Teil des rechtlichen Rahmens des Landes wird, in das die personenbezogenen Daten übermittelt werden. Dies berührt nicht andere Verpflichtungen, die für die betreffende Verarbeitung gemäß der Verordnung (EU) 2016/679 gelten.

Klausel 17 - Anzuwendendes Recht

Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, vorausgesetzt, ein solches Recht erlaubt Rechte für begünstigte Dritte. Die Parteien vereinbaren, dass dies das Recht Irlands sein wird.

Klausel 18 - Wahl des Forums und der Gerichtsbarkeit

  1. Jeder Streit, der sich aus diesen Klauseln ergibt, wird von den Gerichten eines EU-Mitgliedstaats entschieden.
  2. Die Parteien vereinbaren, dass dies die Gerichte Irlands sein werden.
  3. Eine betroffene Person kann auch gerichtliche Verfahren gegen den Datenexporteur und/oder Datenimporteur vor den Gerichten des Mitgliedstaats einleiten, in dem sie ihren gewöhnlichen Aufenthaltsort hat.
  4. Die Parteien vereinbaren, sich der Gerichtsbarkeit solcher Gerichte zu unterwerfen.