Dieser Datenverarbeitungszeitplan (Zeitplan) ist Teil der YRIS-Dienstbedingungen (Vereinbarung), die zwischen Ihnen und YRIS V.O.F. (KvK 68564775) (wir, soweit zutreffend), zusammen mit den Parteien und jeweils einer Partei abgeschlossen wurden.
1. Definitionen
1.1 In diesem Anhang haben die folgenden Begriffe die unten angegebenen Bedeutungen, und verwandte Begriffe sind entsprechend auszulegen:
(1.1.a) Anwendbares Recht bedeutet (a) die Gesetze der Europäischen Union oder der Mitgliedstaaten in Bezug auf personenbezogene Unternehmensdaten in Bezug auf personenbezogene Unternehmensdaten, in Bezug auf die das Unternehmen den EU-Datenschutzgesetzen unterliegt; und (b) jedes andere anwendbare Recht in Bezug auf personenbezogene Unternehmensdaten, in Bezug auf die das Unternehmen anderen Datenschutzgesetzen unterliegt;
(1.1.b) Personenbezogene Daten des Unternehmens sind alle personenbezogenen Daten, die von einem beauftragten Verarbeiter im Auftrag des Unternehmens verarbeitet werden, einschließlich aller personenbezogenen Daten der Kunden, Mitarbeiter oder Auftragnehmer (Benutzer) des Unternehmens gemäß oder in Verbindung mit dem Vertrag;
(1.1.c) Beauftragter Auftragsverarbeiter bedeutet uns und/oder einen Unterauftragsverarbeiter;
(1.1.d) Datenschutzgesetze bezeichnet die EU-Datenschutzgesetze und, soweit anwendbar, die Datenschutzgesetze oder die Gesetze zum Schutz der Privatsphäre eines anderen Landes;
(1.1.e) EWR bezeichnet den Europäischen Wirtschaftsraum;
(1.1.f) EU-Datenschutzgesetze bedeutet die EU-Richtlinie 95/46/EG in der in das innerstaatliche Recht der einzelnen Mitgliedstaaten umgesetzten und von Zeit zu Zeit geänderten, ersetzten oder überholten Fassung, einschließlich der DSGVO und der Gesetze zur Umsetzung oder Ergänzung der DSGVO;
(1.1.g) DSGVO bedeutet Allgemeine EU-Datenschutzverordnung 2016/679;
(1.1.h) Beschränkter Transfer bedeutet eine Übertragung von persönlichen Unternehmensdaten, wenn eine solche Übertragung durch die EU-Datenschutzgesetze (oder durch die Bedingungen von Datenübertragungsvereinbarungen, die eingeführt wurden, um den Datenübertragungsbeschränkungen der Datenschutzgesetze zu begegnen) in Ermangelung der Standardvertragsklauseln oder eines anderen rechtmäßigen Datenübertragungsmechanismus, wie in 6.4.3 oder 12 unten dargelegt, verboten wäre.
(1.1.i) Unter Dienstleistungen sind die Dienstleistungen und sonstigen Aktivitäten zu verstehen, die gemäß der Vereinbarung von uns oder in unserem Namen an Sie geliefert oder für Sie durchgeführt werden;
(1.1.j) Standardvertragsklauseln sind die von der Europäischen Kommission unter https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries festgelegten Vertragsklauseln, die von Zeit zu Zeit aktualisiert oder ersetzt werden;
(1.1.k) Unterverarbeiter bezeichnet jede Person (einschließlich Dritter, aber mit Ausnahme unserer Mitarbeiter oder Unterauftragnehmer), die von uns oder in unserem Namen mit der Verarbeitung personenbezogener Daten in Ihrem Namen beauftragt wird; und
(1.1.l) Sie meinen die Entität, die die Vereinbarung akzeptiert/angenommen hat.
1.2 Die Begriffe Kommission, für die Verarbeitung Verantwortlicher, betroffene Person, Mitgliedstaat, personenbezogene Daten, Verletzung personenbezogener Daten, Verarbeitung, besondere Datenkategorien und Aufsichtsbehörde haben die gleiche Bedeutung wie im DSGVO, und die entsprechenden Begriffe sind entsprechend auszulegen.
1.3 Das Wort “einschließen” ist so auszulegen, dass es ohne Einschränkung einschließen bedeutet, und die entsprechenden Begriffe sind entsprechend auszulegen.
2. Verarbeitung personenbezogener Unternehmensdaten
2.1 Rolle der Parteien: Die Parteien erkennen an, dass wir für die Zwecke dieses Anhangs als Verarbeiter fungieren und Sie der für die Verarbeitung der personenbezogenen Daten des Unternehmens Verantwortliche sind.
2.2 Die Parteien halten bei der Verarbeitung personenbezogener Unternehmensdaten alle geltenden Datenschutzgesetze ein.
2.3 Wir verarbeiten personenbezogene Daten des Unternehmens nur im Namen und in Übereinstimmung mit Ihren entsprechenden Anweisungen und während der Erfüllung unserer Verpflichtungen im Rahmen der Vereinbarung, es sei denn, eine andere Verarbeitung ist nach den anwendbaren Gesetzen, denen der jeweilige beauftragte Verarbeiter unterliegt, erforderlich; in diesem Fall wird der beauftragte Verarbeiter, soweit gesetzlich zulässig, das Unternehmen vor der Verarbeitung dieser personenbezogenen Daten des Unternehmens unverzüglich über diese gesetzliche Anforderung informieren.
2.4 Anhang 1 zu diesem Anhang enthält die folgenden Einzelheiten:
(2.4.a) Beschreibung der Arten der Verarbeitung, die wir durchführen werden, und der Arten von personenbezogenen Unternehmensdaten, die im Rahmen dieses Vertrags verarbeitet werden; und
(2.4.b) die Arten von Datensubjekten, auf die sich die personenbezogenen Daten Ihres Unternehmens beziehen.
2.5 Sie stimmen zu, uns (so bald wie möglich) zu aktualisieren, wenn die Angaben in Anhang 1 falsch sind oder sich ändern.
3. Unterverarbeitung
3.1 Sie ermächtigen uns, vorbehaltlich unserer Verpflichtungen unter 3.3, die von uns zum Zeitpunkt dieser Anlage bereits beauftragten Unterauftragsverarbeiter weiter zu nutzen.
3.2 Wir benachrichtigen Sie vorab schriftlich über die Ernennung eines neuen Unterauftragsverarbeiters, einschließlich aller Einzelheiten der vom Unterauftragsverarbeiter durchzuführenden Verarbeitung. Wenn Sie innerhalb von 10 Tagen nach Erhalt dieser Mitteilung
(3.2.a) Sie uns keine schriftlichen Einwände (aus angemessenen Gründen) gegen die vorgeschlagene Ernennung dieses Unterprozessors mitgeteilt haben, gehen wir davon aus, dass Sie der Ernennung dieses Unterprozessors zugestimmt haben; oder
(3.2.b) wenn Sie uns schriftlich über Einwände (aus angemessenen Gründen) gegen den vorgeschlagenen Termin informieren, werden wir eine der folgenden Maßnahmen ergreifen: (i) diesen Unterauftragsverarbeiter nicht ernennen; (ii) diesem Unterauftragsverarbeiter keine firmeneigenen personenbezogenen Daten offenlegen; oder (ii) diesem Unterauftragsverarbeiter keine firmeneigenen personenbezogenen Daten offenlegen, bis angemessene Schritte unternommen wurden, um die von Ihnen erhobenen Einwände zu behandeln, und Sie über diesen Unterauftragsverarbeiter informiert wurden und ihm auf der Grundlage der unternommenen angemessenen Schritte zugestimmt haben.
3.3 In Bezug auf jeden Unterauftragsverarbeiter werden wir
(3.3.a) vor der Verarbeitung personenbezogener Unternehmensdaten durch den Unterauftragsverarbeiter (oder gegebenenfalls in Übereinstimmung mit Abschnitt 3.2) eine angemessene Sorgfaltspflicht anwenden, um sicherzustellen, dass der Unterauftragsverarbeiter in der Lage ist, das in der Vereinbarung und diesem Zeitplan geforderte Schutzniveau für personenbezogene Unternehmensdaten zu gewährleisten;
(3.3.b) sicherstellen, dass die Vereinbarung zwischen uns und dem betreffenden zwischengeschalteten Unterauftragsverarbeiter durch einen schriftlichen Vertrag geregelt wird, der Bedingungen enthält, die den Anforderungen von Artikel 28 Absatz 3 des DSGVO entsprechen.
4. Rechte des Datensubjekts
4.1 Wir werden:
(4.1.a) Sie unverzüglich benachrichtigen, wenn ein Auftragsverarbeiter eine Anfrage von einem Datensubjekt erhält, die unter einem Datenschutzgesetz in Bezug auf personenbezogene Daten des Unternehmens steht;
(4.1.b) sicherstellen, dass der beauftragte Auftragsverarbeiter auf diese Anfrage nur auf Ihre dokumentierten Anweisungen hin oder gemäß den anwendbaren Gesetzen, denen der beauftragte Auftragsverarbeiter unterliegt, antwortet; in diesem Fall werden wir Sie im Rahmen der anwendbaren Gesetze über diese rechtliche Anforderung informieren, bevor der beauftragte Auftragsverarbeiter auf die Anfrage antwortet;
(4.1.c) geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist, zur Erfüllung Ihrer Verpflichtungen gemäß den Datenschutzgesetzen ergreifen; und
(4.1.d) wenn Sie unsere Unterstützung bei der Beantwortung einer Anfrage der betroffenen Person benötigen, unternehmen Sie wirtschaftlich angemessene Anstrengungen, um Sie zu unterstützen, und zwar im gesetzlich zulässigen Umfang, und Sie sind für die Kosten verantwortlich, die durch unsere Unterstützung entstehen.
5. Sicherheit
5.1 Unter Berücksichtigung des Stands der Technik, der Kosten der Durchführung und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen werden wir geeignete technische und organisatorische Maßnahmen durchführen, um ein diesem Risiko angemessenes Sicherheitsniveau zu gewährleisten, gegebenenfalls einschließlich der in Artikel 32 Absatz 1 des DSGVO genannten Maßnahmen.
5.2 Wir werden angemessene Maßnahmen ergreifen, um sicherzustellen, dass alle unsere Mitarbeiter, die personenbezogene Daten des Unternehmens verarbeiten, über den vertraulichen Charakter der personenbezogenen Daten des Unternehmens informiert wurden und sich zur Geheimhaltung der personenbezogenen Daten des Unternehmens verpflichtet haben.
5.3 Bei der Beurteilung des angemessenen Sicherheitsniveaus werden wir die Risiken berücksichtigen, die sich aus der Verarbeitung ergeben, insbesondere aus einer Verletzung der personenbezogenen Daten.
5.4 Verletzung personenbezogener Daten: Wir werden Sie unverzüglich benachrichtigen, wenn wir von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erhalten, und Ihnen ausreichende Informationen zur Erfüllung Ihrer rechtlichen Verpflichtungen zur Verfügung stellen. Auf Ihren begründeten Antrag hin werden wir die von Ihnen angewiesenen angemessenen geschäftlichen Schritte unternehmen, um Sie bei der Untersuchung, Milderung und Behebung eines solchen Verstoßes gegen die Bestimmungen zur Verarbeitung personenbezogener Daten zu unterstützen.
6. Datenschutzfolgenabschätzung und vorherige Konsultation
6.1 Auf Ihr Ersuchen und in dem vom DSGVO geforderten Umfang werden wir Ihnen angemessene Unterstützung leisten, wenn Sie Ihren Verpflichtungen nach dem DSGVO nachkommen, indem wir eine Datenschutzfolgenabschätzung wie folgt durchführen:
(6.1.a) in dem Umfang, in dem sich die von Ihnen durchgeführte Bewertung direkt auf die Verarbeitung personenbezogener Unternehmensdaten bezieht, Sie anderweitig keinen Zugang zu den Informationen haben und diese Informationen uns zur Verfügung stehen; und
(6.1.b) wenn Sie vernünftigerweise unsere Hilfe bei vorherigen Konsultationen mit Aufsichtsbehörden oder anderen zuständigen Datenschutzbehörden benötigen.
6.2 Wenn Sie um Unterstützung ersuchen, die über den Anwendungsbereich von Abschnitt 6.1 hinausgeht, können wir Sie über unsere Gebühren informieren und Ihnen diese zusätzliche Unterstützung in Rechnung stellen.
7. Eingeschränkte Übertragungen
7.1 Vorbehaltlich Klausel 7.3 treten Sie (als Datenexporteur) und gegebenenfalls jeder Vertragsverarbeiter (als Datenimporteur) hiermit den Standardvertragsklauseln in Bezug auf jede beschränkte Übertragung von Ihnen an diesen Vertragsverarbeiter bei. Die Standardvertragsklauseln sind hier verfügbar.
7.2 Die Standardvertragsklauseln treten gemäß Abschnitt 7.1 mit Beginn der betreffenden eingeschränkten Übertragung in Kraft.
7.3 Klausel 7.1 gilt nicht für eine beschränkte Übertragung, es sei denn, ihre Wirkung besteht darin, dass sie zusammen mit anderen vernünftigerweise durchführbaren Schritten zur Einhaltung der Vorschriften (zu denen zweifelsfrei nicht die Einholung der Einwilligung der betroffenen Personen gehört) die betreffende beschränkte Übertragung ohne Verstoß gegen das anwendbare Datenschutzrecht ermöglicht.
8. Prüfung
8.1 Vorbehaltlich einer angemessenen Vorankündigung (nicht weniger als 30 Tage) und Ihrer angemessenen Aufforderung, die Einhaltung dieser Anlage nachzuweisen, werden wir (vorbehaltlich der Vertraulichkeitsverpflichtungen)
(8.1.a) Informationen zur Verfügung stellen, die sich direkt auf die persönlichen Daten Ihres Unternehmens beziehen und die notwendig sind, um Ihre Übereinstimmung mit Artikel 28(3) der DSGVO nachzuweisen;
(8.1.b) Ihnen oder einem von Ihnen beauftragten unabhängigen Prüfer gestatten, Prüfungen, einschließlich Inspektionen, in Bezug auf die Verarbeitung personenbezogener Unternehmensdaten durch die beauftragten Verarbeiter durchzuführen, und Sie stimmen zu, alle angemessenen Maßnahmen zu ergreifen, um die Auswirkungen auf die Vertragsverarbeiter zu begrenzen.
9. Löschung oder Rückgabe persönlicher Firmendaten
9.1 Innerhalb von vier Monaten nach der Beendigung oder dem Ablauf dieses Zeitplans werden wir alle in unserem Besitz oder unter unserer Kontrolle befindlichen personenbezogenen Unternehmensdaten vernichten oder an Sie zurücksenden (sofern Sie eine solche Anforderung stellen), es sei denn, anwendbare Gesetze verlangen, dass wir personenbezogene Unternehmensdaten aufbewahren.
10. Allgemeine Bedingungen
10.1 Rangfolge: Im Falle eines Konflikts oder Widerspruchs zwischen den zwischen den Parteien getroffenen Vereinbarungen haben die Standardvertragsklauseln Vorrang, dann der Anhang, gefolgt von der Vereinbarung.
10.2 Verpflichtungen aus der Vereinbarung: Vorbehaltlich Klausel 10.1 reduziert nichts in dieser Anlage die Verpflichtungen der Parteien aus der Vereinbarung, und alle Klauseln in der Vereinbarung gelten weiterhin, sofern sie nicht im Widerspruch zu den anwendbaren Gesetzen stehen, einschließlich, aber nicht beschränkt auf: geltendes Recht und Gerichtsbarkeit und Haftungsbeschränkung.
10.3 Rechtswirkung: Dieser Anhang wird abgeschlossen und wird zu einem verbindlichen Teil der Vereinbarung, wobei das Datum des Inkrafttretens das Datum ist, an dem Sie die Vereinbarung und diesen Anhang, der Teil der Vereinbarung ist, online akzeptieren.
Anhang 1
Einzelheiten der Verarbeitung personenbezogener Unternehmensdaten
Dieser Anhang 1 enthält bestimmte Einzelheiten der Verarbeitung personenbezogener Unternehmensdaten gemäß Artikel 28 Absatz 3 DSGVO.
1. Gegenstand und Dauer der Verarbeitung personenbezogener Unternehmensdaten
Der Gegenstand und die Dauer der Verarbeitung personenbezogener Unternehmensdaten sind in der Vereinbarung und diesem Anhang festgelegt.
2. Art und Zweck der Verarbeitung personenbezogener Unternehmensdaten
Die Art und der Zweck der Verarbeitung personenbezogener Daten des Unternehmens werden in der Vereinbarung und auf Ihre weitere Anweisung hin näher erläutert.
3. Die Arten der zu verarbeitenden persönlichen Firmendaten
Zu den zu verarbeitenden Arten von personenbezogenen Unternehmensdaten können unter anderem die folgenden gehören
i. der Name eines Datensubjekts;
ii. die Kontaktdaten eines Datensubjekts für die Arbeit;
iii. die persönliche Mobiltelefonnummer des Datensubjekts;
iv. alle persönlichen Daten über ein Datensubjekt, die im Hauptteil der Textnachricht enthalten sind, die Sie über unsere Dienste senden möchten (z.B. die Termindetails des Datensubjekts); und
v. alle anderen persönlichen Daten, die von uns angefordert und/oder von Ihnen, einer betroffenen Person oder einem Dritten zur Verfügung gestellt werden.
Bitte beachten Sie: Personenbezogene Daten über eine betroffene Person, die im Textkörper der Textnachricht enthalten sind, können besondere Datenkategorien enthalten, wie z.B. Gesundheitsdaten, die sich auf diese betroffene Person beziehen.
4. Die Kategorien von Datensubjekten, auf die sich die personenbezogenen Daten des Unternehmens beziehen
Die Kategorien der betroffenen Personen, auf die sich die personenbezogenen Daten des Unternehmens beziehen, sind wie folgt:
i. Ihre Kontaktperson(en), mit der/denen wir kommunizieren;
ii. Ihre Mitarbeiter oder Auftragnehmer, die unsere Dienstleistungen nutzen und sich aktiv mit uns in Verbindung setzen (auch für eine Supportanfrage); und
iii. Ihre Kunden, bei denen Sie deren Daten eingeben, wenn Sie unsere Dienste nutzen.
5. Ihre Pflichten und Rechte
Ihre Pflichten und Rechte sind in der Vereinbarung und diesem Anhang festgelegt.
Anhang 1 zu den Standardvertragsklauseln
Dieser Anhang ist Teil der Klauseln.
Die Mitgliedstaaten können nach ihren innerstaatlichen Verfahren die in diesem Anhang zu machenden zusätzlichen erforderlichen Angaben ergänzen oder präzisieren.
Betroffene Personen
Die übermittelten personenbezogenen Daten betreffen die folgenden Kategorien von betroffenen Personen: wie in der Vereinbarung und im Zeitplan angegeben.
Kategorien von Daten
Die übermittelten personenbezogenen Daten betreffen die folgenden Datenkategorien:
wie in der Vereinbarung und im Zeitplan angegeben.
Besondere Datenkategorien (falls zutreffend)
Die übermittelten Personendaten betreffen die folgenden speziellen Datenkategorien:
wie in der Vereinbarung und im Zeitplan angegeben.
Verarbeitungen
Die übermittelten persönlichen Daten werden den folgenden grundlegenden Verarbeitungsaktivitäten unterzogen:
Aktivitäten
Die für die Erbringung der Dienstleistungen vernünftigerweise erforderlich oder von Ihnen genehmigt sind.
© 2020 YRIS V.O.F. YRIS V.O.F. ist eingetragen im Handelsregister in den Niederlanden, unter der Handelsregisternummer 68564775