SpecPage is a 2024 Representative Vendor in latest Gartner® research. Download the Report

Oktoberr 2024

RAHMENVERTRAG

FÜR DIE LIZENZIERUNG VON SOFTWARE,
DIE BEREITSTELLUNG VON ABONNEMENTDIENSTEN (SaaS)
UND PROFESSIONIAL SERVICES

Dieser Rahmenvertrag für die Erbringung von Dienstleistungen (“Vertrag”) wird mit dem Datum der letzten Unterschrift (“Datum des Inkrafttretens”) zwischen dem Anbieter und dessen verbundenen Unternehmen gem. §§ 15 ff. AktG und dem Kunden und dessen verbundenen Unternehmen gem. §§ 15 ff. AktG, wie in dem Bestellformular aufgeführt, geschlossen. Der Anbieter und der Kunde werden im Folgenden gemeinsam als “Parteien” oder einzeln als “Partei” bezeichnet.
In Anbetracht der hier dargelegten gegenseitigen Verpflichtungen, Bedingungen, Konditionen und Leistungen der Parteien, deren Angemessenheit hiermit anerkannt werden, vereinbaren die Parteien wie folgt:

1. Definitionen.

Abgeleitete Werke” sind Überarbeitungen, Erweiterungen, Änderungen, Übersetzungen, Kürzungen, Zusammenfassungen oder Erweiterungen von Anbieter-IP.”

Anbieter-IP” bezeichnet die Dienste, den Katalog, die Katalogdaten und jegliches geistige Eigentum, das dem Kunden oder einem autorisierten Nutzer in Verbindung mit dem Vorgenannten zur Verfügung gestellt wird. Um Zweifel auszuschließen: Die Anbieter-IP umfasst alle Informationen, Daten oder andere Inhalte, die aus der Überwachung des Zugriffs oder der Nutzung der Dienste durch den Kunden durch den Anbieter abgeleitet werden, einschließlich der Nutzung der Katalogdaten durch den Kunden, jedoch nicht die Kundendaten.

Abonnementdienste” bezeichnet die SaaS- oder Abonnementdienste, die der Anbieter dem Kunden im Rahmen dieses Vertrags über die im Bestellformular angegebene Website oder eine andere Website, die dem Kunden vom Anbieter mitgeteilt wird, zur Verfügung stellt. Für die genaue Vorgehensweise wird auf die “Dokumentation“ in Punkt 8.9 dieses Vertrages, Bezug genommen.

Abonnementgebühren” bezeichnet die Gebühren, die pro Nutzer für die jeweiligen Dienste erhoben werden.

Abonnementlaufzeit” bezeichnet den vom Kunden zugestimmten Zeitraum, in welchem einen Dienst in Bezug auf einen einzelnen Nutzer abonniert wird. Dieser Zeitraum beginnt am Datum des Inkrafttretens und wird daraufhin in Übereinstimmung mit Abschnitt 12 fortgesetzt.

Anwendbare(s) Datenschutzgesetz(e)” bezeichnet die Gesetze und Vorschriften der Vereinigten Staaten (einschließlich des California Privacy Rights Act (“CPRA”)), der Europäischen Union, des Europäischen Wirtschaftsraums und ihrer Mitgliedstaaten, der Schweiz und des Vereinigten Königreichs (einschließlich der Datenschutz-Grundverordnung oder (DSGVO) und aller anwendbaren nationalen Gesetze, die im Rahmen dieser Verordnung erlassen wurden, wenn der Kunde im Europäischen Wirtschaftsraum ansässig ist), des Schweizer Bundesgesetzes vom 19. Juni 1992 über den Datenschutz und des brasilianischen Allgemeinen Datenschutzgesetzes (LGPD), jeweils in der geänderten oder ersetzten Fassung.

Anwendbare(s) Gesetze(e)” inkludiert alle anwendbaren lokalen, staatlichen, bundesstaatlichen und internationalen Gesetze, Regeln und Vorschriften, einschließlich, aber nicht beschränkt auf diejenigen, die sich auf den Datenschutz und die Datenübertragung beziehen.

API” bezeichnet die vom Anbieter entwickelten, zur Verfügung gestellten und aktivierten Programmierschnittstellen, die es dem Kunden ermöglichen, auf bestimmte, von den Diensten bereitgestellte, Funktionen zuzugreifen. Diese verstehen sich einschließlich, aber nicht beschränkt auf eine Schnittstelle, die die Interaktion mit dem/den Dienst(en) automatisch über HTTP-Anfragen ermöglicht, und die Anwendungsentwicklungs-API des Anbieters, die die Integration des/der Dienste(s) mit anderen Webanwendungen ermöglicht.

Auftragnehmer” bezeichnet einen unabhängigen Auftragnehmer oder Berater einer Partei.

Autorisierter Nutzer” bezeichnet die Mitarbeiter, Berater, Auftragnehmer und Vertreter des Kunden, (i) die vom Kunden autorisiert sind, im Namen des Kunden auf die Dienste gemäß den dem Kunden in diesem Vertrag gewährten Rechten zuzugreifen, und (ii) im Falle von SaaS-Diensten, für die ein eindeutiger Nutzername und ein Passwort für den Zugriff auf die Dienste gemäß den Bedingungen dieses Vertrags bereitgestellt wurde. Sofern der Kunde das Recht erworben hat, die Lizenzierte Software oder die SaaS-Dienste als White-Label zu vertreiben und den Kunden des Kunden den Zugriff darauf zu gestatten, umfasst der Begriff “Autorisierter Nutzer” auch die Kunden des Kunden, für die der Kunde auf dem Bestellformular angegebene Nutzer erworben hat.

AVV” ist die in Anhang 1 enthaltene Zusatzvereinbarung zur Auftragsverarbeitung.

Bestellformular” oder “Bestellung” bezeichnet das Bestellformular, das diesen Vertrag einbezieht und in dem die vom Anbieter für den Kunden zu erbringenden Produkte und Dienstleistungen sowie die zu zahlenden Gebühren angegeben sind.

Datum des Inkrafttretens” ist das Datum, das in der jeweiligen Bestellung, welche auf diesen Vertrag verweist, angegeben ist.

Dienste” bezeichnet alle Produkte, Abonnements, Lizenzen und/oder Dienstleistungen, die der Kunde über eine Bestellung mit Verweis auf diesen Vertrag bestellt, einschließlich, soweit zutreffend, API, SaaS, Software, Dokumentation und Professional Services. Ausgeschlossen sind jedoch ausdrücklich Dienste Dritter.

Dienste Dritter” bezeichnet Produkte, Anwendungen, Dienste, Software, Netzwerke, Systeme, Verzeichnisse, Websites, Datenbanken und Informationen Dritter, mit denen ein Dienst verbunden ist oder die der Kunde in Verbindung mit einem Dienst verbinden oder aktivieren kann, einschließlich, aber nicht beschränkt auf, Dienste Dritter, die vom Kunden oder auf dessen Anweisung direkt in das Konto des Kunden integriert werden können.

Dokumentation” bezeichnet alle schriftlichen oder elektronischen Dokumentationen, Bilder, Videos, Texte oder Töne, die die Funktionen der Dienste beschreiben und die der Anbieter dem Kunden oder den Nutzern über die Website bereitstellt oder zugänglich macht.

Fehler” bedeutet die fehlende Einhaltung der in der Dokumentation beschrieben Eigenschaften der vom Anbieter gelieferten Abonnementdienste.

Fehlerkorrektur” bedeutet Überarbeitungen, Modifikationen, Änderungen und Ergänzungen der Produkte oder Dienstleistungen, die der Anbieter dem Kunden jeweils zur Behebung von Fehlern als Fehlerkorrekturen oder Umgehungen zur Verfügung stellt.

Gebühren” bezeichnet die Lizenzgebühren, die Gebühren für Professional Services, die Abonnementgebühren, die Supportgebühren, die Hosting-Gebühren und alle anderen im Bestellformular angegebenen Gebühren.

Gebühren für Professional Services” bedeutet die für die Professional Services zu zahlenden Gebühren.

Gehostete Umgebung” bezeichnet die technische Umgebung des Anbieters oder eines Dritten, die für den Betrieb und den Zugriff auf den jeweiligen Anbieter-Service erforderlich ist.

Konto” bezeichnet alle Konten oder Instanzen, die vom oder im Namen des Kunden innerhalb der Dienste erstellt werden.

Kundendaten” bezeichnet alle Inhalte und Daten, einschließlich, aber nicht beschränkt auf personenbezogene Daten, technisches Material, Kundenaufzeichnungen oder andere Materialien, die vom oder im Namen des Kunden übermittelt werden und die zur weiteren Verarbeitung im Besitz und unter der Kontrolle des Anbieters verbleiben. Feedback wird hiervon nicht erfasst.

Kundenumgebung” bezeichnet die Computerumgebung (mit Ausnahme der vom Anbieter bereitgestellten Software), die vom Kunden für den Zugang und die Nutzung der Produkte und Dienste gesondert beschafft, vorbereitet oder unterhalten wird.

Laufzeit” bezeichnet die Lizenzlaufzeit, je nach Kontext, und/oder die Abonnementlaufzeit.

Leistungsbeschreibung” oder “Statement of Work” bezeichnet eine von jeder Partei unterzeichnete oder genehmigte Leistungsbeschreibung, in der die vom Anbieter zu erbringenden Professional Services aufgeführt sind.

Lizenzgebühren” sind die für die Lizenzierung der Lizenzierten Software zu entrichtenden Gebühren.

Lizenzlaufzeit” bezeichnet die Dauer der Lizenznutzung, die der Anbieter dem Kunden gewährt, die mit dem im Bestellformular angegebenen Datum beginnt und, im Falle von befristeten Lizenzen, in Übereinstimmung mit Abschnitt 12(a) andauert.

Lizenzierte Software” bezeichnet das/die Softwareprodukt(e), das/die an den Kunden lizenziert und entweder in den Räumlichkeiten oder auf den Geräten des Kunden oder in einer gehosteten Umgebung installiert ist/sind wie jeweils in der Bestellung angegeben.

Lizenzmetrik” bezeichnet das jeweils zulässige Nutzungsvolumen für Software-, Wartungs- und/oder Supportdienste, wie in der jeweiligen Bestellung definiert.

Mangel” bedeutet die nicht vertragsgemäße Einhaltung der in der Dokumentation beschriebenen Eigenschaften der vom Anbieter gelieferten Lizenzierten Software.

Nutzer” bezeichnet eine Person, die berechtigt ist, die Lizenzierte Software und/oder die Dienste über das Konto des Kunden als Vertreter, Manager, Teamleiter, Administrator oder in einer anderen Rolle zu nutzen, die durch ein eindeutiges Login identifiziert wird.

Personenbezogene Daten” sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (“betroffene Person”) beziehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, sowie alle sonstigen Daten, die nach dem/den Anwendbaren Datenschutzrecht(en) als personen-bezogene Daten gelten.

Professional Services” bezeichnet die Installation, Konfiguration, Implementierung, Schulung, Beratung, Projektmanagement und/oder andere Dienstleistungen, die der Anbieter für den Kunden erbringen kann.

Rechte an geistigem Eigentum” bedeutet alle entsprechenden Patente, Erfindungen, Urheberrechte, Marken, Domainnamen, Geschäftsgeheimnisse, Know-how und alle anderen Rechte an geistigem Eigentum und/oder andere Eigentumsrechte.

SaaS” bezeichnet Software-as-a-Service-Angebote, wie sie in der Branche allgemein bekannt sind.

Sicherheitsverletzung” bezeichnet die unrechtmäßige Zerstörung, den Verlust, die Veränderung, die Offenlegung von oder den Zugang zu vertraulichen Informationen, die durch die Verletzung der in Abschnitt 7(a) festgelegten Geheimhaltungspflichten durch den Provider verursacht werden.

Software” bezeichnet solche Software, die vom Anbieter entweder durch Herunterladen oder durch Zugriff über das Internet bereitgestellt wird und die es dem Nutzer ermöglicht, Funktionen in Verbindung mit den Diensten zu nutzen.

Support-Dienste” bezeichnet die Wartungs- und/oder Support-Dienste, die (a) für die vom Anbieter angebotene Lizenzierte Software gemäß Abschnitt 5 erbracht und vom Kunden gemäß den Angaben in einem Bestellformular erworben werden oder (b) in den Abonnementdiensten enthalten sind, wie in Abschnitt 5(c) näher beschrieben.

Updates” bezeichnet regelmäßige Verbesserungen oder Ergänzungen der Lizenzierten Software oder der vom Anbieter bereitgestellten Dienste, einschließlich Fehlerkorrekturen, jedoch unter Ausschluss neuer Funktionen oder wesentlicher zusätzlicher Funktionalität.

Verbundene(s) Unternehmen” bezeichnet in Bezug auf eine Partei, jede juristische Person, die diese Partei direkt oder indirekt kontrolliert, von ihr kontrolliert wird oder mit ihr unter gemeinsamer Kontrolle steht, wobei “Kontrolle” (einschließlich der Begriffe “kontrolliert von” und “unter gemeinsamer Kontrolle” mit entsprechender Bedeutung) den direkten oder indirekten Besitz der Befugnis bedeutet, das durch den Besitz von stimmberechtigten Wertpapieren, durch Vertrag oder auf andere Weise.

Version” bezeichnet die Softwarekonfiguration, die durch eine numerische Darstellung identifiziert wird, unabhängig davon, ob sie links oder rechts von einer Dezimalstelle steht.

Vertrauliche Informationen” bezeichnet alle Informationen, die von einer Partei der anderen Partei offengelegt werden und die als vertraulich gekennzeichnet sind oder die eine vernünftige Person angesichts der Art der Informationen und Umstände der Offenlegung als vertraulich oder geschützt ansehen würde, und umfassen unter anderem alle nicht öffentlichen Informationen über das Geschäft, die Produkte und Dienstleistungen des Anbieters oder des Kunden (einschließlich, aber nicht beschränkt auf deren Entdeckung, Erfindung, Forschung, Verbesserung, Entwicklung, Vermarktung oder Verkauf sowie Vorlagen, Scorecards, Module, Coaching-Karten, Rubriken und Ähnliches), Preisgestaltung, Finanzdaten, Modelle und Informationen, Geschäfts- und Marketingpläne, Kundeninformationen, Geschäftsmöglichkeiten, Pläne für die Entwicklung zukünftiger Produkte, noch nicht freigegebene Versionen von Produkten, Know-how, Technologie, die Dienste, die Software und die API. Ungeachtet des Vorstehenden, umfassen die Vertraulichen Informationen keine Informationen, die: (a) der empfangenden Partei zum Zeitpunkt der Offenlegung durch die offenlegende Partei bereits bekannt waren, ohne dass diese zur Vertraulichkeit verpflichtet war; (b) von der empfangenden Partei von einem Dritten erlangt wurden oder werden, von dem die empfangende Partei nicht wusste, dass er in Bezug auf diese Informationen zur Vertraulichkeit verpflichtet ist; (c) der Öffentlichkeit allgemein zugänglich sind oder werden, ohne dass dies eine Verletzung dieses Vertrages oder einer anderen gültigen Vereinbarung zwischen den Parteien darstellt; oder (d) von der empfangenden Partei unabhängig und ohne Verwendung der vertraulichen Informationen der offenlegenden Partei entwickelt wurde oder wird.

Website” bezeichnet https://revalizesoftware.com/de/ oder eine andere URL, mobile oder lokalisierte Versionen davon, die dem Anbieter gehören oder von ihm betrieben werden, wie im Bestellformular angegeben.

White Label” bezeichnet die Lizenzierte Software oder die Dienste unter der eigenen Marke des Kunden zu präsentieren, vorausgesetzt, dass der Satz “powered by Revalize” auf jeder Seite der Lizenzierten Software deutlich sichtbar angezeigt wird.

2. Softwarelizenzen und Abonnements.

(a) Lizensierte Software. Als Gegenleistung für die vom Kunden an den Anbieter gezahlten Lizenzgebühren gewährt der Anbieter dem Kunden eine nicht exklusive, nicht übertragbare, widerrufliche und nicht abtretbare (außer in Übereinstimmung mit Abschnitt 13(g)), persönliche Lizenz zur Nutzung der jeweils aktuellen Version der Lizenzierten Software für die entsprechende Lizenzlaufzeit. Die Lizenz ist auf die im Bestellformular angegebenen Lizenzmetriken beschränkt. Die Lizenzierte Software darf ausschließlich für interne Geschäftszwecke des Kunden verwendet werden, es sei denn, es wurde das Recht erworben, die Lizenzierte Software als White Label zu vertreiben; in diesem Fall darf der Kunde autorisierten Nutzern, die bei Kunden des Kunden beschäftigt sind, Zugang gewähren, sofern die Anzahl der Nutzer die im Bestellformular angegebene Anzahl nicht überschreitet. Die lizenzierte Software kann entweder in der eigenen Umgebung des Kunden vor Ort (on-premise) installiert werden oder vom Anbieter oder in dessen Namen gehostet werden, wie im Bestellformular angegeben. Entscheidet sich der Kunde dafür, dass die Lizenzierte Software in einer gehosteten Umgebung bereitgestellt wird, so erwirbt er vom Anbieter Hosting-Dienste.

(b) Abonnementdienste. Als Gegenleistung für die vom Kunden an den Anbieter gezahlten Abonnementgebühren gewährt der Anbieter dem Kunden ein nicht-ausschließliches, nicht übertragbares, widerrufliches, nicht abtretbares (außer in Übereinstimmung mit Abschnitt 13(g)), persönliches Recht, über einen Internetzugang auf die im Bestellformular angegebenen Abonnementdienste zuzugreifen und diese für die im Bestellformular angegebene Anzahl von Nutzern zu nutzen. Die Abonnementdienste dürfen ausschließlich für interne Geschäftszwecke des Kunden genutzt werden, es sei denn, es wurde das Recht erworben, die Dienste als White Label zu vertreiben. In diesem Fall kann der Kunde die Mitarbeiter seiner Kunden als autorisierte Nutzer der Dienste einbeziehen, vorausgesetzt, die Anzahl der Nutzer, die auf die Abonnementdienste zugreifen, übersteigt nicht die im Bestellformular angegebene Anzahl.

(c) Autorisierte Nutzer. Der Anbieter stellt den Autorisierten Nutzern Passwörter und Netzwerklinks oder -verbindungen aus, um den Zugriff auf die Lizenzierte Software und/oder die Abonnementdienste zu ermöglichen. Die Gesamtzahl der Autorisierten Nutzer darf die im Bestellformular angegebene Zahl nicht überschreiten, es sei denn, die Parteien haben dies ausdrücklich schriftlich vereinbart. Ein solches Vorgehen erfolgt lediglich vorbehaltlich einer angemessenen Anpassung der hierunter zu zahlenden Gebühren. Der Kunde erkennt an, dass die Zugangsdaten für Autorisierte Nutzer nicht gemeinsam oder von mehr als einem Autorisierten Nutzer genutzt werden können und dass die gemeinsame Nutzung von Zugangsdaten der Autorisierten Nutzer nicht gestattet ist, sondern diese Zugangsdaten neuen Autorisierten Nutzern zugewiesen werden können, die die früheren Autorisierte Nutzer ersetzen, die die Lizenzierte Software oder die Abonnementdienste nicht mehr nutzen bzw. keinen Zugriff mehr benötigen.

(d) Änderungen. Der Anbieter behält sich das Recht vor, die Lizenzierte Software oder die Abonnementdienste oder Teile davon nach eigenem Ermessen zu ändern, hinzuzufügen oder einzustellen, und zwar jederzeit, aus beliebigen Gründen und ohne Haftung gegenüber dem Kunden, außer wie in diesem Abschnitt 2(d) vorgesehen. Darüber hinaus erkennt der Kunde an, dass der Anbieter die Merkmale und Funktionen der Lizenzierten Software und der Abonnementdienste während der Vertragslaufzeit ändern kann. Der Anbieter wird sich in angemessener Weise bemühen, den Kunden im Voraus über den Wegfall von wesentlichen Merkmalen oder Funktionen zu informieren. Für den Fall, dass eine solche Änderung die Möglichkeit des Kunden, die Lizenzierte Software oder die Abonnementdienste in der in diesem Vertrag vorgesehenen Weise zu nutzen, wesentlich beeinträchtigt, kann der Kunde den Vertrag durch schriftliche Mitteilung an den Anbieter kündigen, und der Anbieter erstattet dem Kunden anteilig alle im Voraus gezahlten Gebühren, die dem nicht genutzten Teil der betreffenden Dienste nach einer solchen Kündigung entsprechen.

(e) Überprüfung. Der Kunde erkennt an, dass der Anbieter sich das Recht vorbehält, jederzeit und ohne Vorankündigung die Einhaltung der Bedingungen dieses Vertrages zu überprüfen und seine Rechte an der Lizenzierten Software und den Abonnementdiensten anderweitig zu schützen, indem er Lizenzverwaltungstechnologie in die Lizenzierte Software und die Abonnementdienste integriert und die Nutzung überprüft, einschließlich, aber nicht beschränkt auf Zeit, Datum, Internet-Protokolladresse, Zugangs- oder andere Kontrollen, Zähler, Seriennummern und/oder andere Sicherheitsvorrichtungen.

(f) Nutzungsbeschränkungen. Der Kunde muss von seinen autorisierten Nutzern verlangen alle relevanten Bestimmungen dieses Vertrages einzuhalten. Jede Nichteinhaltung dieses Vertrages durch einen autorisierten Nutzer stellt eine Vertragsverletzung durch den Kunden dar. Vorbehaltlich der Gestattung nach dem geltenden deutschen Urheberrechtsgesetz (UrhG), insbesondere 69d) and 69e) UrhG, und nur unter den im Gesetz genannten Bedingungen, darf der Kunde die Lizenzierte Software oder die Abonnementdienste für Zwecke nutzen, die über den Umfang der in diesem Vertrag gewährten Lizenz oder des Zugriffsrechts hinausgehen. Der Kunde darf zu keiner Zeit, weder direkt noch indirekt, autorisierten Nutzern oder Dritten gestatten: (i) die Lizenzierte Software oder die Abonnementdienste ganz oder teilweise zu kopieren, zu modifizieren oder abgeleitete Werke davon zu erstellen oder dem Kunden oder Dritten die Möglichkeit zu geben, die Lizenzierte Software oder die Abonnementdienste zurückzuentwickeln oder auf eine Art und Weise zu nutzen, die den Interessen (einschließlich der finanziellen Interessen) des Anbieters schadet oder schaden könnte; (ii) die Lizenzierte Software oder die Abonnementdienste zu vermieten, zu verleasen, zu verleihen, zu verkaufen, zu lizenzieren, zu unterlizenzieren, abzutreten, zu vertreiben, zu veröffentlichen, zu übertragen oder anderweitig verfügbar zu machen; (iii) die Lizenzierte Software oder die Abonnementdienste ganz oder teilweise zurückzuentwickeln, zu disassemblieren, zu dekompilieren, zu dekodieren, zu adaptieren oder anderweitig zu versuchen, eine Softwarekomponente der Lizenzierten Software oder der Abonnementdienste abzuleiten oder sich Zugang dazu zu verschaffen; (iv) Urheberschutzhinweise von der Lizenzierten Software oder den Abonnementdiensten zu entfernen (außer in Übereinstimmung mit dem Recht des Kunden (falls ein solches vom Anbieter erworben wurde), die Lizenzierte Software oder die Abonnementdienste als White Label zu kennzeichnen); (v) Dritten den Zugriff auf die Lizenzierte Software oder die Abonnementdienste oder deren Nutzung zu gestatten, sofern es sich nicht um Autorisierte Nutzer handelt; (vi) die Lizenzierte Software oder die Abonnementdienste auf irgendeine Weise oder für irgendeinen Zweck zu nutzen, der ein geistiges Eigentumsrecht oder ein anderes Recht einer Person verletzt, missbräuchlich verwendet oder anderweitig verletzt, oder der gegen ein anwendbares Gesetz verstößt; oder (vii) die Lizenzierte Software oder die Abonnementdienste zu nutzen oder die Übertragung, die Übermittlung, den Export oder den Reexport der Lizenzierten Software oder der Abonnementdienste oder eines Teils davon, unter Verstoß gegen ein anwendbares Gesetz oder einer Vorschrift, einschließlich der vom U. S. Commerce Department oder einer anderen nationalen oder internationalen Behörde verwalteten Exportkontrollgesetze oder -vorschriften, zu gestatten.

(g) Vorbehalt von Rechten. Der Anbieter behält sich alle Rechte vor, die dem Kunden in diesem Vertrag nicht ausdrücklich gewährt werden. Mit Ausnahme der beschränkten Rechte und Lizenzen, die in diesem Vertrag ausdrücklich gewährt werden, gewährt dieser Vertrag dem Kunden oder einem Dritten weder stillschweigend noch durch Verzicht, Rechteverwirkung oder auf andere Weise Rechte am geistigen Eigentum oder andere Rechte, Titel oder Anteile an der Anbieter-IP. Dem Anbieter und seine Lizenzgeber stehen alle Rechte, Titel und Anteile an der Lizenzierten Software und den Abonnementdiensten, allen Kopien und abgeleiteten Werken, Modifikationen und Verbesserungen davon, sowie alle geistigen Eigentumsrechte an der Lizenzierten Software und den Abonnementdiensten einschließlich Urheberrechten, Patenten, Marken und Geschäftsgeheimnissen zu.

(h) Sperre. Unbeschadet abweichender Bestimmungen in diesem Vertrag kann der Anbieter nach eigenem Ermessen den Zugriff des Kunden und jedes Autorisierten Nutzers teilweise oder insgesamt der Lizenzierten Software und/oder der Abonnementdienste sperren, wenn: (i) der Anbieter nach vernünftigem Ermessen feststellt, dass (A) eine Bedrohung oder ein Angriff auf die Anbieter-IP vorliegt; (B) die Nutzung der Anbieter IP durch den Kunden oder einen autorisierten Nutzer die Anbieter-IP beeinträchtigt oder ein Sicherheitsrisiko für die Anbieter-IP oder für einen anderen Kunden oder Provider des Anbieters darstellt; (C) der Kunde oder ein autorisierter Nutzer die Anbieter-IP für betrügerische oder illegale Aktivitäten nutzt; (D) vorbehaltlich der anwendbaren Gesetze der Kunde seine Geschäftstätigkeit im Rahmen des regulären Geschäftsbetriebs eingestellt hat, eine Abtretung zugunsten von Gläubigern oder eine ähnliche Verfügung über sein Vermögen vorgenommen hat oder der Gegenstand eines Insolvenz-, Reorganisations-, Liquidations-, Auflösungs- oder ähnlichen Verfahrens ist; (E) die Bereitstellung der Lizenzierten Software und/oder Dienste durch den Anbieter an den Kunden oder einen autorisierten Nutzer durch anwendbare Gesetze untersagt ist oder eine solche Aussetzung erforderlich ist, um einem Gesetz, einer Verordnung, einem Gerichtsbeschluss oder einer anderen behördlichen Aufforderung nachzukommen oder den Anbieter anderweitig vor einer möglichen rechtlichen Haftung zu schützen; oder (F) ein Nutzer der die Anbieter-IP nutzt, der Anbieter-IP im Verdacht steht, kein autorisierter Nutzer zu sein, oder wenn ein autorisierter Nutzer Anmeldedaten weitergegeben oder einem nicht autorisierten Nutzer den Zugriff auf das System gestattet hat; (ii) ein Provider des Anbieters der Zugang des Anbieters zu oder die Nutzung von Diensten oder Produkten Dritter, die erforderlich sind, um dem Kunden den Zugriff auf die Lizenzierte Software und/oder die Abonnementdienste zu ermöglichen, ausgesetzt oder beendet hat; oder (iii) in Übereinstimmung mit Abschnitt 5(c)(iii) (eine solche in Unterabschnitt (i), (ii) oder (iii) beschriebene Aussetzung ist eine “Sperrung der Dienste”). Der Anbieter bemüht sich im wirtschaftlich vertretbarem Umfang, den Kunden schriftlich über eine Sperrung der Dienste und/oder der Abonnementdienste zu informieren und ihm nach einer Sperrung der Dienste aktuelle Informationen über die Wiederaufnahme des Zugriffs auf die Lizenzierte Software und/oder die Abonnementdienste (je nach Fall) zukommen zu lassen. Der Anbieter unternimmt alle wirtschaftlich vertretbaren Anstrengungen, um den Zugang auf die Lizenzierte Software und/oder die Abonnementdienste (soweit zutreffend) so bald wie möglich wiederherzustellen, nachdem der Grund, das zur Sperrung der Dienste geführt hat, behoben wurde. Der Anbieter haftet nicht für Schäden, Verbindlichkeiten, Verluste (einschließlich Daten- oder Gewinn-verluste) oder andere Folgen, die dem Kunden oder einem autorisierten Nutzer infolge einer Sperrung der Dienste entstehen können.

(i) Verwendung von nicht identifizierbaren, zusammengefasste Daten. Der Anbieter hat das Recht, anonymisierte, allgemeine Informationen zu sammeln und zu verwenden, die aus den von der Lizenzierten Software und/oder den Diensten verarbeiteten Kundendaten (ausgenommen personenbzogene Daten) generiert werden, oder sie mit anonymisierten allgemeinen Informationen anderer Kunden zusammenzufassen (“nicht identifizierbare zusammengefasste Daten”). Dieses Vorgehen dient angemessenen Geschäftszwecken des Anbieters, insbesondere der Analyse von Kundenbedürfnissen und der Verbesserung der Lizenzierten Software und der Abonnementdienste. Der Kunde erklärt sich damit einverstanden, dass der Anbieter (i) nicht identifizierbare, zusammengefasste Daten in Übereinstimmung mit geltendem Recht öffentlich zugänglich machen darf und (ii) nicht identifizierbare zusammengefasste Daten in dem Umfang und auf die Art und Weise verwenden darf, die nach geltendem Recht zulässig sind.

(j) Dienste von Drittanbietern. Der Kunde erkennt hermit an, dass die Dienste auch Software enthalten können, die dem Anbieter von Dritten lizenziert wurde („Software Dritter”), und dass die Software Dritter nicht Eigentum des Anbieters ist und zusätzlichen Beschränkungen unterliegen kann, die vom Lizenzgeber der Software Dritter auferlegt werden. Der Kunde erklärt sich damit einverstanden, solche zusätzlichen Beschränkungen einzuhalten.

3. Professional Services.

Der Kunde kann beim Anbieter gegen eine zusätzliche Gebühr Professional Services bestellen, die in der jeweiligen Bestellung und/oder dem Statement of Work festgelegt sind. Vorbehaltlich der Zahlung aller anfallenden Gebühren für diese Professional Services, erbringt der Anbieter diese in Übereinstimmung mit den Bestimmungen dieses Vertrags, sowie der entsprechenden Bestellung und/oder des Statement of Work. Die Dienste des Anbieters werden unter Einbeziehung der Installation, Konfiguration, Integration, des Projektmanagements und anderen Dienstleistungen des Kunden und den vom Anbieter bereitgestellten Produkten und Diensten, erbracht. Der Kunde ist verpflichtet alle notwendigen Informationen, Zugangsmöglichkeiten, Arbeitsräume, Computerressourcen und andere Leistungen und Unterstützungsmaterialien zur Verfügung zu stellen, die der Anbieter benötigt, um seine Verpflichtungen zeitgemäß zu erfüllen. Kundenspezifische Verzögerungen, die den Anbieter daran hindern seine Verpflichtungen zu erfüllen, resultieren in einer entschuldigten Verzögerung der Lieferrfrist. Beispiele für typische Ursachen oder kundenspezifische Verzögerungen sind u. a.: Nichtverfügbarkeit von Mitarbeitenden des Kunden, die für die Zusammenarbeit mit dem Anbieter vorgesehen sind (unabhängig des Grundes), Änderungen der Prioritäten für Kundenprojekte, Verzögerungen bei der Bereitstellung von Inhalten, Verzögerungen bei der Bereitstellung der für das Projekt erforderlichen Rahmenbedinungen (z. B. Entwicklungs-, Staging- oder Produktionsbedingungen) oder Nichtverfügbarkeit der erforderlichen Software-Ressourcen. Verzögerungen beim Erhalt von Informationen, Ressourcen oder Entscheidungen durch den Kunden, können sich auf die Einhaltung des Zeitplanes durch den Anbieter auswirken und in einer Anpassung der Pläne resultieren. Alle Professional Services, die auf Zeit- und Materialbasis erbracht werden, werden, sofern nicht anders angegeben, pro Person und stunden- oder tageweise abgerechnet, wie in der jeweiligen Bestellung und/oder dem Statement of Work angegeben. Der Kunde kann Änderungen oder Ergänzungen der unter diesem Vertrag erbrachten Professional Services durch eine schriftliche Anfrage an den Anbieter verlangen. Sollte der Anbieter diese Änderungen als durchführbar erachten, wird er einen Kostenvoranschlag für die Erhöhung oder Reduzierung der Kosten oder des Zeitaufwands für die Erbringung der geänderten Professional Services erstellen. Sofern sich die Parteien auf den geänderten Umfang und die damit verbundenen Gebühren für Professional Services einigen sollten, schließen sie eine Bestellung und/oder ein Statement of Work ab, die die entsprechenden Änderungen widerspiegeln. Sofern eine Bestellung und/oder ein Statement of Work nicht von beiden Parteien unterzeichnet wurde, ist der Anbieter nicht verpflichtet geänderte oder zusätzliche Professionelle Services zu erbringen.

4. Pflichten des Kunden.

(a) System und Ausrüstung. Der Kunde und die autorisierten Nutzer sind allein verantwortlich für (i) die Beschaffung, Bereitstellung und Wartung jeglicher Hardware, Software, Modems, Router, Tele-kommunikations- und/oder Internetverbindungen und sonstiger Kommunikationsgeräte, die der Kunde und seine autorisierten Nutzer für den Zugriff auf die Lizenzierte Software und die Abonnementdienste und deren Nutzung benötigen, und (ii) die Zahlung aller Gebühren und Zugangsentgelte Dritter, die in Verbindung mit dem Vorstehenden entstehen. Sofern nicht ausdrücklich in diesem Vertrag, einem Bestellformular oder einer Statement of Work angegeben, ist der Anbieter nicht für die Bereitstellung von Hardware, Software oder anderer Ausrüstung für den Kunden oder die Autorisierten Nutzer im Rahmen dieses Vertrags verantwortlich. Der Kunde ist unabhängig aller Verzögerungen, die durch eine nicht rechtzeitige Bereitstellung der erfolderlichen Ausrüstung enstehen, zu fristgemäßer Zahlung verpflichtet.

(b) Zugang und Nutzung. Der Kunde ist verantwortlich und haftbar für jede Nutzung der Lizenzierten Software und der Abonnementdienste, die sich aus dem vom Kunden gewährten oder auf Anweisung des Kunden direkt oder indirekt gewährten Zugriff ergeben, unabhängig davon, ob ein solcher Zugriff oder eine solche Nutzung durch diesen Vertrag gestattet ist oder gegen ihn verstößt. Insebsondere ist der Kunde für alle Handlungen und Unterlassungen der autorisierten Nutzer verantwortlich. Jede Handlung oder Unterlassung eines autorisierten Nutzers, die eine Verletzung dieses Vertrags darstellen würde, wenn sie vom Kunden vorgenommen würde, gilt als Verletzung dieses Vertrags durch den Kunden. Dem Kunde obliegen alle zumutbaren Anstrengungen alle autorisierten Nutzer über die Bestimmungen dieses Vertrages aufzuklären, die jeweils für die Nutzung der Lizenzierten Software und der Abonnementdienste durch die autorisierten Nutzer gelten, und stellt sicher, dass die autorisierten Nutzer diese Bestimmungen einhalten.

(c) Allgemeines. Der Kunde stellt sicher und gewährleistet, dass er über alle erforderlichen Rechte, Titel und Genehmigungen verfügt, die notwendig sind, dass der Kunde und der Anbieter auf die Kundendaten zugreifen, sie sammeln, weitergeben und nutzen können, wie in diesem Vertrag vorgesehen. Weiterhin stellt der Kunde sicher und gewährleistet, dass die Kundendaten (i) keine Rechte an geistigem Eigentum, Publizitätsrechte, Datenschutzrechte oder andere Rechte und (ii) keine anwendbaren Gesetze verletzen. Der Kunde versichert, dass er keine sensiblen Daten (im Sinne des anwendbaren Datenschutzrechts) über die Dienste übermitteln oder verarbeiten wird. Der Kunde ist allein verantwortlich für die Richtigkeit, Qualität, Integrität, Rechtmäßigkeit, Zuverlässigkeit und Geeignetheit aller Kundendaten. Der Kunde ist verpflichtet, bei der Nutzung der Lizenzierten Software und der Abonnementdienste (soweit zutreffend) alle anwendbaren Gesetze, Regeln und Vorschriften einzuhalten.

5. Support und Maintenance.

(a) Lizensierte Software. Der Anbieter wird Support-Dienste wie in dem Bestellformular angegebenen Umfang und Zeit („ der Supportzeitraum“) für die aktuelle Version der Lizenzierten Software für ein (1) Jahr nachdem der Anbieter eine neue Version veröffentlicht hat („Serviceende“ oder „EOS“) (ohne Add-On-Lizenzen für bestehende Installationen der vorangehenden Versionen) und in Übereinstimmung mit den Supportrichtlinien, erhältlich unter https://revalizesoftware.com/customer-support-policy/, erbringen. Die Supportrichtlinien können von Zeit zu Zeit, auch ohne Mitteilung an den Kunden, aktualisiert werden. Der EOS Zeitraum –beginnt, wenn der Anbieter bekannt gibt, dass die nächste Version der Lizenzierten Software allgemein verfügbar ist. Die Support-Dienste umfassen unter anderem grundlegenden technischen Support, Fehlerbehebungen und Updates für die Lizenzierte Software, die dem Kunden zum Zeitpunkt der Bereitstellung ohne Änderungen zur Verfügung gestellt wird. Nach dem anfänglichen Supportzeitraum verlängern sich die Support-Dienste automatisch um jeweils ein weiteres Jahr, es sei denn, der Kunde kündigt schriftlich mindestens neunzig (90) Tage vor Ablauf des aktuellen Supportzeitraums. Wenn der Kunde die Support-Dienste für die Lizenzierte Software kündigt, erkennt der Kunde an und erklärt sich damit einverstanden, dass er nicht nur keine Support-Dienste mehr erhält, sondern auch keinen Zugriff mehr auf das Support-Portal, die Kommunikation, das Kundensupport-Team, oder die self-service Wissensdatenbank. Wenn der Kunde die Support-Dienste kündigt, jedoch später die Wiederaufnahme der Support-Dienste wünscht, vereinbaren die Parteien die Kosten hierfür, die nach dem alleinigen Ermessen des Anbieters eine Wiederaufnahmegebühr oder den Kauf und die Installation der dann aktuellen Version der Lizenzierten Software umfassen können. Der Anbieter ist berechtigt, die Support-Dienste mit einer Frist von mindestens dreißig (30) Tagen schriftlich gegenüber dem Kunden zu kündigen. Wenn der Anbieter die Support-Dienste kündigt, erstattet er dem Kunden alle für die gekündigten Support-Dienste im Voraus bezahlten Gebühren. Ungeachtet der Supportverpflichtungen des Anbieters im Rahmen dieses Vertrages übernimmt der Anbieter keinerlei Verantwortung oder Haftung, die sich aus dem Versäumnis des Kunden ergeben, (i) Updates oder andere Änderungen an der Lizenzierten Software korrekt zu installieren oder (ii) eine Computerumgebung vorzubereiten, die der spezifizierten Kundenumgebung vor der Installation der Lizenzierten Software entspricht oder diese Kundenumgebung und die Lizenzierte Software danach zu gestalten.

(b) Updates und Upgrades. Der Anbieter kann die Lizenzierte Software und/oder die Abonnement-dienste von Zeit zu Zeit aktualisieren oder verbessern. Sofern im Bestellformular nicht anderes angegeben, nimmt der Anbieter solche Aktualisierungen oder Verbesserungen in die Lizenzierte Software oder die Abonnementdienste (je nach Fall) auf, die der Anbieter im Allgemeinen allen seinen Kunden der Lizenzierten Software oder der Abonnementdienste (je nach Fall) zur Verfügung stellt; allerdings ist der Anbieter durch diesen Vertrag nicht verpflichtet, die Lizenzierte Software oder die Abonnementdienste, die Upgrades (d. h. Überarbeitungen der Lizenzierten Software oder der Abonnementdienste, die neue Funktionen oder wesentliche Funktionserweiterungen enthalten) enthalten, ohne zusätzliche Kosten bereitzustellen. Alle Updates, Upgrades oder andere geänderte oder aktualisierte Versionen der Lizenzierten Software und der Abonnementdienste, die dem Kunden zur Verfügung gestellt werden, unterliegen den Bestimmungen dieses Vertrages.

(c) Abonnementdienste. Während der Abonnementlaufzeit und vorbehaltlich der Zahlung aller anwendbaren Gebühren im Rahmen dieses Vertrags, stellt der Anbieter Support für die Abonnementdienste gemäß den Bedingungen dieses Abschnitts und der Richtlinie für Supportdienste des Anbieters in der jeweils aktuellen Fassung unter https://revalizesoftware.com/customer-support-policy/. Diese können ohne Mitteilung an den Kunden aktualisiert werden.

(i) Maintaining der Komponenten der Gehosteten Umgebung, die der Anbieter für die Dienste als notwendig erachtet: Der Anbieter wird alle wirtschaftlich vertretbaren Anstrengungen unternehmen alle Fehlerkorrekturen zu implementieren. Die autorisierten Nutzer des Kunden haben über das Support-Portal des Anbieters Zugang zum Support-Personal des Anbieters. Antworten auf Support-Anfragen werden während der Support-Zeiten, die für die vom Kunden erworbenen Services gelten, zur Verfügung gestellt.

(ii) In Bezug auf alle On-Premise-Komponenten ist der Kunde für die Installation und Konfiguration in der Kundenumgebung verantwortlich. Der Anbieter bietet technischen Support für On-Premise-Komponenten über das Support-Portal des Anbieters. Antworten auf Support-Anfragen werden während der Support-Zeiten, die für die vom Kunden erworbenen Services gelten, zur Verfügung gestellt.

(iii) Verwaltung der Dienste: Zusätzlich zu allen anderen Rechten, die der Anbieter im Rahmen dieses Vertrages hat, behält sich der Anbieter das Recht vor, nach eigenem Ermessen den Zugang des Kunden zu den Diensten und deren Nutzung aufgrund folgender Ereignisse vorübergehend zu unterbrechen: (a) geplante Ausfallzeiten für Upgrades und Wartungsarbeiten an den Diensten (worüber der Anbieter den Kunden so bald wie möglich über die Forumsseite und/oder durch eine Mitteilung an den Inhaber des Kontos des Kunden und an die Nutzer informiert„ (“Geplante Ausfallzeiten”); oder (b) bei Nichtverfügbarkeit aufgrund höherer Gewalt. Der Anbieter wird sich in wirtschaftlich vertretbarem Umfang bemühen, geplante Ausfallzeiten für Wochenenden und andere als die Hauptzeiten zu planen.

(d) Zusätzliche Dienstleistungen. Wünscht der Kunde, dass der Anbieter Updates oder Upgrades installiert, konfiguriert oder für Integrationen oder Lizenzierte Software konfiguriert, die speziell vom Kunden oder auf Wunsch des Kunden konfiguriert wurden, oder die über den in der Support-Dienste-Richtlinie angegebenen Umfang der Support-Dienste hinausgehen, kann der Anbieter dem Kunden diese Leistungen zu den jeweils gültigen Stundensätzen des Anbieters in Rechnung stellen. Darüber hinaus werden Änderungswünsche des Kunden, die nicht unter die Support-Dienste fallen, an das Professional Services-Team weitergeleitet. Die Parteien vereinbaren in diesem Fall schriftlich (entweder über eine Bestellung, ein Statement of Work, eine E-Mail oder über das genehmigte Ticket-System) den geschätzten Aufwand und die Gebühren, die für die Anfragen des Kunden erforderlich sind. Alle Arbeiten werden auf Zeit- und Materialbasis zu den aktuellen Stundensätzen des Anbieters ausgeführt, es sei denn, im Statement of Work ist etwas anderes angegeben.

6. Gebühren und Zahlung.

(a) Zahlung und Rechnungsstellung. Sofern in einer Bestellung, die auf diese Bedingungen verweist, nichts anderes angegeben ist, werden alle Gebühren zum Zeitpunkt des Beginns der jeweiligen Dienstleistung(en) im Voraus in voller Höhe in Rechnung gestellt und sind nicht erstattungsfähig. Sofern in der Bestellung nichts anderes angegeben ist, hat der Kunde alle unbestrittenen Rechnungen innerhalb von 30 Tagen nach Erhalt der jeweiligen Rechnung ohne jeglichen Abzug zu zahlen. Der Kunde kann nur mit unbestrittenen oder rechtskräftig festgestellten Forderungen aufrechnen und ein Zurückbehaltungsrecht nur in Bezug auf solche Forderungen ausüben. Der Kunde ist für die Bereitstellung gültiger und aktueller Zahlungsinformationen verantwortlich und ist verpflichtet Änderungen der Zahlungsinformationen unverzüglich mitzuteilen und zu aktualisieren (z. B. eine Änderung der Rechnungsadresse des Kunden oder des Ablaufdatums der Kreditkarte).

(b) Zusätzliche Nutzer. Wenn der Kunde sich dafür entscheidet, die Anzahl der Nutzer, die während der Lizenzlaufzeit oder der Abonnementdienste auf die Lizenzierte Software zugreifen und diese nutzen dürfen, zu erhöhen oder diese überschreitet, muss der Kunde dem Anbieter die entsprechenden Gebühren für jeden einzelnen zusätzlichen Nutzer zu den dann gültigen Listenpreisen des Anbieters zahlen.

(c) Keine Rückerstattung oder Gutschrift. Sofern hierin nicht ausdrücklich etwas anderes festgelegt ist, erhält der Kunde keine Rückerstattungen oder Gutschriften für Gebühren oder andere Entgelte oder Zahlungen, wenn der Kunde sein Lizenzabonnement oder andere Abonnementdienste oder sein Konto in Übereinstimmung mit diesem Vertrag vor dem Ende der zu diesem Zeitpunkt gültigen Lizenz- oder Abonnementlaufzeit kündigt.

(d) Zahlungen. Der Kunde hat alle Zahlungen in Euro am oder vor dem Fälligkeitsdatum zu leisten, sofern im Bestellformular nichts anderes angegeben ist. Wenn der Kunde eine Zahlung bei Fälligkeit nicht leistet, ist der Anbieter unbeschadet seiner sonstigen Rechte und Rechtsmittel berechtigt, (i) Zinsen auf den fälligen Betrag in Höhe von 1.5% pro Monat, berechnet auf der Tagesbasis und monatlich aufaddiert bzw. alternativ gemäß der höchstzulässigen Rate zu berechnen, (ii) den Ersatz aller angemessenen Kosten, die dem Anbieter bei der Einziehung von verspäteten Zahlungen oder Zinsen entstehen, einschließlich Anwalts- und Gerichtskosten sowie Gebühren für Inkassobüros, zu verlangen; und (iii) wenn ein solches Versäumnis sieben (7) Tage oder länger andauert, den Zugang des Kunden und seiner autorisierten Nutzer zur Lizenzierten Software und/oder den Abonnementdiensten ganz oder teilweise zu sperren, bis die Beträge vollständig bezahlt sind.

(e) Steuern. Alle Gebühren und sonstigen Beträge, die der Kunde im Rahmen dieses Vertrages zu zahlen hat, verstehen sich ohne Steuern und ähnliche Abgaben. Der Kunde ist für alle Verkaufs-, Nutzungs- und Verbrauchssteuern sowie alle anderen ähnlichen Steuern, Abgaben und Gebühren jeglicher Art verantwortlich, die von einer Bundes-, Landes- oder lokalen Regierungs- oder Aufsichtsbehörde auf alle vom Kunden im Rahmen dieses Vertrags zu zahlenden Beträge erhoben werden, mit Ausnahme von Steuern, die auf das Einkommen des Anbieters erhoben werden.

(f) Prüfungsrechte und erforderliche Aufzeichnungen. Der Kunde verpflichtet sich, während der Laufzeit dieses Vertrages und für einen Zeitraum von einem Jahr nach Beendigung oder Ablauf dieses Vertrages, vollständige und genaue Aufzeichnungen über dessen Nutzung zu führen. Dies dient er genauen Bestimmung aller der nach diesem Vertrag geschuldeten Leistungen des Kunden. Der Anbieter ist berechtigt, auf eigene Kosten und nach angemessener Vorankündigung jährlich die Aufzeichnungen des Kunden in Bezug auf die unter diesen Vertrag fallenden Angelegenheiten zu prüfen. Falls eine solche Prüfung ergibt, dass der Kunde dem Anbieter während der Lizenz- oder Abonnementlaufzeit zu geringe Beträge entrichtet hat, hat der Kunde unverzüglich diese Beträge zu zahlen, die erforderlich sind, um diese Fehlbeträge, zusammen mit den Zinsen gemäß Abschnitt 6, zu berichtigen. Der Kunde trägt die Kosten der Prüfung, wenn die Prüfung ergibt, dass der gezahlte Betrag des Kunden eine Abweichung von minus zehn Prozent (10 %) für ein Jahr oder mehr beträgt, er also mehr als 10% zu neidirge Beträge entrichtet hat. Diese Kontroll- und Prüfungsrechte gelten während der gesamten Laufzeit dieses Vertrags und für einen Zeitraum von einem Jahr nach Beendigung oder Ablauf dieses Vertrages.

7. Vertrauliche Informationen und Personenbezogene Daten.

(a) Schutz von Vertraulichen Informationen. Die empfangende Partei behandelt die im Rahmen dieses Vertrags von der offenlegenden Partei offengelegten Vertraulichen Informationen vertraulich und wendet mindestens die gleichen Verfahren und die gleiche Sorgfalt an, die sie anwendet, um den Missbrauch und die Offenlegung ihrer eigenen Vertraulichen Informationen zu verhindern. Das Mindestmaß, das hierfür angewendet werden muss ist jedenfalls „angemessene Sorgfalt“. Die empfangende Vertragspartei gibt die Vertraulichen Informationen der offenlegenden Partei an keine natürliche oder juristische Person weiter, es sei denn, es handelt sich um Mitarbeiter der empfangenden Partei, die die Vertraulichen Informationen kennen müssen, damit die empfangende Partei ihre Rechte ausüben oder ihre Verpflichtungen im Rahmen dieses Vertrags erfüllen kann. Zusätzlich müssen Vertraulichkeits- und Verwendungsbeschränkungen unterliegen, die für die offenlegende Partei mindestens so schützend sind wie die in diesem Vertrag festgelegten Verpflichtungen (in diesem Fall bleibt die empfangende Partei für die Nichteinhaltung der Verpflichtungen durch diese Mitarbeiter oder andere natürliche oder juristische Personen verantwortlich). Ungeachtet des Vorstehenden kann jede Partei Vertrauliche Informationen in begrenztem Umfang offenlegen, der erforderlich ist (i) um der Anordnung eines Gerichts oder einer anderen staatlichen Stelle zu befolgen oder wenn dies anderweitig erforderlich ist, um geltendem Recht zu entsprechen, vorausgesetzt, dass die Partei, die die Offenlegung gemäß der Anordnung vornimmt, die andere Partei zuvor schriftlich benachrichtigt und angemessene Anstrengungen unternommen hat, um eine Schutzanordnung zu erwirken; oder (ii) um die Rechte einer Partei im Rahmen dieses Vertrages zu begründen, einschließlich der Einreichung erforderlicher Gerichtsunterlagen. Bei Ablauf oder Kündigung dieses Vertrags gibt die empfangende Partei der offenlegenden Partei unverzüglich alle Kopien der Vertraulichen Informationen zurück, unabhängig davon, ob sie in schriftlicher, elektronischer oder sonstiger Form oder auf einem Datenträger vorliegen, oder sie vernichtet alle Kopien und bestätigt der offenlegenden Partei schriftlich, dass diese Vertraulichen Informationen vernichtet worden sind. Die Geheimhaltungsverpflichtungen jeder Partei in Bezug auf Vertrauliche Informationen gelten ab dem Datum des Inkrafttretens und enden fünf Jahre nach dem Datum, an dem sie der empfangenden Partei zum ersten Mal offengelegt wurden; in Bezug auf Vertrauliche Informationen, die ein Geschäftsgeheimnis (nach geltendem Recht) darstellen, gelten diese Geheimhaltungsverpflichtungen jedoch über die Beendigung oder den Ablauf dieses Vertrags hinaus, solange diese Vertraulichen Informationen nach geltendem Recht dem Schutz des Geschäftsgeheimnisses unterliegen.

(b) Schutz von Kundendaten. Ohne Einschränkung des Vorstehenden und vorbehaltlich der Bestimmungen vom Anhang 1 in Bezug auf personenbezogene Daten wird der Anbieter, soweit er im Besitz von Kundendaten ist, wirtschaftlich angemessene Anstrengungen unternehmen, um die Kundendaten durch den Einsatz von administrativen, physischen und technischen Schutzmaßnahmen zum Schutz der Sicherheit, Vertraulichkeit und Integrität der Kundendaten zu schützen, die den vorherrschenden Branchenpraktiken entsprechen. Der Anbieter wird (i) Kundendaten nicht verändern, (ii) Kundendaten nicht offenlegen, es sei denn, er ist gemäß Abschnitt 7(a) gesetzlich dazu verpflichtet oder der Kunde hat dies ausdrücklich schriftlich oder anderweitig im Rahmen dieser Vertrag gestattet, oder (iii) nicht auf Kundendaten zugreifen, es sei denn, er erbringt die Dienste im Rahmen oder in Verbindung mit der Verhinderung oder Behebung von Service- oder technischen Problemen, verbessert die Funktionalität der Dienste, generiert nicht identifizierbare aggregierte Daten oder greift auf Anfrage des Kunden in Verbindung mit Kundensupport-Angelegenheiten darauf zu.

(c) Personenbezogene Daten. Soweit der Kunde als Verantwortlicher und der Anbieter als Verarbeiter agiert (wie in Anhang 1 („AVV“) definiert), regeln die Bestimmungen des AVV (der hiermit in diesen Vertrag aufgenommen wird) die jeweiligen Rechte und Pflichten der Parteien in Bezug auf personenbezogene Daten.

8. Geistiges Eigentum; Feedback.

(a) Anbieter-IP. Der Kunde erkennt an, dass der Anbieter im Verhältnis zwischen den Parteien alle Rechte, Titel und Anteile einschließlich aller geistigen Eigentumsrechte, an nicht identifizierbaren aggregierten Daten und an vertraulichen Informationen des Anbieters besitzt. Für die Zwecke dieses Vertrages gilt die gesamte Anbieter-IP als dessen Vertrauliche Informationen. Der Anbieter ist der Eigentümer aller Rechte, Titel und Anteile (einschließlich, aber nicht beschränkt auf die gesamte Anbieter-IP) an allen Abgeleiteten Werken.

(b) Kundendaten. Der Anbieter erkennt an, dass der Kunde im Verhältnis zwischen Anbieter und Kunde alle Rechte, Titel und Interessen, einschließlich aller geistigen Eigentumsrechte, an den Kundendaten und den Vertraulichen Informationen des Kunden besitzt. Der Kunde gewährt dem Anbieter hiermit eine nicht ausschließliche, gebührenfreie, weltweite Lizenz zur Vervielfältigung, Vertrieb und anderweitigen Nutzung und Veröffentlichung der Kundendaten und zur Vornahme aller Handlungen in Bezug auf die Kundendaten, die für den Anbieter erforderlich sind, um die Dienste für den Kunden zu erbringen, vorausgesetzt, dass alle anwendbaren datenschutzrechtlichen Gesetze eingehalten werden, sowie eine nicht ausschließliche, unbefristete, unwiderrufliche, gebührenfreie, weltweite Lizenz zur Vervielfältigung, Verteilung, Änderung und anderweitigen Nutzung und Veröffentlichung von Kundendaten, die in den nicht identifizierbaren aggregierten Daten enthalten sind, für jeden Zweck, einschließlich Benchmarking, vorausgesetzt, die Kundendaten und/oder Katalogdaten wurden zuvor vollständig anonymisiert und alle geltenden Datenschutzgesetze wurden eingehalten.

(c) Feedback. Wenn der Kunde, seine Autorisierten Nutzer oder einer seiner anderen Mitarbeiter oder Auftragnehmer Mitteilungen oder Materialien per Post, E-Mail, Telefon oder auf andere Weise an den Anbieter sendet oder überträgt, in denen er Änderungen an der IP des Anbieters vorschlägt oder empfiehlt, einschließlich, aber nicht beschränkt auf neue Funktionen, Korrekturen, Modifikationen oder Funktionalitäten in Bezug auf diese, oder Kommentare, Fragen, Vorschläge oder Ähnliches (zusammenfassend “Feedback”), steht es dem Anbieter frei, dieses Feedback zu verwenden, unabhängig von anderen Verpflichtungen oder Beschränkungen zwischen den Parteien, die für dieses Feedback gelten. Voraussetzung hierfür ist, dass alle anwendbaren Datenschutzgesetze eingehalten werden und kein Verstoß gegen Abschnitt 7 Buchstabe b (“Schutz Vertraulicher Informationen”) vorliegt. Der Kunde überträgt hiermit dem Anbieter im Namen des Kunden und im Namen seiner Autorisierten Nutzer und seiner anderen Mitarbeiter, Auftragnehmer und/oder Vertreter, alle Rechte, Titel und Interessen an Ideen, Know-how, Konzepten, Techniken oder anderen geistigen Eigentumsrechten, die in dem Feedback enthalten sind. Der Anbieter kann diese Ideen, Know-how, Konzepte, Techniken oder anderen geistigen Eigentumsrechte ohne Zuweisung oder Entschädigung an irgendeine Partei für jeden beliebigen Zweck nutzen, allerdings ohne dass der Anbieter verpflichtet ist, das Feedback zu nutzen.

(d) Weitere Zusicherungen. Soweit Rechte, Titel und Anteile am Feedback oder geistige Eigentumsrechte daran vom Kunden nicht an den Anbieter abgetreten werden können, gewährt der Kunde dem Anbieter hiermit eine exklusive, gebührenfreie, übertragbare, unwiderrufliche, weltweite, voll bezahlte Lizenz (mit dem Recht zur Vergabe von Unterlizenzen an mehrere Unterlizenznehmer) zur vollständigen Nutzung, Ausübung und Verwertung dieser nicht abtretbaren Rechte, Titel und Anteile. Für den Fall, dass die vorstehende Abtretung und Lizenz nicht durchsetzbar ist, erklärt sich der Kunde damit einverstanden, auf die nicht abtretbaren und nicht lizenzierbaren Rechte, Titel und Ansprüche zu verzichten und diese niemals gegenüber dem Anbieter geltend zu machen. Der Kunde erklärt sich damit einverstanden, alle Dokumente auszufertigen oder alle Maßnahmen zu ergreifen, die vernünftigerweise notwendig sind oder vom Anbieter vernünftigerweise verlangt werden, um das geistige Eigentum am Feedback zu vervollständigen. Falls der Kunde nicht in der Lage oder nicht willens ist, ein solches Dokument zu unterzeichnen oder eine solche Maßnahme zu ergreifen, kann der Anbieter ein solches Dokument unterzeichnen und eine solche Maßnahme im Namen des Kunden als dessen Vertreter und Bevollmächtigter ergreifen. Die vorstehende Ernennung gilt als Vollmacht und ist unwiderruflich.

(e) Lizenz für Kundenmarken. Der Kunde gewährt dem Anbieter hiermit eine nicht exklusive, weltweite, nicht übertragbare, unentgeltliche Lizenz zur Nutzung, Wiedergabe und Veröffentlichung des Namens, des Logos und der Marken des Kunden (zusammenfassend die “Kundenmarken”), soweit dies für den Anbieter zur Erfüllung seiner Verpflichtungen aus diesem Vertrag erforderlich ist. Der Anbieter hält sich an die Richtlinien des Kunden zur Nutzung seiner Marken, die er dem Anbieter von Zeit zu Zeit schriftlich mitteilt.

9. Gewährleistung, Haftungsbeschränkung.

(a) Verpflichtung des Anbieters.
(i) Lizensierte Software
Der Anbieter gewährleitet
(A) im Falle einer unbefristeten Lizenz (Kauf), dass die Lizensierte Software innerhalb der Gewährleistungsfrist von einem (1) Jahr ab dem Datum der erstmaligen Bereitstellung die in der Dokumentation beschriebenen Eigenschaften hat;

(B) im Falle einer befristeten Lizenz (Miete), dass die in der Dokumentation beschriebenen Eigenschaften der Lizenzierten Software während der Lizenzlaufzeit erhalten bleiben.
(ii) Abonnementdienste
Der Anbieter gewährleitet, dass die in der Dokumentation beschriebenen Eigenschaften der Abonnementdienste während der Abonnementlaufzeit erhalten bleiben Der Anbieter wird wesentliche Mängel oder Fehler innerhalb einer angemessenen Frist beheben. Der Anbieter kann seine Verpflichtung zur Mängel- oder Fehlerbeseitigung dadurch erfüllen, dass er dem Kunden Updates zur Verfügung stellt.

(b) Verpflichtung des Kunden. Der Kunde ist verpflichtet, dem Anbieter Mängel an der Lizensierten Software oder Fehler der Abonnementdienste unverzüglich nach deren Entdeckung unter Angabe des Zeitpunkts des Auftretens der Mängel oder Fehler und der näheren Umstände mitzuteilen.

(c) Eine über die in der Dokumentation beschriebenen Eigenschaften hinausgehende Beschaffenheit der Lizensierten Software oder der Abonnementdienste schuldet der Anbieter nicht. Eine solche Verpflichtung kann der Kunde insbesondere nicht aus anderen Darstellungen der Lizensierten Software oder der Abonnementdienste in öffentlichen Äußerungen oder in der Werbung des Anbieters und/oder des Herstellers oder Lizenzgebers, sowie deren Angestellten oder Vertriebspartner herleiten, es sei denn, der Anbieter hat die darüberhinausgehende Beschaffenheit ausdrücklich schriftlich bestätigt.

10. Haftungsfreistellung.

(a) Freistellung durch den Anbieter
(i) Der Anbieter stellt frei, verteidigt und hält den Kunden, dessen leitende Angestellte, Direktoren, Mitarbeitenden und Bevollmächtigten des Kunden (jeweils ein „Entschädigungsempfänger des Kunden“) schadlos von und gegen Schäden, die von einem zuständigen Gericht festgestellt werden, soweit diese aus Ansprüchen, Klagen, Aktionen oder Verfahren eines Dritten resultieren, die darauf beruhen, dass die Nutzung der Lizenzierten Software oder der Abonnementdienste durch den Kunden in Übereinstimmung mit diesem Vertrag die Urheberrechte, Patente oder Geschäftsgeheimnisse eines solchen Dritten verletzt oder missbraucht
(ii) Falls ein solcher Anspruch geltend gemacht wird oder möglich erscheint, erklärt sich der Kunde damit einverstanden, dem Anbieter zu gestatten, nach eigenem Ermessen (A) die Lizenzierte Software oder die Abonnementdienste (je nach Anwendbarkeit) oder eine Komponente oder einen Teil davon zu ändern oder zu ersetzen, damit sie nicht mehr gegen die Rechte Dritter verstoßen, oder (B) dem Kunden das Recht zur weiteren Nutzung zu verschaffen. Stellt der Anbieter fest, dass keine der beiden Alternativen zumutbar ist, kann er diesen Vertrag in seiner Gesamtheit oder in Bezug auf die betroffene Komponente oder den betroffenen Teil mit sofortiger Wirkung durch schriftliche Mitteilung an den Kunden kündigen.
(iii) Dieser Abschnitt 10 findet keine Anwendung, wenn die behauptete Rechtsverletzung auf Folgendes zurückzuführen ist: (A) die Nutzung der Dienste in Kombination mit Daten, Software, Hardware, Geräten, Netzwerken, Systemen oder Technologien, die nicht vom Anbieter bereitgestellt oder vom Anbieter schriftlich genehmigt wurden; es sei denn, der Kunde kann nachweisen, dass eine solche Nutzung der Dienste in Kombination mit Daten, Software, Hardware, Geräten oder Technologien, die nicht vom Anbieter bereitgestellt oder vom Anbieter nicht schriftlich genehmigt wurde, für den Anspruch Dritter ohne Belang ist (B) Modifikationen oder Änderungen an der Lizenzierten Software oder den Abonnementdiensten (je nach Fall), die nicht vom Anbieter vorgenommen wurden; es sei denn, der Kunde kann nachweisen, dass die nicht vom Anbieter vorgenommenen Änderungen an den Diensten für den Anspruch Dritter ohne Belang sind (C) die fortgesetzte Nutzung der Lizenzierten Software oder der Abonnementdienste (je nach Fall) durch den Kunden, nachdem der Anbieter den Kunden benachrichtigt hat, die Nutzung aufgrund einer Rechtsverletzung einzustellen; oder (D) Kundendaten.
(iv) Dieser Abschnitt 10 a) regelt abschließend die Haftung des Anbieters bei einer Verletzung von geistigem Eigentum oder Schutzrechten Dritter durch die Lizenzierte Software bzw. die Abonnementdienste oder auf andere Weise.

(b) Freistellung durch den Kunden. Der Kunde stellt den Anbieter dessen leitende Angestellte, Direktoren, Mitarbeitenden und Bevollmächtigten (jeweils ein „Entschädigungsempfänger des Anbieters“) von allen Ansprüchen, Verlusten, Ausgaben, Kosten (einschließlich Anwaltsgebühren), Schäden und Verlusten frei, die sich aus einer Verletzung des Kunden oder eines Nutzers der Abschnitte 2, 4, 13(i) oder dem AVV ergeben und verteidigt den Anbieter gegen die oben genannten Ansprüche, Verluste etc., falls von diesem gewünscht.

(c) Freistellungsverfahren. Die Freistellungsverpflichtungen jeder Partei in diesem Abschnitt 10 sind in jedem Fall davon abhängig, dass die freizustellende Partei: (i) die freistellende Partei unverzüglich schriftlich von der Androhung oder Mitteilung des Anspruchs in Kenntnis setzt; (ii) der freistellenden Partei die alleinige und ausschließliche Kontrolle und Befugnis zur Auswahl von Anwälten, zur Verteidigung und/oder zur Beilegung eines solchen Anspruchs einräumt (die freistellende Partei darf jedoch ohne die vorherige schriftliche Zustimmung der entschädigten Partei keinen Vergleich oder Vergleich schließen, der zu einer Haftung oder einem Eingeständnis einer Haftung führt); und (iii) die freizustellende Partei bei der Verteidigung oder Beilegung eines Anspruchs vollständig mit der freistellenden Partei zusammenarbeitet.

11. Haftungsbeschränkung.

(a) Der Anbieter und seine verbundenen Unternehmen haften unbeschränkt
(i) für Vorsatz oder grobe Fahrlässigkeit,
(ii) für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit
(iii) nach den Vorschriften des Produkthaftungsgesetzes (ProdHaftG)
(iv) im Umfang einer vom Anbieter übernommenen Garantie.
(v) bei arglistigem Verschweigen eines Mangels.

(b) Bei leicht fahrlässiger Verletzung einer Pflicht, die für die Erreichung des Vertragszwecks wesentlich ist und auf deren Einhaltung der Kunde regelmäßig vertrauen darf (Kardinalpflicht), ist die Haftung des Anbieters und seiner verbundenen Unternehmen der Höhe nach auf den vorhersehbaren und typischen Schaden begrenzt. Eine Verletzung einer Kardinalpflicht im Sinne dieses Abschnitts 11 b) liegt vor bei Verletzung einer Pflicht, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages erst ermöglicht oder deren Verletzung die Erreichung des Vertragszwecks gefährdet und auf deren Einhaltung der Kunde regelmäßig vertrauen darf.

(c) Für den Verlust von Daten haftet der Anbieter und seine verbundenen Unternehmen nur bis zur Höhe der typischen Wiederherstellungskosten, die bei ordnungsgemäßer und regelmäßiger Datensicherung durch den Kunden angefallen wären.

(d) Eine weitergehende Haftung des Anbieters und seiner verbundenen Unternehmen besteht nicht. Insbesondere haftet der Anbieter nicht für anfängliche Mängel bei einer befristeten Lizenzierten Software oder einem Abonnementdienst, soweit nicht 11 a) (i) oder (ii) Anwendung findet.

(e) Die vorstehende Haftungsbeschränkung gilt auch für die persönliche Haftung der Angestellten, Arbeitnehmer, Mitarbeiter, Vertreter und leitenden Angestellten sowie für die Erfüllungsgehilfen des Anbieters.

12. Laufzeit und Beendigung.

(a) Anfängliche Laufzeit und Verlängerung. Die anfängliche Laufzeit jeder Lizenz oder jedes Abonnements beträgt zwölf (12) Monate ab dem Datum des Inkrafttretens dieses Vertrags, sofern imentsprechenden Bestellformular nichts anderes angegeben ist („anfängliche Laufzeit“). Am Ende der anfänglichen Laufzeit verlängert sich die Lizenz oder das Abonnement automatisch um die jeweiligen Zeiträume (jeweils eine „Verlängerungslaufzeit“), die der ursprünglichen Laufzeit entsprechen, es sei denn, der Kunde oder der Anbieter haben mittels schriftlicher Mitteilung an die andere Partei mindestens dreißig (30) Tage vor dem Ende der aktuellen Laufzeit gekündigt. Sofern in einer Bestellung nicht anders vorgesehen, hat der Anbieter das Recht, die Gebühren für die Lizenz oder das Abonnement des Kunden für eine solche Verlängerung automatisch um bis zu 10% zu erhöhen (die „Auto Renew Fee Increase Cap“). Der Anbieter wird dem Kunden eine solche Erhöhung mindestens 60 Tage vor Ende der ursprünglichen Laufzeit schriftlich mitteilen. Wenn der Anbieter nach vernünftigem Ermessen feststellt, dass materielle Produkt- oder Funktionsverbesserungen an der Lizenzierten Software oder den Lizenzierten Diensten eine Gebührenerhöhung verlangt, welche für eine Verlängerungslaufzeit höher ist als ursprünglich vorgesehen, wird der Anbieter zunächst die schriftliche Zustimmung des Kunden zu solchen höheren, die Auto Renew Fee Increase Cap übersteigenden Gebühren einholen.

(b) Kündigung. Zusätzlich zu jedem anderen ausdrücklichen Kündigungsrecht, das in diesem Vertrag festgelegt ist:
(i) kann der Anbieter diesen Vertrag mittels einer schriftlichen Mitteilung kündigen, wenn der Kunde: (A) einen fälligen Betrag nicht zahlt und dieses Versäumnis länger als dreißig (30) Tage nach Zustellung der schriftlichen Mahnung des Anbieters anhält; oder (B) eine seiner Verpflichtungen aus dem Abschnitt 2 (b) oder 6 verletzt;
(ii) kann jede der Parteien diesen Vertrag mittels einer schriftlichen Mitteilung kündigen, wenn die andere Partei eine wesentliche Vertragspflicht verletzt, und diese Verletzung entweder (A) nicht geheilt werden kann; oder (B) obwohl sie geheilt werden kann, jedoch für dreißig (30) Tage, nachdem die nicht-verletzende Partei die verletzende Partei schriftlich von der Verletzung in Kenntnis gesetzt hat, nicht geheilt wurde;
(iii) kann jede Partei diesen Vertrag mit sofortiger Wirkung mittels schriftlicher Mitteilung an die andere Partei kündigen, wenn die andere Partei, vorbehaltlich des anwendbaren Insolvenzrechts (A) einen Antrag auf die Eröffnung eines freiwilligen oder unfreiwilligen Insolvenzverfahrens stellt oder gegen sie ein solcher Antrag eingereicht wurde oder auf andere Weise freiwillig oder unfreiwillig in ein Verfahren nach einem inländischen oder ausländischen Konkurs- oder Insolvenzrecht involviert ist; B) eine allgemeine Abtretung zugunsten ihrer Gläubiger vornimmt oder anstrebt; oder (C) einen Verwalter, Trustee, Vertreter oder ähnlichen Bevollmächtigten beauftragt oder bestellt, der aufgrund eines Beschlusses des zuständigen Gerichts mit der Übernahme oder Verkauf eines wesentlichen Teils seines Eigentums oder Geschäfts beauftragt wurde.

(c) Wirkung des Auslaufens oder der Kündigung des Vertrages. Sofern die Parteien nichts anderes vereinbaren, beendet die Kündigung dieses Vertrages jedes der Bestellformulare und der anderen Zusatzvereinbarungen über die Dienste, auch wenn das Bestellformular oder andere Zusatzvereinbarungen über die Dienste ein Ablaufdatum nach dem Datum der Wirksamkeit der Kündigung dieses Vertrages vorsehen. Ein Ablauf oder eine Kündigung hat keinen Einfluss auf die Verpflichtung des Kunden, alle Gebühren zu zahlen, die vor Ablauf oder Kündigung fällig geworden sind, und berechtigt den Kunden nicht zu einer Rückerstattung, es sei denn, dies ist hierin ausdrücklich angegeben. Nach Ablauf oder früherer Beendigung dieses Vertrages wird der Kunde die Nutzung der Anbieter-IP unverzüglich einstellen und ohne Einschränkung der Verpflichtungen des Kunden aus Abschnitt 6 alle Kopien der Anbieter-IP löschen, vernichten oder zurücksenden und dem Anbieter schriftlich bestätigen, dass die Anbieter-IP gelöscht oder zerstört wurde.

(d) Exportieren von Kundendaten. Während der Laufzeit und bis zum Ablauf oder Beendigung dieses Vertrages kann der Kunde seine eigenen Kundedaten exportieren oder herunterladen. Nach Ablauf oder Kündigung ist der Anbieter nicht verpflichtet, die Daten des Kunden zu pflegen oder bereitzustellen, und der Anbieter wird, sofern nicht gesetzlich oder rechtlich untersagt, die Daten des Kunden gemäß der geltenden Richtlinie des Anbieters ohne vorherige Ankündigung oder Haftung gegenüber dem Kunden löschen.

(e) Fortbestand. Bestimmungen, die aufgrund ihres Kontexts und ihres Inhalts die Beendigung oder den Ablauf fortbestehen sollen, gelten nach Beendigung oder Ablauf dieses Vertrages fort, insbesondere auch die Abschnitte 1, 2, 4, 5, 6, 7, 8, , 10, 11, 12 und 13. Keine anderen Bestimmungen dieses Vertrages überdauern den Ablauf oder die frühere Beendigung des Vertrags. Die Kündigung dieses Vertrags beschränkt nicht die Haftung einer Partei für Verpflichtungen, die bei oder vor der Kündigung wegen der Verletzung dieses Vertrages entstanden sind.

13. Sonstige Bestimmungen.

(a) Gesamte Vereinbarung. Dieser Vertrag stellt zusammen mit allen anderen Dokumenten, die hierin durch Bezugnahme aufgenommen wurden und allen Anhängen, die einzige und vollständige Vereinbarung der Parteien in Bezug auf den Vertragsgegenstand dar und ersetzt alle vorherigen und gleichzeitigen Vereinbarungen und Zusicherungen und Garantien, sowohl schriftlich als auch mündlich, in Bezug auf diesen Gegenstand. Besteht ein Widerspruch zwischen den Bedingungen dieses Vertrages und den Bedingungen eines ihrer Anhänge, so hat der Vertrag Vorrang, es sei denn, in der widersprüchlichen Anlage wird ausdrücklich angegeben, dass die Anlage im Falle eines solchen Widerspruchs Vorrang hat. Mit der Bestellung beim Anbieter erklärt sich der Kunde damit einverstanden, dass die Bedingungen dieses Vertrags für diese Bestellung gelten und diese regeln. Außer in Bezug auf Produkte, Dienstleistungen und Preise, die für eine Bestellung gelten, haben zusätzliche oder widersprüchliche Bedingungen in einer Bestellung keine rechtliche Wirkung gegenüber einer Partei, es sei denn, diese Bestellung ist in Hardcopy-Form von jeder Partei unterzeichnet, und dann gelten diese Bedingungen für die Parteien ausschließlich für diese Bestellung. Sofern hierin nichts anderes bestimmt ist, sind zusätzliche oder widersprüchliche Bedingungen, die in einem anderen Dokument enthalten sind (einschließlich, ohne Einschränkung, vorgedruckter, zusätzlicher oder widersprüchlicher Bedingungen auf einer Kundenbestellung oder einer Bestätigung einer Partei) nichtig und haben keine Auswirkungen. Im Falle eines Widerspruchs zwischen den Bestimmungen dieses Vertrags und des Bestellformulars, haben die Bestimmungen des Bestellformulars Vorrang.

(b) Mitteilungen. Alle Mitteilungen, Ersuchen, Zustimmungen, Ansprüche, Forderungen, Verzichtserklärungen und andere Mitteilungen im Rahmen dieses Vertrages (jeweils „Mitteilung“) müssen schriftlich und an die Parteien unter den auf der ersten Seite dieses Vertrags genannten Adressen (oder an eine andere Adresse, die von der Partei mitgeteilt wurde) gerichtet sein. Alle Mitteilungen müssen per persönlicher Übergabe, staatlich anerkanntem Kurierdienst (mit allen Gebühren vorausbezahlt) oder per Einschreiben (Porto vorausbezahlt, mit Rückschein) zugestellt werden. Sofern nichts anderes in diesem Abschnitt bestimmt ist, ist eine Mitteilung nur wirksam: i) wenn sie bei der empfangenden Partei eingegangen ist; und ii) wenn die die Mitteilung übermittelnde Partei, die Anforderungen dieser Abschnitts erfüllt hat.

(c) Höhere Gewalt. In keinem Fall haftet der Anbieter gegenüber dem Kunden für ein Versäumnis oder eine Verzögerung bei der Erfüllung seiner Verpflichtungen aus diesem Vertrag, wenn und soweit ein solches Versäumnis oder Verzögerung durch Umstände verursacht wird, die außerhalb der Kontrolle des Anbieters liegen, einschließlich, aber nicht beschränkt auf unvorhergesehene Umstände, Überschwemmung, Feuer, Erdbeben, Explosion, Krieg, Terrorismus, Invasion, Aufruhr oder andere Bürgerunruhen, Epidemie oder Pandemie, Streiks, Arbeitsniederlegungen oder andere Arbeitsunruhen, oder Erlass von Gesetzen oder Maßnahmen einer Regierung oder öffentlichen Behörde, einschließlich der Verhängung eines Embargos. Der Anbieter teilt dem Kunden dieses Ereignis höherer Gewalt innerhalb von zehn (10) Tagen nach dessen Eintreten mit, indem er dem Kunden schriftlich die Art des Ereignisses, seine voraussichtliche Dauer und alle Maßnahmen zur Vermeidung oder Minimierung seiner Auswirkungen mitteilt. Die Aussetzung der Leistung darf nicht von größerem Umfang sein oder länger andauern als unbedingt erforderlich und der Anbieter wird alle wirtschaftlich angemessenen Anstrengungen unternehmen, um das Leistungshindernis zu beheben.

(d) Änderungen und Ergänzungen. Änderungen und Ergänzungen dieses Vertrages sind nur wirksam, wenn sie schriftlich und von einem bevollmächtigten Vertreter jeder Partei unterzeichnet sind. Ein Verzicht einer Partei auf eine der Bestimmungen dieses Vertrages ist nur dann wirksam, wenn er ausdrücklich schriftlich niedergelegt und von der verzichtenden Partei unterzeichnet wurde. Sofern in diesem Vertrag nichts anderes bestimmt ist, (i) kann die Nichtausübung oder die verspätete Ausübung von Rechten, Rechtsmitteln , Befugnissen oder Privilegien, die sich aus diesem Vertrag ergeben, nicht als Verzicht auf diese Rechte, Rechtsmittel, Befugnisse oder Privilegien ausgelegt werden und (ii) schließt die einmalige oder teilweise Ausübung von Rechten, Rechtsmitteln, Befugnissen oder Privilegien im Rahmen dieses Vertrags eine andere oder weitere Ausübung dieser Rechte oder die Ausübung anderer Rechte, Rechtsmittel, Befugnisse oder Privilegien nicht aus. 

(e) Salvatorische Klausel. Sollten eine Bestimmung dieses Vertrages in einer Rechtsordnung ungültig, rechtswidrig oder nicht durchsetzbar sein, wird diese Ungültigkeit, Rechtswidrigkeit oder Nicht-Durchsetzbarkeit die Wirksamkeit der anderen Bestimmungen dieses Vertrages nicht berühren oder diese Bestimmungen in einer anderen Rechtsordnung ungültig oder nicht durchsetzbar machen. Bei Feststellung, der Ungültigkeit, Rechtswidrigkeit oder Nichtdurchsetzbarkeit einer Bestimmung, verhandeln die Parteien nach Treu und Glauben, um diesen Vertrag so zu ändern, dass ihr ursprünglicher Wille so weit wie möglich in einer für beide Seiten annehmbaren Weise verwirklicht wird, damit der hierin vorgesehene Leistungsaustausch so weit wie möglich in seiner ursprünglich vorgesehenen Form durchgeführt werden kann.

(f) Verjährung von Ansprüchen. Kein Anspruch und keine Klage, unabhängig von der Form, die sich in irgendeiner Weise aus oder im Zusammenhang mit dieser Vereinbarung ergeben, dürfen vom oder im Namen des Kunden oder seiner verbundenen Unternehmen mehr als ein (1) Jahr nach dem früheren der beiden folgenden Zeitpunkte erhoben werden: (a) dem Ablauf oder der vorzeitigen Beendigung dieser Vereinbarung und (b) dem Datum, an dem der Kunde erstmals Kenntnis von den Ereignissen erlangt hat, die einen solchen Anspruch oder eine solche Klage begründen.

(g) Geltendes Recht. Dieser Vertrag unterliegt und wird in Übereinstimmung mit den materiellen Gesetzen der Bundesrepublik Deutschland unter Ausschluss des Kollisionsrechts ausgelegt und unterliegt der Zuständigkeit der deutschen Gerichte. Die Parteien vereinbaren, dass das Übereinkommen der Vereinten Nationen über Verträge über den internationalen Warenkauf in Zusammenhang mit diesem Vertrag keine Anwendung findet.

(h) Abtretung. Der Kunde ist nicht berechtigt, seine Rechte abzutreten oder seine Verpflichtungen aus diesem Vertrag zu übertragen, weder freiwillig noch unfreiwillig, durch Verschmelzung, Verkauf von Vermögenswerten, Rechtsgeschäften, kraft Gesetzes oder anderweitig, ohne vorherige schriftliche Zustimmung des Anbieters, die davon abhängig gemacht werden kann, dass der Kunde alle verbleibenden fälligen Zahlungen aus diesem Vertrag in voller Höhe leistet. Jede vermeintliche Abtretung oder Übertragung, die gegen diesen Abschnitt verstößt, ist nichtig. Keine Abtretung oder Delegation entbindet die abtretende oder delegierende Partei von ihren Verpflichtungen aus diesem Vertrag. Dieser Vertrag ist für die Parteien und ihre jeweilig zulässigen Rechtsnachfolger und Abtretungsempfänger verbindlich und kommt diesen zugute. Für den Fall, dass der Kunde oder ein Unternehmen, das die Abonnementdienste oder Lizenzierte Software auf Seiten des Kunden nutzt, von einem Dritten erworben wird, der auch Kunde des Anbieters ist, zahlt der Kunde die Gebühren weiterhin in Übereinstimmung mit diesem Vertrag und allen geltenden Bestellformularen und anderen Zusatzvereinbarungen über die Dienste, es sei denn, die Parteien vereinbaren schriftlich etwas anderes, auch wenn der andere Kunde günstigere Bedingungen hat als die, die dem Kunden unter diesem Vertrag angeboten werden. § 354 a HGB (Abtretung von Geldforderungen) bleibt von der vorstehenden Regelung unberührt.

(i) Verhältnis der Parteien. Die Parteien sind unabhängige Auftragnehmer. Durch den Vertrag entsteht keine Partnerschaft, Franchise, Joint Venture, Agentur, Treuhand oder Arbeitsbeziehung zwischen den Parteien. Nichts hierin hindert eine Partei daran, weitere Vereinbarungen oder andere Geschäftsbeziehungen einzugehen oder ähnliche Geschäfte mit anderen Partnern zu tätigen, solange die betreffende Partei ihren Verpflichtungen aus diesem Vertrag nachkommt.

(j) Ausfuhrbestimmungen. Die Dienste nutzen Software und Technologie, die den US-Exportkontrollgesetzen unterliegen können, einschließlich aber nicht beschränkt auf den US Export Administration Act und dem deutschen Bundesamt für Wirtschaft und Ausfuhrkontrolle und den damit verbundenen Vorschriften. Der Kunde darf die Lizenzierte Software oder die Abonnementdienste weder direkt noch indirekt exportieren, re-exportieren, oder an ein Land freigeben oder dort zugänglich machen, in das der Export, Reexport oder Freigabe, durch ein Gesetz, eine Regel oder eine Vorschrift verboten ist. Der Kunde muss alle geltenden Bundesgesetze, Vorschriften und Regeln einhalten und alle erforderlichen Verpflichtungen (einschließlich der Einholung der erforderlichen Ausfuhrlizenz oder sonstiger behördlicher Genehmigungen) erfüllen, bevor er die Lizenzierte Software oder Abonnementdienste oder die zugrunde liegende Software oder Technologie außerhalb der USA exportiert, re-exportiert, erneut exportiert, freigibt oder anderweitig verfügbar macht. Der Kunde gewährleistet und versichert, dass er (i) in keiner staatlichen Liste von Personen oder Organisationen geführt wird, denen der Bezug von US-amerikanischem Exporten untersagt oder beschränkt ist, (ii) kein Staatsangehöriger eines Landes ist, das auf den Sanktionslisten geführt wird bzw. dass sein Unternehmen keinen Sitz in einem solchen Land unterhält noch früher gehabt hat, (iii) seinen Nutzern nicht gestattet, unter Verletzung von US-amerikanischen oder anderen anwendbaren Exportembargos, -verboten oder -beschränkungen auf die Dienste zuzugreifen oder diese zu nutzen, und (iv) sich stets an alle Anwendbaren Gesetze bezüglich der Übermittlung technischer Daten aus den und in die Vereinigten Staaten und dem Land, in dem sich der Kunde und seine Nutzer befinden, hält.

(k) Ausfertigungen. Dieser Vertrag kann in mehreren Ausfertigungen abgeschlossen werden, von denen jede als Original gilt, aber alle zusammen als ein und derselbe Vertrag angesehen werden.

(l) Auslagen. Alle Kosten und Auslagen, die im Zusammenhang mit diesem Vertrag, jeder Vereinbarung, jedem Dokument und jeder Urkunde, die aufgrund dieses Vertrages und dem damit verbundenen Leistungsaustausch entstehen, sind von der Partei zu tragen, die diese Kosten und Auslagen verursacht.

(m) Anwaltskosten. Im Falle einer Streitigkeit, die sich aus diesem Vertrag ergibt, hat die obsiegende Partei, unabhängig davon, ob eine Klage oder ein anderes Verfahren eingereicht wird, Anspruch auf Erstattung ihrer angemessenen Anwaltsgebühren und -kosten; einschließlich Anwaltsgebühren und Kosten, die bei der Geltendmachung des Anspruchs auf Anwaltsgebühren und -kosten, sowie bei der Bestimmung oder Bezifferung der Höhe der erstattungsfähigen Anwaltsgebühren entstanden sind. Zu den angemessenen Kosten, auf die die obsiegende Partei Anspruch hat, gehören Kosten, die nach einem anwendbaren Gesetz, einer Vorschrift oder Richtlinie steuerpflichtig sind, sowie nicht steuerpflichtige Kosten, einschließlich, aber nicht beschränkt auf Kosten für Nachforschungen, Kopierkosten, Kosten für die elektronische Ermittlung, Telefongebühren, Post- und Zustellungsgebühren, Kosten für informationstechnische Unterstützung, Berater- und Sachverständigenhonorare, Reisekosten, Gerichtsschreiberhonorare und Vermittlerhonorare, unabhängig davon, ob diese Kosten anderweitig steuerpflichtig sind.

(n) Verlautbarmachungen. Der Anbieter kann mit Zustimmung des Kunden, die nicht aus un-angemessen Gründen zurückgehalten, bedingt oder verzögert werden darf, (i) innerhalb von dreißig (30) Tagen nach der Unterschrift dieses Vertrages eine Pressemitteilung über die Vertragsbeziehung zwischen den Parteien herausgeben und (ii) den Namen oder das Logo des Kunden in Werbe- und ähnlichen Materialien verwenden. Der Anbieter kann die Bedingungen dieses Vertrages potenziellen Investoren und Erwerbern des Geschäfts, von Vermögenswerten oder Anteilen des Anbieters ausschließlich zu diesen Zwecken offenlegen, sofern ein solcher Investor oder Erwerber einer schriftlichen Vertraulichkeitsvereinbarung unterliegt.

(o) Abwerbeverbot von Mitarbeitern. Der Kunde erklärt sich damit einverstanden, dass er während der Laufzeit dieses Vertrags und für einen Zeitraum von einem (1) Jahr nach der Laufzeit, ohne vorherige schriftliche Zustimmung des Anbieters keine Mitarbeitende, Vertreter oder Repräsentanten des Anbieters einstellen oder eine Beschäftigung anbieten wird; das vorstehende Verbot schließt nicht die Einstellung einer Person durch den Kunden aus, die sich auf eine allgemeine Aufforderung oder Werbung in gedruckter oder elektronischer Form auf Stellenausschreibungen und sozialen Netzwerken bewirbt. Für den Fall, dass Mitarbeitende, Vertreter oder Repräsentanten des Anbieters zeitweilig beschäftigt sind oder einen solchen Vertrag mit dem Kunden oder einem Partner des Kunden unter Verletzung des vorstehenden Satzes (ob als Mitarbeitende oder Auftragnehmer) abschließen, hat der Kunde dem Anbieter auf Verlangen einen Betrag in Höhe von sechs Monaten Grundgehalt oder sonstige vom Anbieter an diese Mitarbeitende, Vertreter oder Repräsentanten zu zahlende Entgelte zuzüglich der Einstellungskosten, die dem Anbieter durch die Ersetzung dieser Person bzw. als Ausgleich für die Kosten und Unannehmlichkeiten des Anbieters entstehen, zu zahlen. Die oben genannte Zahlung tritt nicht an Stelle sonstiger Ansprüche des Anbieters.

(p) Rechtliche Bestimmungen. Die offizielle Fassung dieses Vertrages einschließlich aller Anhänge oder Änderungen dieses Vertrages, Interpretationen, Bekanntmachungen und Streitbeilegungen ist die englische Fassung. Übersetzungen dieses Vertrages gelten nicht als amtliche oder Originalfassungen. Der Anbieter gewährt im Rahmen dieses Vertrages keine Exklusivrechte. Alle Rechte oder Lizenzen, die dem Kunden hierin nicht ausdrücklich gewährt werden, sind dem Anbieter vorbehalten, einschließlich des Rechts, die Nutzung der Abonnementdienste und jeglicher Software an andere Parteien zu lizenzieren. Jede Bezugnahme auf ein Gesetz oder eine interne Regelung in diesem Vertrag umfasst jede gesetzliche oder quasigesetzliche Änderung oder Zusatzvereinbarung einschließlich Statute, Regelungen, Verordnungen, Anordnungen, Anweisungen, Bestimmungen oder Genehmigungen, die in dem Zusammenhang erlassen wurden.

Anhang 1

ZUSATZVEREINBARUNG ZUR AUFTRAGSVERARBEITUNG

Diese Zusatzvereinbarung zur Auftragsverarbeitung (“AVV”) ist Teil des Rahmenvertrages (“Vertrag”) zwischen dem Anbieter und dem Kunden. Die in dieser AVV verwendeten Begriffe haben die in dieser AVV festgelegte Bedeutung. Mit Ausnahme der nachstehenden Änderungen bleiben die Bestimmungen des Vertrags in vollem Umfang in Kraft.

1. DEFINITIONEN.

Zusätzlich zu den im Vertrag definierten Begriffen haben alle definierten Begriffe die ihnen in dieser Zusatzvereinbarung zugewiesene Bedeutung und sind für die Zwecke dieser Zusatzvereinbarung im Falle von Konflikten maßgebend, einschließlich der folgenden Begriffe:

1.1 In dieser AVV haben die folgenden Begriffe die nachstehend angegebene Bedeutung und verwandte Begriffe sind entsprechend auszulegen:
1.1.1 Angemessenheitsbeschluss bedeutet für eine Rechtsordnung mit Datenschutzgesetzen, die Beschränkungen für die Datenübermittlung vorsehen, ein Beschluss, von der Aufsichtsbehörde oder einer anderen Stelle in dieser Rechtsordnung, der anerkennt, dass ein Land, ein angemessenes Datenschutzniveau hat, wie es in den Datenschutzgesetzen des betreffenden Landes vorgeschrieben ist, so dass die Übermittlung in dieses Land ohne zusätzliche Anforderungen zulässig ist;
1.1.2 Aufsichtsbehörde ist eine öffentliche Behörde oder eine staatliche oder quasi-staatliche Stelle, die in einem Land mit Datenschutzgesetzen eingerichtet wurde und für Datenschutzfragen zuständig ist;
1.1.3 Betroffene Person ist die identifizierte oder identifizierbare Person, auf die sich die Personenbezogenen Daten beziehen (einschließlich “Verbraucher” gemäß der Definition im CCPA);
1.1.4 CCPA bezeichnet den California Consumer Privacy Act von 2018 (California Privacy Act Cal Civ Code § 1798.100 et seq) und seine Durchführungsbestimmungen;
1.1.5 Datenschutzgesetze bezeichnet alle Datenschutzgesetze und -vorschriften, die auf die betreffenden Personenbezogenen Daten anwendbar sind, einschließlich (ohne Einschränkung und soweit zutreffend) der EU-DSGVO, der UK-DSGVO und des CCPA, in der jeweils geltenden Fassung.
1.1.6 Datenverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die Personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen Verarbeitet (einschließlich “Dienstleister” gemäß der Definition dieses Begriffs in der CCPA) und bedeutet im Zusammenhang mit dieser AVV „Anbieter“;
1.1.7 Datenverarbeitungsanweisungen sind die in Anhang I dieser AVV aufgeführten Weisungen;
1.1.8 Dienste sind die Dienste und sonstigen Tätigkeiten, die vom Anbieter oder in seinem Namen für den Kunden gemäß dem Vertrag zu erbringen oder durchzuführen sind;
1.1.9 Eingeschränkte Übermittlung bedeutet:
1.1.9.1 eine Übermittlung Personenbezogener Daten vom Kunden oder einem Verbundenen Unternehmen des Kunden an den Anbieter; oder
1.1.9.2 eine Weiterübermittlung Personenbezogener Daten vom Anbieter an einen Unterauftragsverarbeiter, wenn eine solche Übermittlung ohne eine genehmigte Übermittlungsmethode (wie z. B. (a) einem Angemessenheitsbeschluss, (b) Standardvertragsklauseln, (c) genehmigten Formen von Datenübermittlungsvereinbarungen oder -verfahren gemäß den geltenden Datenschutzgesetzen oder (d) einer zulässigen Ausnahmeregelung) durch die Datenschutzgesetze verboten wäre oder gegen die Bedingungen einer solchen anerkannten Übermittlungsmethode oder zulässigen Ausnahmeregelung verstoßen würde;
1.1.10 EU-DSGVO bezeichnet alle EU-Verordnungen, die (ganz oder teilweise) auf die Verarbeitung Personenbezogener Daten anwendbar sind, wie die Verordnung (EU) 2016/679;
1.1.11 EU-Standardvertragsklauseln sind die Vertragsklauseln im Anhang des Durchführungsbeschlusses 2021/914 der Europäischen Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, wie in Anlage 1 dieser AVV beigefügt;
1.1.12 Informationssicherheitsplan bezeichnet die technischen und organisatorischen Maßnahmen zur Informationssicherheit, die im Informationssicherheitsplan, der als Anhang II beigefügt ist, in seiner jeweils aktualisierten Fassung aufgeführt sind;
1.1.13 Schweizer Zusatz bezeichnet das Addendum zu den EU-Standardvertragsklauseln gemäß Anlage 3 zu dieser AVV.
1.1.14 Standardvertragsklauseln sind die von einer Aufsichtsbehörde gemäß den Datenschutzgesetzen genehmigten Vertragsklauseln, die von Zeit zu Zeit aktualisiert werden können und die die Übermittlung Personenbezogener Daten in Fällen erlauben, in denen eine solche Übermittlung andernfalls eine Eingeschränkte Übermittlung wäre;
1.1.15 UK-DGSVO bezeichnet die EU-DGSVO, wie sie aufgrund von Abschnitt 3 des European Union (Withdrawal) Act 2018 Teil des britischen Rechts ist;
1.1.16 UK-Zusatz bezeichnet das „UK Addendum to he EU Standard Contractual Clauses“, das vom Information Commissioner‘s Office gemäß s.119A(1) des UK Data Protection Act 2018 herausgegeben wurde und dieser AVV als Anlage 2 in Kopie beigefügt ist;
1.1.17 Unterauftragsverarbeiter ist jeder Dritte (einschließlich Dritter und Verbundener Unternehmen des Anbieters), der vom Anbieter oder in dessen Namen mit der Verarbeitung in Verbindung mit den Diensten beauftragt wird und in Anhang III aufgeführt ist;
1.1.18 Verantwortlicher für die Datenverarbeitung ist die natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung Personenbezogener Daten entscheidet (einschließlich des Begriffs “Unternehmen” gemäß der Definition des CCPA); im Zusammenhang mit dieser DSGVO ist damit der Kunde gemeint;
1.1.19 Verarbeiten / Verarbeitung bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit Personenbezogenen Daten wie das Erheben, den Zugang, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; wie in den Datenverarbeitungsanweisungen beschrieben;
1.1.20 Verbundenes Unternehmen: jede Organisation, die den Unterzeichner dieser AVV jetzt oder in Zukunft kontrolliert, von ihm kontrolliert wird oder unter gemeinsamer Kontrolle steht, wobei “Kontrolle” definiert ist als der direkte oder indirekte Besitz der Befugnis, einer solchen Person oder Organisation, sei es durch den Besitz von stimmberechtigten Wertpapieren, durch einen Vertrag oder auf andere Weise, das Management und die Politik zu lenken oder zu bestimmen;
1.1.21 Verletzung des Schutzes Personenbezogener Daten; bedeutet eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu Personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise Verarbeitet wurden;
1.1.22 Verweise auf Anhänge beziehen sich auf Anhänge der EU-Standardvertragsklauseln.

2. VERARBEITUNG VON PERSONENBEZOGENEN DATEN.

2.1 Der Anbieter wird Personenbezogene Daten nicht aufbewahren, verwenden, offenlegen oder anderweitig verarbeiten (auch nicht für seine eigenen kommerziellen Zwecke), außer auf dokumentierte Weisung des Kunden (wie in dieser AVV und im Vertrag dargelegt), es sei denn, die Verarbeitung ist nach geltendem Recht und gemäß den Bestimmungen der Standardvertragsklauseln (sofern anwendbar) erforderlich; oder
2.1.1 Personenbezogene Daten verkaufen, die sie vom Kunden erhalten oder im Zusammenhang mit der Erbringung der Dienste für den Kunden erhalten haben.

2.2 Der Kunde im eigenen Namen und im Namen jedes verbundenen Unternehmens des Kunden:
2.2.1 weist den Anbieter an:
2.2.1.1 Personenbezogene Daten zu verarbeiten; und
2.2.1.2 insbesondere Personenbezogene Daten in ein beliebiges Land oder Gebiet zu übermitteln, soweit dies für die Erbringung der Dienste und im Einklang mit dieser AVV erforderlich ist.

2.3 In den Datenverarbeitungsanweisungen werden der Gegenstand und andere Einzelheiten der Verarbeitung der Personenbezogenen Daten, die im Rahmen der Dienste vorgesehen sind, dargelegt, einschließlich der Betroffenen Personen, der Kategorien Personenbezogener Daten, der besonderen Kategorien Personenbezogener Daten, der Unterauftragsverarbeiter und der Beschreibung der Verarbeitung.

2.4 Die Parteien erkennen an, dass die Übermittlung Personenbezogener Daten durch den Kunden an den Anbieter keinen „Verkauf“ Personenbezogener Daten im Sinne der geltenden Datenschutzgesetze (einschließlich des CCPA) darstellt und dass der Anbieter dem Kunden im Austausch für die Personenbezogenen Daten kein Geld oder eine andere Gegenleistung von Wert bietet.

3. ANBIETERPERSONAL.

Der Anbieter gewährleistet, dass die zur Verarbeitung der Personenbezogenen Daten befugten Personen:
3.1 sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht in Bezug auf die Personenbezogenen Daten unterliegen; und

3.2 eine angemessene Schulung in Bezug auf den Schutz Personenbezogener Daten absolviert haben.

4. SICHERHEIT.

4.1 Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichen und der Schwere der mit der Verarbeitung verbundenen Risiken
für die Rechte und Freiheiten natürlicher Personen setzt der Anbieter in Bezug auf die Personenbezogenen Daten geeignete technische und organisatorische Maßnahmen ein, die so konzipiert sind, dass sie bei der Erbringung der Dienste ein diesem Risiko angemessenes Schutzniveau gewährleisten; für die Zwecke dieser AVV sind die technischen und organisatorischen Maßnahmen des Anbieters im Informationssicherheitsplan festgelegt.

4.2 Bei der Bewertung des angemessenen Schutzniveaus berücksichtigt der Anbieter insbesondere die Risiken, die mit der Verarbeitung verbunden sind.

5. UNTERAUFTRAGSVERARBEITUNG.

5.1 Der Anbieter darf nur Unterauftragsverarbeiter ernennen, die es ihm ermöglichen, die Datenschutzgesetze einzuhalten. Der Kunde ermächtigt den Anbieter zur Ernennung von Unterauftragsverarbeitern gemäß diesem Abschnitt 5 vorbehaltlich etwaiger Einschränkungen oder Bedingungen, die ausdrücklich in dem Vertrag festgelegt sind. Die zum Zeitpunkt des Inkrafttretens dieser AVV ernannten Unterauftragsverarbeiter sind in den Datenverarbeitungsanweisungen aufgeführt. Der Anbieter bleibt gegenüber dem Kunden für die Erfüllung der Verpflichtungen der Unterauftragsverarbeiter im Rahmen des Vertrages haftbar.

5.2 Bevor der Anbieter einen neuen Unterauftragsverarbeiter einstellt, muss er den Kunden ungeachtet der in der Vereinbarung enthaltenen Mitteilungspflichten von der Ernennung in Kenntnis setzen und ihm Einzelheiten über die von dem vorgeschlagenen Unterauftragsverarbeiter vorzunehmende Verarbeitung mitteilen. Jeder neue Unterauftragsverarbeiter wird zu dem folgenden Link www.revalizesoftware.com\legal hinzugefügt und dem Kunden per E-Mail mitgeteilt. Zusätzlich zu allen anderen Mitteilungen kann der Anbieter eine solche Mitteilung durch Aktualisierung der Liste der Unterauftragsverarbeiter in den Datenverarbeitungsanweisungen durchführen. Der Kunde kann dem Anbieter innerhalb von fünfzehn (15) Tagen nach der Benachrichtigung durch den Anbieter über die aktualisierte Liste der Unterauftragsverarbeiter etwaige Einwände (aus angemessenen Gründen im Zusammenhang mit Datenschutzgesetzen) gegen den vorgeschlagenen Unterauftragsverarbeiter oder die Datenverarbeitungsanweisungen mitteilen (“Einwände”), woraufhin der Anbieter und der Kunde nach Treu und Glauben verhandeln, um weitere Maßnahmen zu vereinbaren, einschließlich vertraglicher oder betrieblicher Anpassungen, die für die Ernennung des vorgeschlagenen Unterauftragsverarbeiters oder den Betrieb der Dienste relevant sind, um den Einwänden des Kunden Rechnung zu tragen. Können sich die Parteien nicht innerhalb von fünfundvierzig (45) Tagen nach Eingang des Widerspruchs beim Anbieter (oder einer vom Kunden schriftlich vereinbarten längeren Frist) auf weitere Maßnahmen einigen, kann der Kunde den Teil der Dienste, der die Nutzung des vorgeschlagenen Unterauftragsverarbeiters erfordert, oder einen anderen Teil der Dienste, der auf diese Weise beendet wird, durch schriftliche Mitteilung an den Anbieter mit sofortiger Wirkung kündigen.

6. RECHTE DER BETROFFENEN PERSON.

6.1 Der Anbieter muss:

6.1.1 wenn er eine Anfrage einer Betroffenen Person zur Ausübung ihrer Betroffenenrechte erhält, die sich auf ein Betroffenenrecht der Betroffenen Person gemäß einem Datenschutzgesetz in Bezug auf Personenbezogene Daten bezieht, den Kunden unverzüglich benachrichtigen, sobald er davon Kenntnis erlangt;

6.1.2 nicht auf diese Anfrage der Betroffenen Person reagieren, es sei denn, auf dokumentierte Weisung des Kunden oder es wird von einer Aufsichtsbehörde oder nach geltendem Recht verlangt; und

6.1.3 auf Anfrage des Kunden, sofern dies aufgrund von Datenschutzgesetzen und im Zusammenhang mit den Diensten erforderlich ist, den Kunden in angemessener Weise bei der Bearbeitung einer Anfrage zur Ausübung von Betroffenenrechten unterstützen, soweit der Kunde diese Anfrage nicht ohne die Unterstützung des Anbieters erfüllen kann. Der Anbieter kann diese Anforderung erfüllen, indem er (auf Kosten des Kunden) eine Funktionalität zur Verfügung stellt, die es dem Kunden ermöglicht, eine solche Anfrage zur Ausübung der Betroffenenrechte ohne zusätzliche Verarbeitung durch den Anbieter zu bearbeiten. Soweit eine solche Funktionalität nicht zur Verfügung steht, muss der Kunde, damit der Anbieter eine solche angemessene Unterstützung leisten kann, dem Anbieter eine solche Anfrage schriftlich übermitteln und dabei ausreichende Informationen zur Verfügung stellen, damit der Anbieter (auf Kosten des Kunden) den betreffenden Datensatz lokalisieren und anschließend ändern, exportieren oder löschen kann.

7. VERLETZUNG DES SCHUTZES PERSONENBEZOGENER DATEN.

7.1 Der Anbieter muss den Kunden unverzüglich benachrichtigen, wenn der Anbieter oder ein Unterauftragsverarbeiter eine Verletzung des Schutzes Personenbezogener Daten bestätigt, und dem Kunden ausreichende Informationen zur Verfügung stellen, damit der Kunde seinen Verpflichtungen zur Meldung oder zur Information der Betroffenen Personen über die Verletzung des Schutzes Personenbezogener Daten gemäß den Datenschutzgesetzen nachkommen kann. Vorbehaltlich des nachstehenden Abschnitts 7.3 muss eine solche Benachrichtigung mindestens:
7.1.1 die Art der Verletzung des Schutzes Personenbezogener Daten, die Kategorien und die Zahl der Betroffenen Personen, die betroffenen Kategorien und die Zahl der betroffenen personenbezogenen Datensätze beschreiben;
7.1.2 den Namen und die Kontaktdaten des Datenschutzbeauftragten des Anbieters oder eines anderen Ansprechpartners, bei dem weitere Informationen erhältlich sind, enthalten;
7.1.3 die wahrscheinlichen Folgen der Verletzung des Schutzes Personenbezogener Daten beschreiben, soweit der Anbieter in der Lage ist, diese in Anbetracht der Art der Dienste und der Verletzung des Schutzes Personenbezogener Daten festzustellen; und
7.1.4 die Maßnahmen beschreiben, die zur Behebung der Verletzung des Schutzes Personenbezogener Daten ergriffen wurden oder ergriffen werden sollen.

7.2 Der Anbieter arbeitet mit dem Kunden zusammen und unternimmt die kommerziell angemessenen Schritte, die erforderlich sind, um bei der Untersuchung, Abmilderung und Behebung einer solchen Verletzung des Schutzes Personenbezogener Daten zu helfen.

7.3 Wenn und soweit es nicht möglich ist, die Informationen zu übermitteln, oder wenn es dem Anbieter aufgrund von Gesetzen oder von Vollstreckungsbehörden untersagt ist, die in Abschnitt 7.1 genannten Informationen gleichzeitig zu übermitteln, können die Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung gestellt werden.

8. DATENSCHUTZ-FOLGENABSCHÄTZUNG UND VORHERIGE KONSULTATION.

8.1 Soweit erforderlich, unterstützt der Anbieter den Kunden in angemessenem Umfang bei Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Aufsichtsbehörden oder anderen zuständigen Datenschutzbehörden, die der Kunde nach vernünftigem Ermessen aufgrund von Datenschutzgesetzen für erforderlich hält, und zwar jeweils ausschließlich in Bezug auf die Verarbeitung Personenbezogener Daten durch den Anbieter und unter Berücksichtigung der Art der Verarbeitung und der dem Anbieter vorliegenden Informationen. Soweit eine solche Folgenabschätzung und/oder vorherige Konsultation Unterstützung erfordert, die über die Bereitstellung der entsprechenden Verarbeitungsprotokolle und Dokumentationen des Anbieters hinausgeht, behält sich der Anbieter das Recht vor, dem Kunden eine solche Beauftragung zu den dann geltenden Tagessätzen des Anbieters in Rechnung zu stellen.

9. LÖSCHUNG ODER RÜCKGABE VON PERSONENBEZOGENEN DATEN.

9.1 Innerhalb von dreißig (30) Tagen nach Kündigung oder Ablauf des Vertrages (die “Rückgabefrist”) und vorbehaltlich des Abschnitts 9.2 unten, wird der Anbieter auf Wunsch des Kunden, verfügbare Personenbezogene Daten entweder löschen oder zurückgeben. Hat sich der Kunde nicht für eine der beiden Möglichkeiten entschieden, kann der Anbieter nach Ablauf der Rückgabefrist alle Personenbezogenen Daten ohne Benachrichtigung oder Haftung gegenüber dem Kunden löschen und vernichten. Wenn der Kunde den Anbieter auffordert, verfügbare Personenbezogene Daten zurückzugeben, kann der Anbieter dieser Aufforderung nachkommen, indem er eine Funktion zur Verfügung stellt, die es dem Kunden ermöglicht, die Personenbezogenen Daten ohne zusätzliche Verarbeitung durch den Anbieter abzurufen. Lehnt der Kunde die Nutzung dieser Funktion ab, kann er innerhalb der Rückgabefrist vom Anbieter die Rückgabe der verfügbaren Personenbezogenen Daten im Rahmen einer Bestellung für die entsprechenden Professional Services verlangen. Wird der Vertrag wegen eines Verstoßes des Kunden gekündigt, hat der Anbieter das Recht, vom Kunden eine Vorauszahlung für diese Professional Services zu verlangen. Der Anbieter muss dem Kunden innerhalb von dreißig (30) Tagen nach dem Ersuchen des Kunden um eine solche Bestätigung schriftlich bestätigen, dass er die Bestimmungen dieses Abschnitts 9 vollständig eingehalten hat.

9.2 Der Anbieter darf Personenbezogene Daten nur in dem Umfang und für den Zeitraum aufbewahren, wie es die Datenschutzgesetze oder andere gesetzliche Vorschriften, denen der Anbieter unterliegt, vorschreiben, und immer unter der Voraussetzung, dass (a) während dieses Aufbewahrungszeitraums die Bestimmungen dieser AVV weiterhin Anwendung finden, (b) der Anbieter die Vertraulichkeit all dieser Personenbezogenen Daten sicherstellt und (c) der Anbieter sicherstellt, dass diese Personenbezogenen Daten nur für die Zwecke verarbeitet werden, die in den Datenschutzgesetzen, die ihre Speicherung vorschreiben, oder in anderen gesetzlichen Bestimmungen, denen der Anbieter unterliegt, festgelegt sind, und für keinen anderen Zweck.

10. ÜBERPRÜFUNGS-, AUDIT- UND INSPEKTIONSRECHTE.

10.1 Auf angemessene Anfrage des Kunden stellt der Anbieter alle relevanten und notwendigen Materialien, Unterlagen und Informationen in Bezug auf die technischen und organisatorischen Sicherheitsmaßnahmen des Anbieters zum Schutz der Personenbezogenen Daten im Zusammenhang mit den erbrachten Diensten zur Verfügung, um die Einhaltung der Datenschutzgesetze nachzuweisen. Diese Informationen können in zusammengefasster Form bereitgestellt werden, um das Risiko zu minimieren, dass diese Maßnahmen umgangen werden.

10.2 Der Anbieter stellt sicher, dass mindestens einmal jährlich eine Sicherheitsüberprüfung seiner technischen und organisatorischen Sicherheitsmaßnahmen in Übereinstimmung mit den Datenschutzgesetzen durchgeführt wird. Die Ergebnisse einer solchen Sicherheitsüberprüfung werden in einem zusammenfassenden Bericht dokumentiert. Der Anbieter stellt dem Kunden auf Anfrage unverzüglich (i) eine vertrauliche Zusammenfassung des Berichts und (ii) einen Nachweis über die angemessene Behebung kritischer Probleme innerhalb von vier (4) Wochen nach dem Datum der Ausstellung des Auditberichts zur Verfügung.

10.3 Wenn der Kunde nach Abschluss, der in den Abschnitten 10.1 und 10.2 beschriebenen Schritte vernünftigerweise der Meinung ist, dass der Anbieter die Datenschutzgesetze nicht einhält, kann der Kunde vom Anbieter verlangen, dass dieser entweder per Webinar oder bei einer persönlichen Überprüfung
, Auszüge aller relevanten Informationen zur Verfügung stellt, die für den weiteren Nachweis der Einhaltung der Datenschutzgesetze erforderlich sind. Der Kunde, der eine solche Überprüfung vornimmt, muss den Anbieter in angemessener Weise benachrichtigen, indem er sich an den Direktor für Informationssicherheit des Anbieters unter [email protected] wendet. Jede Überprüfung wird gemäß diesem Abschnitt 10.3 durchgeführt.

10.4 Falls der Kunde vernünftigerweise der Ansicht ist, dass seine Feststellungen nach Durchführung der in Abschnitt 10.3 dargelegten Schritten den Kunden nicht in die Lage versetzen, seinen Verpflichtungen gemäß den Datenschutzgesetzen in Bezug auf die Beauftragung des Anbieters im Wesentlichen nachzukommen, kann der Kunde den Anbieter mindestens dreißig (30) Tage im Voraus schriftlich von seiner Absicht in Kenntnis setzen, ein Audit durchzuführen, welches Inspektionen des Anbieters durch den Kunden oder einen vom Kunden beauftragten Prüfer (der kein Konkurrent des Anbieters ist) beinhalten kann. Eine solche Prüfung und/oder Inspektion (i) unterliegt den zwischen dem Kunden (oder dem von ihm beauftragten Prüfer) und dem Anbieter vereinbarten Vertraulichkeitsverpflichtungen, (ii) wird nur in dem Umfang durchgeführt, der durch die geltenden Datenschutzgesetze vorgeschrieben ist, und darf unter den geltenden Datenschutzgesetzen nicht weiter eingeschränkt werden, (iii) darf den Anbieter nicht dazu verpflichten, die Vertraulichkeit von Sicherheitsaspekten seiner Systeme und/oder Datenverarbeitungseinrichtungen (einschließlich derjenigen seiner Unterauftragsverarbeiter) zu gefährden, und (iv) darf nicht in Fällen durchgeführt werden, in denen der Anbieter dadurch gegen seine Vertraulichkeitsverpflichtungen gegenüber anderen Kunden, Verkäufern und/oder Partnern des Anbieters verstoßen oder der Anbieter anderweitig gegen für den Anbieter geltende Gesetze verstoßen würde. Der Kunde (oder ein von ihm beauftragter Prüfer), der eine solche Prüfung oder Inspektion durchführt, muss es vermeiden, im Verlauf einer solchen Prüfung Schäden, Verletzungen oder Störungen an den Räumlichkeiten, der Ausrüstung, dem Personal und dem Geschäft des Anbieters zu verursachen. Soweit eine solche gemäß diesem Abschnitt 10.4 durchgeführte Prüfung einen (1) Arbeitstag überschreitet, behält sich der Anbieter das Recht vor, dem Kunden jeden weiteren Tag zu seinen zu diesem Zeitpunkt gültigen Tagessätzen in Rechnung zu stellen.

10.5 Stellt der Kunde nach einer solchen Prüfung oder Inspektion gemäß Abschnitt 10.4 nach vernünftigem Ermessen fest, dass der Anbieter die Datenschutzgesetze nicht einhält, so übermittelt der Kunde dem Anbieter Einzelheiten dazu, woraufhin der Anbieter seine Antwort und, soweit erforderlich, den Entwurf eines Plans zur Behebung des Problems zur gegenseitigen Zustimmung der Parteien vorlegt (diese Zustimmung darf nicht unangemessen verweigert oder verzögert werden; der einvernehmlich vereinbarte Plan ist der “Behebungsplan”). Können die Parteien keine Einigung über den Behebungsplan erzielen, oder sollte eine Einigung erzielt werden können, der Anbieter jedoch den Behebungsplan nicht zu dem vereinbarten Terminen umsetzen können und dies nicht innerhalb von fünfundvierzig (45) Tagen nach der Benachrichtigung des Kunden oder einer anderen zwischen den Parteien vereinbarten Frist behebt, kann der Kunde die Dienste, die von der nicht konformen Verarbeitung betroffen sind, ganz oder teilweise kündigen, wobei die übrigen Dienste von einer solchen Kündigung unberührt bleiben.

10.6 Die Rechte des Kunden gemäß dieses Abschnitts 10 können nur einmal pro Kalenderjahr ausgeübt werden, es sei denn, der Kunde ist der begründeten Ansicht, dass der Anbieter seine Verpflichtungen gemäß dieser AVV oder den Datenschutzgesetzen wesentlich verletzt.

11. EINGESCHRÄNKTE ÜBERMITTLUNGEN.

11.1 Der Kunde (als “Datenexporteur”) und der Anbieter (als “Datenimporteur”), soweit zutreffend, vereinbaren hiermit, dass die anwendbaren Standardvertragsklauseln in Bezug auf jede Eingeschränkte Übermittlung vom Kunden oder eines Verbundenen Unternehmens des Kunden an den Anbieter in dem von den Datenschutzgesetzen vorgeschriebenen Umfang Anwendung finden. Die Parteien vereinbaren, dass die Bestimmungen der Standardvertragsklauseln für die Eingeschränkte Übermittlung gelten sollen. Wenn Personenbezogene Daten der EU-DSGVO unterliegen, sind die anwendbaren Standardvertragsklauseln die EU-Standardvertragsklauseln, und wenn Personenbezogene Daten der UK-DSGVO unterliegen, sind die anwendbaren Standardvertragsklauseln der UK-Zusatz. Soweit Personenbezogene Daten dem Schweizer Bundesgesetz zum Datenschutz unterliegen, gelten die Bestimmungen des Schweizer Zusatzes.

11.2 Für die Zwecke von Anhang I oder eines anderen relevanten Teils der anwendbaren Standardvertragsklauseln werden in den Datenverarbeitungsanweisungen die betroffenen Personen, die Kategorien Personenbezogener Daten, die besonderen Kategorien Personenbezogener Daten, und die Beschreibung der Verarbeitung (Verarbeitungsvorgänge) angegeben. Unterauftagsverarbeiter sind in Anhang III angegeben. Sofern die EU-Standardvertragsklauseln für Übermittlungen vom Kunden oder einem Verbundenen Unternehmen des Kunden an den Anbieter gelten, sind sie wie in Anhang I dieser AVV aufgeführt. Optionale Klauseln in den anwendbaren Standardvertragsklauseln finden keine Anwendung, sofern in Anhang I dieser AVV nichts anderes festgelegt ist.

11.3 Für die Zwecke des Anhangs II oder eines anderen relevanten Teils der anwendbaren Standardvertragsklauseln enthält der Informationssicherheitsplan eine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, die vom Anbieter durchgeführt werden.

11.4 Wo immer die anwendbaren Standardvertragsklauseln eine Rechtswahl oder Gerichtsbarkeit ermöglichen, gelten die Gesetze und Gerichte Irlands, sofern nicht das anwendbare Datenschutzrecht etwas anderes vorschreibt.

11.5 Der Anbieter darf keine Eingeschränkte Übermittlung Personenbezogener Daten vornehmen, die er im Rahmen dieser AVV erhalten hat, es sei denn, er hat nach den geltenden Datenschutzgesetzen rechtmäßige Gründe dafür. Solche rechtmäßigen Gründe können sein: (a) ein Angemessenheitsbeschluss, (b) Standardvertragsklauseln, (c) die Bedingungen anderer anerkannter Formen von Datenübermittlungsvereinbarungen oder -verfahren oder (d) eine nach dem Datenschutzrecht zulässige Ausnahmeregelung.

12. ANDERE DATENSCHUTZGESETZE.

12.1 Soweit sich die Verarbeitung auf Personenbezogene Daten bezieht, die aus einer Rechtsordnung stammen, die zwingende Anforderungen stellt oder in Zukunft solche Anforderungen einführt, können beide Parteien zusätzliche Maßnahmen vereinbaren, die erforderlich sind, um die Einhaltung der geltenden Datenschutzgesetze zu gewährleisten; solche zusätzlichen Maßnahmen, auf die sich die Parteien geeinigt haben, werden als eine Anlage zu dieser AVV oder in einem Auftrag zum Vertrag dokumentiert.

12.2 Der Kunde erklärt sich ferner damit einverstanden, dass der Anbieter in dem Maße, in dem er nach den geltenden Datenschutzgesetzen verpflichtet ist, einen angemessenen Übermittlungsmechanismus oder zusätzliche Sicherheitsvorkehrungen für die Übermittlung Personenbezogener Daten zu treffen, eine Vereinbarung zur Durchführung einer solchen Übermittlung in seinem eigenen Namen und, falls erforderlich, im Namen des Kunden auf benannter oder unbenannter Basis treffen kann.

12.3 Aufgrund der Tatsache, dass der Anbieter keine Kontrolle über die Art, den Charakter, die Eigenschaften, den Inhalt und/oder die Herkunft der im Rahmen dieser Vereinbarung Verarbeiteten Personenbezogenen Daten hat, verstößt der Anbieter ungeachtet gegenteiliger Bestimmungen in dieser Vereinbarung nicht gegen diese AVV oder den Vertrag und haftet dem Kunden gegenüber nicht, wenn Personenbezogene Daten, die rechtlichen Anforderungen unterliegen, die Sicherheits-, Verarbeitungs- oder andere Maßnahmen vorschreiben, die nicht in dieser AVV festgelegt sind oder den Bedingungen dieser AVV widersprechen, vom Kunden zur Verfügung gestellt werden, ohne dass diese AVV geändert wird oder ein entsprechender Auftrag erteilt wird.

12.4 Wenn aufgrund einer Änderung der Datenschutzgesetze eine Änderung dieser AVV erforderlich ist, einschließlich einer Änderung der Standardvertragsklauseln, kann jede Partei die andere Partei schriftlich über diese Gesetzesänderung informieren. Die Parteien werden nach Treu und Glauben alle notwendigen Änderungen dieser AVV, einschließlich der Standardvertragsklauseln, erörtern und aushandeln, um solchen Änderungen Rechnung zu tragen.

13. ALLGEMEINE BEDINGUNGEN.

13.1 Die Parteien dieser AVV unterwerfen sich hiermit in Bezug auf etwaige Streitigkeiten oder Ansprüche, die sich aus dieser AVV ergeben, einschließlich Streitigkeiten über deren Existenz, Gültigkeit oder Beendigung oder die Folgen ihrer Nichtigkeit der Wahl, dem anwendbaren Rechts und der Gerichtsbarkeit, die in dem Vertrag festgelegt sind.

13.2 Diese AVV und alle außervertraglichen oder sonstigen Verpflichtungen, die sich aus oder in Verbindung mit ihr ergeben, unterliegen dem Recht des Landes oder Gebiets, das zu diesem Zweck in dem Vertrag festgelegt wurde.

13.3 Die Bestimmungen über das anwendbare Recht in dieser AVV gelten vorbehaltlich der Klauseln 7 (Schlichtung und Gerichtsstand) und 10 (Anwendbares Recht) der Standardvertragsklauseln, soweit diese auf die Eingeschränkte Übermittlung Personenbezogener Daten aus der Europäischen Union (einschließlich des Vereinigten Königreichs) in ein Drittland anwendbar sind.

14. RANGFOLGE.

14.1 Keine Bestimmung dieser AVV schränkt die Verpflichtungen des Anbieters oder eines Verbundenen Unternehmens des Anbieters unter dem Vertrag in Bezug auf den Schutz Personenbezogener Daten ein oder erlaubt es dem Anbieter oder einem Verbundenen Unternehmen des Anbieters, Personenbezogene Daten in einer Weise zu Verarbeiten (oder deren Verarbeitung zuzulassen), die durch den Vertrag untersagt ist. Im Falle von Widersprüchen zwischen den Bestimmungen dieser AVV und (i) dem Informationssicherheitsplan oder (ii) anderen Vereinbarungen zwischen den Parteien, einschließlich dem Vertrag und einschließlich (sofern nicht ausdrücklich schriftlich und im Namen der Parteien unterzeichnet etwas anderes vereinbart wurde) Vereinbarungen, die nach dem Datum dieser AVV abgeschlossen wurden oder angeblich abgeschlossen wurden, sind die Bestimmungen dieser AVV maßgebend. Zur Vermeidung von Zweifeln gelten die in dem Vertrag festgelegten Haftungsbeschränkungen und -ausschlüsse auch für diese AVV, soweit dies nach geltendem Recht zulässig ist.

15. SALVATORISCHE KLAUSEL.

Sollte eine Bestimmung dieser AVV ungültig oder nicht durchsetzbar sein, so bleibt der Rest dieser AVV gültig und in Kraft. Die unwirksame oder undurchführbare Bestimmung ist entweder (i) so zu ändern, dass ihre Wirksamkeit gewährleistet ist oder, wenn dies nicht möglich ist (ii) so auszulegen, als ob der unwirksame oder undurchführbare Teil nie bestanden hätte.

ANLAGE 1 ZUR AVV

STANDARDVERTRAGSKLAUSELN

ABSCHNITT I

Klausel 1

Zweck und Anwendungsbereich

(a) Mit diesen Standardvertragsklauseln soll sichergestellt werden, dass die Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) bei der Übermittlung von personenbezogenen Daten in ein Drittland eingehalten werden.

(b) Die Parteien:
(i) die in Anhang I.A aufgeführte(n) natürliche(n) oder juristische(n) Person(en), Behörde(n), Agentur(en) oder sonstige(n) Stelle(n) (im Folgenden „Einrichtung(en)“), die die personenbezogenen Daten übermittelt/n (im Folgenden jeweils „Datenexporteur“), und
(ii) die in Anhang I.A aufgeführte(n) Einrichtung(en) in einem Drittland, die die personenbezogenen Daten direkt oder indirekt über eine andere Einrichtung, die ebenfalls Partei dieser Klauseln ist, erhält/erhalten (im Folgenden jeweils „Datenimporteur“,
haben sich mit diesen Standardvertragsklauseln (im Folgenden: “Klauseln”) einverstanden erklärt.

(c) Diese Klauseln gelten für die Übermittlung personenbezogener Daten, wie in Anhang I.B beschrieben.

(d) Die Anlage zu diesen Klauseln, mit den darin enthaltenen Anhängen, ist Bestandteil dieser Klauseln.

Klausel 2

Wirkung und Unabänderbarkeit der Klauseln

(a) Diese Klauseln enthalten geeignete Garantien, einschließlich durchsetzbarer Rechte betroffener Personen und wirksamer Rechtsbehelfe, gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 sowie – in Bezug auf Datenübermittlungen von Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter, Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679, sofern diese nicht geändert werden, mit Ausnahme der Auswahl des entsprechenden Moduls oder der entsprechenden Module oder der Ergänzung oder Aktualisierung von Informationen in der Anlage. Dies hindert die Parteien nicht daran die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und/oder weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu diesen Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen einschränken.

(b) Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Datenexporteur gemäß der Verordnung (EU) 2016/679 unterliegt.

Klausel 3

Drittbegünstigte

(a) Betroffene Personen können diese Klauseln als Drittbegünstigte gegenüber dem Datenexporteur und/oder dem Datenimporteur geltend machen und durchsetzen, mit den folgenden Ausnahmen:
(i) Klausel 1, Klausel 2, Klausel 3, Klausel 6, Klausel 7;
(ii) Klausel 8 — Modul eins: Klausel 8.5 Buchstabe e und Klausel 8.9 Buchstabe b Modul zwei: Klausel 8.1 Buchstabe (b), Klausel 8.9 Buchstaben (a), (c), (d) und (e); Modul drei: Klausel 8.1 Buchstaben a, c und d und Klausel 8.9 Buchstaben a, c, d, e, f und g Modul vier: Klausel 8.1 Buchstabe b und Klausel 8.3 Buchstabe b
(iii) Klausel 9 – Modul zwei: Buchstaben a), c), d) und e) e Modul drei: Klausel 9 Buchstaben a, c, d und e;
(iv) Klausel 12 Modul eins: Klausel 12 Buchstaben a und d Modul zwei und drei Buchstaben a), d) und f);
(v) Klausel 13;
(vi) Klausel 15.1 Buchstaben c), d) und e);
(vii) Klausel 16 Buchstabe (e);
(viii) Klausel 18 – Module eins, zwei und drei: Buchstaben a) und b) Modul vier: Klausel 18 ..

(b) Die Rechte betroffener Personen gemäß der Verordnung (EU) 2016/679 bleiben von Buchstabe a unberührt.

Klausel 4

Auslegung

(a) Werden in diesen Klauseln die in der Verordnung (EU) 2016/679 definierten Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in dieser Verordnung.
(b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 auszulegen.
(c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die mit den in der Verordnung (EU) 2016/679 vorgesehenen Rechten und Pflichten im Widerspruch steht.

Klausel 5

Vorrang

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen von damit zusammenhängenden Vereinbarungen zwischen den Parteien, die zu dem Zeitpunkt bestehen, zu dem diese Klauseln vereinbart oder eingegangen werden, haben diese Klauseln Vorrang.

Klausel 6

Beschreibung der Datenübermittlung(en)

Die Einzelheiten der Datenübermittlung(en), insbesondere die Kategorien der übermittelten personenbezogener Daten, und der /die Zwecke, zu dem/denen sie übermittelt werden, sind in Anhang I.B aufgeführt.

Klausel 7 - fakultativ

Nicht anwendbar.

ABSCHNITT II

PFLICHTEN DER PARTEIEN

Klausel 8

Datenschutzgarantien

Der Datenexporteur versichert, sich im Rahmen des Zumutbaren davon überzeugt zu haben, dass der Datenimporteur— durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen — in der Lage ist, seinen Pflichten aus diesen Klauseln nachzukommen.

MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter

8.1 Weisungen
(a) Der Datenimporteur verarbeitet die personenbezogenen Daten nur auf dokumentierte Weisung des Datenexporteurs. Der Datenexporteur kann solche Weisungen während der gesamten Vertragslaufzeit erteilen.
(b) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er diese Weisungen nicht befolgen kann.

8.2 Zweckbindung
Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den/die in Anhang I.B genannten spezifischen Zweck(e), sofern keine weiteren Weisungen des Datenexporteurs bestehen.

8.3 Transparenz
Auf Anfrage stellt der Datenexporteur der betroffenen Person eine Kopie dieser Klauseln, einschließlich der von den Parteien ausgefüllten Anlage, unentgeltlich zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich der in Anhang II beschriebenen Maßnahmen und personenbezogener Daten, notwendig ist, kann der Datenexporteur Teile der Anlage zu diesen Klauseln vor der Weitergabe einer Kopie unkenntlich machen; er legt jedoch eine aussagekräftige Zusammenfassung vor, wenn die betroffene Person andernfalls den Inhalt der Anlage nicht verstehen würde oder ihre Rechte nicht ausüben könnte. Auf Anfrage teilen die Parteien der betroffenen Person die Gründe für die Schwärzungen so weit wie möglich mit, ohne die geschwärzten Informationen offenzulegen. Diese Klausel gilt unbeschadet der Pflichten des Datenexporteurs gemäß den Artikeln 13 und 14 der Verordnung (EU) 2016/679.

8.4 Richtigkeit
Stellt der Datenimporteur fest, dass die erhaltenen personenbezogenen Daten unrichtig oder veraltet sind, unterrichtet er unverzüglich den Datenexporteur. In diesem Fall arbeitet der Datenimporteur mit dem Datenexporteur zusammen, um die Daten zu löschen oder zu berichtigen.

8.5 Dauer der Verarbeitung und Löschung oder Rückgabe der Daten
Die Daten werden vom Datenimporteur nur für die in Anhang I.B angegebene Dauer verarbeitet. Nach Beendigung der Erbringung der Datenverarbeitungsdienste löscht der Datenimporteur alle im Auftrag des Datenexporteurs verarbeiteten personenbezogenen Daten und bescheinigt dem Datenexporteur, dass dies erfolgt ist, oder gibt dem Datenexporteur alle in seinem Auftrag verarbeiteten personenbezogenen Daten zurück und löscht bestehende Kopien. Dies kann der Datenexporteur frei wählen. Bis zur Löschung oder Rückgabe der Daten stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Falls für den Datenimporteur lokale Rechtsvorschriften gelten, die ihm die Rückgabe oder Löschung der personenbezogenen Daten untersagen, sichert der Datenimporteur zu, dass er die Einhaltung dieser Klauseln auch weiterhin gewährleistet und diese Daten nur in dem Umfang und so lange verarbeitet, wie dies gemäß den betreffenden lokalen Rechtsvorschriften erforderlich ist. Dies gilt unbeschadet von Klausel 14, insbesondere der Pflicht des Datenimporteur gemäß Klausel 14 Buchstabe e, den Datenexporteur während der Vertragslaufzeit zu benachrichtigen, wenn er Grund zu der Annahme hat, dass für ihn Rechtsvorschriften oder Gepflogenheiten gelten oder gelten werden, die nicht mit den Anforderungen in Klausel 14 Buchstabe a im Einklang stehen.

8.6 Sicherheit der Verarbeitung
(a) Der Datenimporteur und, während der Datenübermittlung, auch der Datenexporteur treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu diesen Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen die Parteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und dem/den Zweck(en) der Verarbeitung sowie den mit der Verarbeitung verbundenen Risiken für die betroffenen Personen gebührend Rechnung. Die Parteien ziehen insbesondere eine Verschlüsselung oder Pseudonymisierung, auch während der Datenübermittlung, in Betracht, wenn dadurch der Verarbeitungszweck erfüllt werden kann. Im Falle einer Pseudonymisierung verbleiben die zusätzlichen Informationen, mit denen die personenbezogenen Daten einer speziellen betroffenen Person zugeordnet werden können, soweit möglich, unter der ausschließlichen Kontrolle des Datenexporteurs. Zur Erfüllung seinen Pflichten gemäß dieses Absatzes, setzt der Datenimporteur mindestens die in Anhang II aufgeführten technischen und organisatorischen Maßnahmen um. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Schutzniveau bieten.
(b) Der Datenimporteur gewährt seinem Personal nur insoweit Zugang zu den personenbezogenen Daten, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Er gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(c) Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Datenimporteur gemäß diesen Klauseln, ergreift der Datenimporteur geeignete Maßnahmen zur Behebung der Verletzung, darunter auch Maßnahmen zur Abmilderung ihrer nachteiligen Auswirkungen. Zudem meldet der Datenimporteur dem Datenexporteur die Verletzung unverzüglich, nachdem sie ihm bekannt wurde. Diese Meldung enthält die Kontaktdaten einer Anlaufstelle für weitere Informationen, eine Beschreibung der Art der Verletzung (soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen personenbezogenen Datensätze), die wahrscheinlichen Folgen der Verletzung und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung etwaiger nachteiliger Auswirkungen. Wenn und soweit nicht alle Informationen zur gleichen Zeit bereitgestellt werden können, enthält die erste Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend und ohne unangemessene Verzögerung bereitgestellt.
(d) Unter Berücksichtigung der Art der Verarbeitung und der dem Datenimporteur zur Verfügung stehenden Informationen arbeitet der Datenimporteur mit dem Datenexporteur zusammen und unterstützt ihn dabei, seinen Pflichten gemäß der Verordnung (EU) 2016/679 nachzukommen, insbesondere die zuständige Aufsichtsbehörde und die betroffenen Personen zu benachrichtigen.

8.7 Sensible Daten
Soweit die Übermittlung personenbezogene Daten umfasst, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten“), wendet der Datenimporteur die in Anhang I.B beschriebenen speziellen Beschränkungen und/oder zusätzlichen Garantien an.

8.8 Weiterübermittlungen
Der Datenimporteur gibt die personenbezogenen Daten nur auf dokumentierte Weisung des Datenexporteurs an Dritte weiter. Die Daten dürfen zudem nur an Dritte weitergegeben werden, die außerhalb der Europäischen Union (in demselben Land wie der Datenimporteur oder in einem anderen Drittland) ansässig sind (im Folgenden „Weiterübermittlung“), sofern der Dritte im Rahmen des betreffenden Moduls an diese Klauseln gebunden ist oder sich mit der Bindung daran einverstanden erklärt oder falls
(i) die Weiterübermittlung an ein Land erfolgt, für das ein Angemessenheitsbeschluss nach Artikel 45 der Verordnung (EU) 2016/679 gilt, der die Weiterübermittlung abdeckt,
(ii) der Dritte auf andere Weise geeignete Garantien gemäß Artikel 46 oder Artikel 47 der Verordnung (EU) 2016/679 im Hinblick auf die betreffende Verarbeitung gewährleistet,
(iii) die Weiterübermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit bestimmten Verwaltungs-, Gerichts- oder regulatorischen Verfahren erforderlich ist oder
(iv) die Weiterübermittlung erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
Jede Weiterübermittlung erfolgt unter der Bedingung, dass der Datenimporteur alle anderen Garantien gemäß diesen Klauseln, insbesondere die Zweckbindung, einhält.

8.9 Dokumentation und Einhaltung der Klauseln
(a) Der Datenimporteur bearbeitet Anfragen des Datenexporteurs, die sich auf die Verarbeitung gemäß diesen Klauseln beziehen, umgehend und in angemessener Weise.
(b) Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können. Insbesondere führt der Datenimporteur geeignete Aufzeichnungen über die im Auftrag des Datenexporteurs durchgeführten Verarbeitungstätigkeiten.
(c) Der Datenimporteur stellt dem Datenexporteur alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in diesen Klauseln festgelegten Pflichten nachzuweisen; auf Verlangen des Datenexporteurs ermöglicht er diesem, die unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung zu prüfen, und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Datenexporteur einschlägige Zertifizierungen des Datenimporteurs berücksichtigen.
(d) Der Datenexporteur kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Datenimporteurs umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.
(e) Die Parteien stellen der zuständigen Aufsichtsbehörde die unter den Buchstaben b und c genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.

MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter

8.1. Weisungen
a) Der Datenexporteur hat dem Datenimporteur mitgeteilt, dass er als Auftragsverarbeiter nach den Weisungen seines/seiner Verantwortlichen handelt, diese Weisungen stellt der der Datenexporteur dem Datenimporteur vor der Verarbeitung zur Verfügung.
b) Der Datenimporteur verarbeitet die personenbezogenen Daten nur auf der Grundlage dokumentierter Weisungen des Verantwortlichen, die dem Datenimporteur vom Datenexporteur mitgeteilt wurden, sowie auf der Grundlage aller zusätzlichen dokumentierten Weisungen des Datenexporteurs. Diese zusätzlichen Weisungen dürfen nicht im Widerspruch zu den Weisungen des Verantwortlichen stehen. Der Verantwortliche oder der Datenexporteur kann während der gesamten Vertragslaufzeit weitere dokumentierte Weisungen im Hinblick auf die Datenverarbeitung erteilen.
c) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er diese Weisungen nicht befolgen kann. Ist der Datenimporteur nicht in der Lage, die Weisungen des Verantwortlichen zu befolgen, setzt der Datenexporteur den Verantwortlichen unverzüglich davon in Kenntnis.
d) Der Datenexporteur sichert zu, dass er dem Datenimporteur dieselben Datenschutzpflichten auferlegt hat, die im Vertrag oder in einem anderen Rechtsinstrument nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats zwischen dem Verantwortlichen und dem Datenexporteur festgelegt sind.
8.2. Zweckbindung
Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den/die in Anhang I.B genannten spezifischen Übermittlungszweck(e), sofern keine weiteren Weisungen seitens des Verantwortlichen, die dem Datenimporteur vom Datenexporteur mitgeteilt wurden, oder seitens des Datenexporteurs, bestehen.
8.3. Transparenz
Auf Anfrage stellt der Datenexporteur der betroffenen Person eine Kopie dieser Klauseln, einschließlich der von den Parteien ausgefüllten Anlage, unentgeltlich zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, notwendig ist, kann der Datenexporteur Teile der Anlage vor der Weitergabe einer Kopie unkenntlich machen; er legt jedoch eine aussagekräftige Zusammenfassung vor, wenn die betroffene Person andernfalls den Inhalt der Anlage nicht verstehen würde oder ihre Rechte nicht ausüben könnte. Auf Anfrage teilen die Parteien der betroffenen Person die Gründe für die Schwärzungen so weit wie möglich mit, ohne die geschwärzten Informationen offenzulegen.
8.4. Richtigkeit
Stellt der Datenimporteur fest, dass die erhaltenen personenbezogenen Daten unrichtig oder veraltet sind, unterrichtet er unverzüglich den Datenexporteur. In diesem Fall arbeitet der Datenimporteur mit dem Datenexporteur zusammen, um die Daten zu berichtigen oder zu löschen.

8.5. Dauer der Verarbeitung und Löschung oder Rückgabe der Daten
Die Daten werden vom Datenimporteur nur für die in Anhang I.B angegebene Dauer verarbeitet. Nach Wahl des Datenexporteurs löscht der Datenimporteur nach Beendigung der Datenverarbeitungsdienste alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten und bescheinigt dem Datenexporteur, dass dies erfolgt ist, oder gibt dem Datenexporteur alle in seinem Auftrag verarbeiteten personenbezogenen Daten zurück und löscht bestehende Kopien. Bis zur Löschung oder Rückgabe der Daten stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Falls für den Datenimporteur lokale Rechtsvorschriften gelten, die ihm die Rückgabe oder Löschung der personenbezogenen Daten untersagen, sichert der Datenimporteur zu, dass er die Einhaltung dieser Klauseln auch weiterhin gewährleistet und diese Daten nur in dem Umfang und so lange verarbeitet, wie dies gemäß den betreffenden lokalen Rechtsvorschriften erforderlich ist. Dies gilt unbeschadet von Klausel 14, insbesondere der Pflicht des Datenimporteurs gemäß Klausel 14 Buchstabe e, den Datenexporteur während der Vertragslaufzeit zu benachrichtigen, wenn er Grund zu der Annahme hat, dass für ihn Rechtsvorschriften oder Gepflogenheiten gelten oder gelten werden, die nicht mit den Anforderungen in Klausel 14 Buchstabe a im Einklang stehen.

8.6. Sicherheit der Verarbeitung
a) Der Datenimporteur und, während der Datenübermittlung, auch der Datenexporteur treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu diesen Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen sie dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und dem/den Zweck(en) der Verarbeitung sowie den mit der Verarbeitung verbundenen Risiken für die betroffene Person gebührend Rechnung. Die Parteien ziehen insbesondere eine Verschlüsselung oder Pseudonymisierung, auch während der Datenübermittlung, in Betracht, wenn dadurch der Verarbeitungszweck erfüllt werden kann. Im Falle einer Pseudonymisierung verbleiben die zusätzlichen Informationen, mit denen die personenbezogenen Daten einer speziellen betroffenen Person zugeordnet werden können, soweit möglich, unter der ausschließlichen Kontrolle des Datenexporteurs oder des Verantwortlichen. Zur Erfüllung seinen Pflichten gemäß diesem Absatz setzt der Datenimporteur mindestens die in Anhang II aufgeführten technischen und organisatorischen Maßnahmen um. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Schutzniveau bieten.
b) Der Datenimporteur gewährt seinem Personal nur insoweit Zugang zu den Daten, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Er gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
c) Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Datenimporteur gemäß diesen Klauseln ergreift der Datenimporteur geeignete Maßnahmen zur Behebung der Verletzung, darunter auch Maßnahmen zur Abmilderung ihrer nachteiligen Auswirkungen. Außerdem meldet der Datenimporteur die Verletzung dem Datenexporteur und, sofern angemessen und machbar, dem Verantwortlichen unverzüglich, nachdem ihm die Verletzung bekannt wurde. Diese Meldung beinhaltet die Kontaktdaten einer Anlaufstelle für weitere Informationen, eine Beschreibung der Art der Verletzung (soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen personenbezogenen Datensätze), die wahrscheinlichen Folgen der Verletzung und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes der Daten, einschließlich Maßnahmen zur Abmilderung etwaiger nachteiliger Auswirkungen. Wenn und soweit nicht alle Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen.Weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt.
d) Unter Berücksichtigung der Art der Verarbeitung und der dem Datenimporteur zur Verfügung stehenden Informationen, arbeitet der Datenimporteur mit dem Datenexporteur zusammen und unterstützt ihn dabei, seinen Pflichten gemäß der Verordnung (EU) 2016/679 nachzukommen, insbesondere den Verantwortlichen zu unterrichten, damit dieser wiederum die zuständige Aufsichtsbehörde und die betroffenen Personen benachrichtigen kann.

8.7. Sensible Daten
Soweit die Übermittlung personenbezogene Daten umfasst, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten“), wendet der Datenimporteur die in Anhang I.B angegebenen speziellen Beschränkungen und/oder zusätzlichen Garantien an.

8.8. Weiterübermittlungen
Der Datenimporteur gibt die personenbezogenen Daten nur auf der Grundlage dokumentierter Weisungen des Verantwortlichen, die dem Datenimporteur vom Datenexporteur mitgeteilt wurden, an Dritte weiter. Die Daten dürfen zudem nur an Dritte weitergegeben werden, die (in demselben Land wie der Datenimporteur oder in einem anderen Drittland) außerhalb der Europäischen Union ansässig sind (im Folgenden „Weiterübermittlung“), sofern der Dritte im Rahmen des betreffenden Moduls an diese Klauseln gebunden ist oder sich mit der Bindung daran einverstanden erklärt oder falls
(i) die Weiterübermittlung an ein Land erfolgt, für das ein Angemessenheitsbeschluss nach Artikel 45 der Verordnung (EU) 2016/679 gilt, der die Weiterübermittlung abdeckt,
(ii) der Dritte auf andere Weise geeignete Garantien gemäß Artikel 46 oder Artikel 47 der Verordnung (EU) 2016/679 gewährleistet,
(iii) die Weiterübermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit bestimmten Verwaltungs-, Gerichts- oder regulatorischen Verfahren erforderlich ist oder
(iv) die Weiterübermittlung erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
Jede Weiterübermittlung erfolgt unter der Bedingung, dass der Datenimporteur alle anderen Garantien gemäß diesen Klauseln, insbesondere die Zweckbindung, einhält.

8.9. Dokumentation und Einhaltung der Klauseln
a) Der Datenimporteur bearbeitet Anfragen des Datenexporteurs oder des Verantwortlichen, die sich auf die Verarbeitung gemäß diesen Klauseln beziehen, umgehend und in angemessener Weise.
b) Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können. Insbesondere führt der Datenimporteur geeignete Aufzeichnungen über die im Auftrag des Verantwortlichen durchgeführten Verarbeitungstätigkeiten.
c) Der Datenimporteur stellt dem Datenexporteur alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten Pflichten erforderlich sind, und der Datenexporteur stellt diese Informationen wiederum dem Verantwortlichen bereit.
d) Der Datenimporteur ermöglicht dem Datenexporteur die Prüfung der unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung und trägt zu einer solchen Prüfung bei. Gleiches gilt, wenn der Datenexporteur eine Prüfung auf Weisung des Verantwortlichen beantragt. Bei der Entscheidung über eine Prüfung kann der Datenexporteur einschlägige Zertifizierungen des Datenimporteurs berücksichtigen.
e) Wird die Prüfung auf Weisung des Verantwortlichen durchgeführt, stellt der Datenexporteur die Ergebnisse dem Verantwortlichen zur Verfügung.
f) Der Datenexporteur kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Datenimporteurs umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.
g) Die Parteien stellen der zuständigen Aufsichtsbehörde die unter den Buchstaben b und c genannten Informationen, einschließlich der Ergebnisse der Prüfungen, auf deren Anfrage zur Verfügung.

Klausel 9

Einsatz von Unterauftragsverarbeitern

MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter

(a) Der Datenimporteur besitzt die Genehmigung des Datenexporteurs für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Der Datenimporteur unterrichtet den Datenexporteur mindestens dreißig (30) Tage im Voraus ausdrücklich in schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern und räumt dem Datenexporteur damit ausreichend Zeit ein, um vor der Beauftragung des/der Unterauftragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können. Der Datenimporteur stellt dem Datenexporteur die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann.
(b) Beauftragt der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Datenexporteurs), so muss diese Beauftragung im Wege eines schriftlichen Vertrags erfolgen, der im Wesentlichen dieselben Datenschutzpflichten vorsieht wie diejenigen, die den Datenimporteur gemäß dieser Klauseln binden, einschließlich im Hinblick auf Rechte als Drittbegünstigte für betroffene Personen. Die Parteien erklären sich damit einverstanden, dass der Datenimporteur durch Einhaltung der vorliegenden Klausel seinen Pflichten gemäß Klausel 8.8 nachkommt. Der Datenimporteur stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Datenimporteur gemäß diesen Klauseln unterliegt.
(c) Der Datenimporteur stellt dem Datenexporteur auf dessen Verlangen eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, notwendig ist, kann der Datenimporteur den Wortlaut der Vereinbarung vor der Weitergabe einer solchen Kopie unkenntlich machen.
(d) Der Datenimporteur haftet gegenüber dem Datenexporteur in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Datenimporteur geschlossenen Vertrag nachkommt. Der Datenimporteur benachrichtigt den Datenexporteur, wenn der Unterauftragsverarbeiter seinen Pflichten gemäß diesem Vertrag nicht nachkommt.
(e) Der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Datenexporteur — sollte der Datenimporteur faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sein — das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter

(a) Der Datenimporteur besitzt die allgemeine Genehmigung des Verantwortlichen für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Der Datenimporteur unterrichtet den Verantwortlichen mindestens fünfzehn (15) Tage im Voraus ausdrücklich in schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern und räumt dem Verantwortlichen damit ausreichend Zeit ein, um vor der Beauftragung des/der Unterauftragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können. Der Datenimporteur stellt dem Verantwortlichen die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann. Der Datenimporteur unterrichtet den Datenexporteur über die Beauftragung des/der Unterauftragsverarbeiter/s.
(b) Beauftragt der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen), so muss diese Beauftragung im Wege eines schriftlichen Vertrags erfolgen, der im Wesentlichen dieselben Datenschutzpflichten vorsieht wie diejenigen, die den Datenimporteur gemäß diesen Klauseln binden, einschließlich im Hinblick auf Rechte als Drittbegünstigte für betroffene Personen. Die Parteien erklären sich damit einverstanden, dass der Datenimporteur durch Einhaltung der vorliegenden Klausel seinen Pflichten gemäß Klausel 8.8 nachkommt. Der Datenimporteur stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Datenimporteur gemäß diesen Klauseln
unterliegt.
(c) Auf Verlangen des Datenexporteurs oder des Verantwortlichen stellt der Datenimporteur eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten notwendig ist, kann der Datenimporteur den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.
(d) Der Datenimporteur haftet gegenüber dem Datenexporteur in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Datenimporteur geschlossenen Vertrag nachkommt. Der Datenimporteur benachrichtigt den Datenexporteur, wenn der Unterauftragsverarbeiter seinen Pflichten gemäß diesem Vertrag nicht nachkommt.
(e) Der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Datenexporteur — sollte der Datenimporteur faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sein — das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

Klausel 10

Rechte der betroffenen Person

MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter

(a) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich über jede Anfrage, die er von einer betroffenen Person erhalten hat. Er beantwortet diese Anfrage nicht selbst, es sei denn, er wurde vom Datenexporteur dazu ermächtigt.
(b) Der Datenimporteur unterstützt den Datenexporteur bei der Erfüllung von dessen Pflicht, Anfragen betroffener Personen bezüglich der Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679 zu beantworten. Zu diesem Zweck legen die Parteien in Anhang II unter Berücksichtigung der Art der Verarbeitung die geeigneten technischen und organisatorischen Maßnahmen, durch die Unterstützung geleistet wird, sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest.
(c) Bei der Erfüllung seiner Pflichten gemäß den Buchstaben a und b befolgt der Datenimporteur die Weisungen des Datenexporteurs.

MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter

(a) Der Datenimporteur unterrichtet den Datenexporteur und gegebenenfalls den Verantwortlichen unverzüglich über jede Anfrage, die er von einer betroffenen Person erhält; er beantwortet diese Anfrageerst dann, wenn er vom Verantwortlichen dazu ermächtigt wurde.
(b) Der Datenimporteur unterstützt den Verantwortlichen, gegebenenfalls in Zusammenarbeit mit dem Datenexporteur, bei der Erfüllung von dessen Pflicht, Anfragen betroffener Personen bezüglich der Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 zu beantworten. Zu diesem Zweck legen die Parteien in Anhang II unter Berücksichtigung der Art der Verarbeitung die geeigneten technischen und organisatorischen Maßnahmen, durch die Unterstützung geleistet wird, sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest.
(c) Bei der Erfüllung seiner Pflichten gemäß den Buchstaben a und b befolgt der Datenimporteur die Weisungen des Verantwortlichen, die ihm vom Datenexporteur übermittelt wurden.

Klausel 11

Rechtsbehelf

a) Der Datenimporteur informiert die betroffenen Personen in transparenter und leicht zugänglicher Form mittels individueller Benachrichtigung oder auf seiner Website über eine Anlaufstelle, die befugt ist, Beschwerden zu bearbeiten. Er bearbeitet umgehend alle Beschwerden, die er von einer betroffenen Person erhält.

MODUL ZWEI und MODUL DREI: Übermittlung von Verantwortlichen an Auftragsverarbeiter

b) Im Falle einer Streitigkeit zwischen einer betroffenen Person und einer der Parteien, bezüglich der Einhaltung dieser Klauseln, bemüht sich die betreffende Partei nach besten Bestreben um eine zügige gütliche Beilegung. Die Parteien halten einander über derartige Streitigkeiten auf dem Laufenden und bemühen sich gegebenenfalls gemeinsam um deren Beilegung.
(c) Macht die betroffene Person ein Recht als Drittbegünstigte gemäß Klausel 3 geltend, erkennt der Datenimporteur die Entscheidung der betroffenen Person an,
(i) eine Beschwerde bei der Aufsichtsbehörde des Mitgliedstaats ihres gewöhnlichen Aufenthaltsorts oder ihres Arbeitsorts oder bei der zuständigen Aufsichtsbehörde gemäß Klausel 13 einzureichen,
(ii) den Streitfall an die zuständigen Gerichte im Sinne der Klausel 18 zu verweisen.
(d) Die Parteien erkennen an, dass die betroffene Person von einer Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht gemäß Artikel 80 Absatz 1 der Verordnung (EU) 2016/679 vertreten werden kann.
(e) Der Datenimporteur unterwirft sich einem nach geltendem Unionsrecht oder dem geltenden Recht eines Mitgliedstaats verbindlichen Beschluss.
(f) Der Datenimporteur erklärt sich damit einverstanden, dass die Entscheidung der betroffenen Person nicht ihre materiellen Rechte oder Verfahrensrechte beeinträchtigt, Rechtsbehelfe im Einklang mit geltenden Rechtsvorschriften einzulegen.

Klausel 12

Haftung

(a) Jede Partei haftet gegenüber der/den anderen Partei(en) für Schäden, die sie der/den anderen Partei(en) durch einen Verstoß gegen diese Klauseln verursacht.
(b) Der Datenimporteur haftet gegenüber der betroffenen Person, und die betroffene Person hat Anspruch auf Schadenersatz für jeden materiellen oder immateriellen Schaden, den der Datenimporteur oder sein Unterauftragsverarbeiter der betroffenen Person verursacht, indem er deren Rechte als Drittbegünstigte gemäß diesen Klauseln verletzt.
(c) Ungeachtet von Buchstabe b haftet der Datenimporteur gegenüber der betroffenen Person.Die betroffene Person hat Anspruch auf Schadenersatz für jeden materiellen oder immateriellen Schaden, den der Datenexporteur oder der Datenimporteur (oder dessen Unterauftragsverarbeiter) der betroffenen Person verursacht, indem er deren Rechte als Drittbegünstigte gemäß diesen Klauseln verletzt. Dies gilt unbeschadet der Haftung des Datenexporteurs und, sofern der Datenexporteur ein im Auftrag eines Verantwortlichen handelnder Auftragsverarbeiter ist, unbeschadet der Haftung des Verantwortlichen gemäß der Verordnung (EU) 2016/679 oder gegebenenfalls der Verordnung (EU) 2018/1725.
(d) Die Parteien erklären sich damit einverstanden, dass der Datenexporteur, der nach Buchstabe c für die durch den Datenimporteur (oder dessen Unterauftragsverarbeiter) verursachte Schäden haftet, berechtigt ist, vom Datenimporteur den Teil des Schadenersatzes zurückzufordern, der der Verantwortung des Datenimporteurs für den Schaden entspricht.
(e) Ist mehr als eine Partei für Schäden verantwortlich, die der betroffenen Person infolge eines Verstoßes gegen diese Klauseln entstanden sind, so haften alle verantwortlichen Parteien gesamtschuldnerisch, und die betroffene Person ist berechtigt, gegen jede der Parteien gerichtlich vorzugehen.
(f) Die Parteien erklären sich damit einverstanden, dass eine Partei, die nach Buchstabe e haftbar gemacht wird, berechtigt ist, von der/den anderen Partei(en) den Teil des Schadenersatzes zurückzufordern, der deren Verantwortung für den Schaden entspricht.
(g) Der Datenimporteur kann sich nicht auf das Verhalten eines Unterauftragsverarbeiters berufen, um sich seiner eigenen Haftung entziehen.

Klausel 13

Aufsicht

(a) [Wenn der Datenexporteur in einem EU-Mitgliedstaat niedergelassen ist:] Die Aufsichtsbehörde, die dafür verantwortlich ist, sicherzustellen, dass der Datenexporteur bei Datenübermittlungen die Verordnung (EU) 2016/679 einhält, fungiert als zuständige Aufsichtsbehörde (entsprechend der Angabe in Anhang I.C).
[Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen ist, aber nach Artikel 3 Absatz 2 der Verordnung (EU) 2016/679 in den räumlichen Anwendungsbereich dieser Verordnung fällt und einen Vertreter gemäß Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 benannt hat:] Die Aufsichtsbehörde des Mitgliedstaats, in dem der Vertreter nach Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 niedergelassen ist, fungiert als zuständige Aufsichtsbehörde (entsprechend der Angabe in Anhang I.C).
[Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen ist, aber nach Artikel 3 Absatz 2 der Verordnung (EU) 2016/679 in den räumlichen Anwendungsbereich dieser Verordnung fällt, ohne jedoch einen Vertreter gemäß Artikel 27 Absatz 2 der Verordnung (EU) 2016/679 benennen zu müssen:] Die Aufsichtsbehörde eines der Mitgliedstaaten, in denen die betroffenen Personen niedergelassen sind, deren personenbezogene Daten gemäß diesen Klauseln im Zusammenhang mit den ihnen angebotenen Waren oder Dienstleistungen übermittelt werden oder deren Verhalten beobachtet wird, fungiert als zuständige Aufsichtsbehörde (entsprechend der Angabe in Anhang I.C).
(b) Der Datenimporteur erklärt sich damit einverstanden, sich der Zuständigkeit der zuständigen Aufsichtsbehörde zu unterwerfen und bei allen Verfahren, mit denen die Einhaltung dieser Klauseln sichergestellt werden soll, mit ihr zusammenzuarbeiten. Insbesondere erklärt sich der Datenimporteur damit einverstanden, Anfragen zu beantworten, sich Prüfungen zu unterziehen und den von der Aufsichtsbehörde getroffenen Maßnahmen, darunter auch Abhilfemaßnahmen und Ausgleichsmaßnahmen, nachzukommen. Er bestätigt der Aufsichtsbehörde in schriftlicher Form, dass die erforderlichen Maßnahmen ergriffen wurden.

ABSCHNITT III

LOKALE RECHTSVORSCHRIFTEN UND PFLICHTEN IM FALLE DES ZUGANGS VON BEHÖRDEN ZU DEN DATEN

Klausel 14

Lokale Rechtsvorschriften und Gepflogenheiten, die sich auf die Einhaltung der Klauseln auswirken:

(a) Die Parteien sichern zu, keinen Grund zu der Annahme zu haben, dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland, einschließlich Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, welche den öffentlichen Behörden den Zugang zu diesen Daten gestatten, den Datenimporteur an der Erfüllung seiner Pflichten gemäß diesen Klauseln hindern. Dies basiert auf dem Verständnis, dass die Rechtsvorschriften und Gepflogenheiten,welche den Wesensgehalt der Grundrechte und Grundfreiheiten achten und nicht über Maßnahmen hinausgehen, die in einer demokratischen Gesellschaft notwendig und verhältnismäßig sind, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele sicherzustellennicht im Widerspruch zu diesen Klauseln stehen.
(b) Die Parteien erklären, dass sie hinsichtlich der Zusicherung in Buchstabe a insbesondere die folgenden Aspekte gebührend berücksichtigt haben:
(i) die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle, beabsichtigte Datenweiterleitungen, die Art des Empfängers, den Zweck der Verarbeitung, die Kategorien und das Format der übermittelten personenbezogenen Daten, den Wirtschaftszweig, in dem die Übertragung erfolgt, den Speicherort der übermittelten Daten,
(ii) die angesichts der besonderen Umstände der Übermittlung relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes (einschließlich solcher, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang von Behörden zu diesen Daten gestatten) sowie die geltenden Beschränkungen und Garantien,
(iii) alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß diesen Klauseln eingerichtet wurden, einschließlich Maßnahmen, die während der Übermittlung und bei der Verarbeitung personenbezogener Daten im Bestimmungsland angewandt werden.
(c) Der Datenimporteur versichert, dass er sich im Rahmen der Beurteilung nach Buchstabe b nach bestem Wissen und Gewissenbemüht hat, dem Datenexporteur sachdienliche Informationen zur Verfügung zu stellen, und erklärt sich damit einverstanden, dass er mit dem Datenexporteur weiterhin zusammenarbeiten wird, um die Einhaltung dieser Klauseln zu gewährleisten.
(d) Die Parteien erklären sich damit einverstanden, die Beurteilung nach Buchstabe b zu dokumentieren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
(e) Der Datenimporteur erklärt sich damit einverstanden, während der Laufzeit des Vertrags den Datenexporteur unverzüglich zu benachrichtigen, wenn er nach Zustimmung zu diesen Klauseln Grund zu der Annahme hat, dass für ihn Rechtsvorschriften oder Gepflogenheiten gelten, die nicht mit den Anforderungen in Buchstabe a im Einklang stehen; hierunter fällt auch eine Änderung der Rechtsvorschriften des Drittlandes oder eine Maßnahme (z. B. ein Offenlegungsersuchen), die sich auf eine nicht mit den Anforderungen in Buchstabe a im Einklang stehende Anwendung dieser Rechtsvorschriften in der Praxis bezieht. [In Bezug auf Modul drei: Der Datenexporteur leitet die Benachrichtigung an den Verantwortlichen weiter.]
(f) Nach einer Benachrichtigung gemäß Buchstabe e oder wenn der Datenexporteur anderweitig Grund zu der Annahme hat, dass der Datenimporteur seinen Pflichten gemäß diesen Klauseln nicht mehr nachkommen kann, ermittelt der Datenexporteur unverzüglich geeignete Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit), die der Datenexporteur und/oder der Datenimporteur ergreifen müssen, um Abhilfe zu schaffen [in Bezug auf Modul drei: gegebenenfalls in Absprache mit dem Verantwortlichen]. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Auffassung ist, dass keine geeigneten Garantien für eine derartige Übermittlung gewährleistet werden können, oder wenn er [in Bezug Modul drei: vom Verantwortlichen oder] von der dafür zuständigen Aufsichtsbehörde dazu angewiesen wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit es um die Verarbeitung personenbezogener Daten gemäß diesen Klauseln geht. Sind mehr als zwei Parteien an dem Vertrag beteiligt, so kann der Datenexporteur von diesem Kündigungsrecht nur gegenüber der verantwortlichen Partei Gebrauch machen, sofern die Parteien nichts anderes vereinbart haben. Wird der Vertrag gemäß dieser Klausel gekündigt, finden Klausel 16 Buchstaben
d und e Anwendung.

Klausel 15

Pflichten des Datenimporteurs im Falle des Zugangs von Behörden zu den Daten

15.1 Benachrichtigung
(a) Der Datenimporteur erklärt sich damit einverstanden den Datenexporteur und, soweit möglich, die betroffene Person (gegebenenfalls mit Unterstützung des Datenexporteurs) unverzüglich zu benachrichtigen,
(i) wenn er von einer Behörde, einschließlich Justizbehörden, ein nach den Rechtsvorschriften des Bestimmungslandes rechtlich bindendes Ersuchen um Offenlegung personenbezogener Daten erhält, die gemäß diesen Klauseln übermittelt werden (diese Benachrichtigung muss Informationen über die angeforderten personenbezogenen Daten, die ersuchende Behörde, die Rechtsgrundlage des Ersuchens und die mitgeteilte Antwort enthalten), oder
(ii) wenn er Kenntnis davon erlangt, dass eine Behörde nach den Rechtsvorschriften des Bestimmungslandes direkten Zugang zu personenbezogenen Daten hat, die gemäß diesen Klauseln übermittelt wurden; diese Benachrichtigung muss alle dem Datenimporteur verfügbaren Informationen enthalten.
[In Bezug auf Modul drei: Der Datenexporteur leitet die Benachrichtigung an den Verantwortlichen weiter.]

(b) Ist es dem Datenimporteur gemäß den Rechtsvorschriften des Bestimmungslandes untersagt, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, so erklärt sich der Datenimporteur einverstanden, sich nach bestem Wissen und Gewissenum eine Aufhebung des Verbots zu bemühen, damit möglichst viele Informationen schellstmöglich mitgeteilt werden können. Der Datenimporteur verpflichtet sich, seine Anstrengungen zu dokumentieren, um diese auf Verlangen des Datenexporteurs nachweisen zu können.

(c) Soweit dies nach den Rechtsvorschriften des Bestimmungslandes zulässig ist, erklärt sich der Datenimporteur bereit, dem Datenexporteur während der Vertragslaufzeit in regelmäßigen Abständen möglichst viele sachdienliche Informationen über die eingegangenen Ersuchen zur Verfügung zu stellen (insbesondere Anzahl der Ersuchen, Art der angeforderten Daten, ersuchende Behörde(n), ob Ersuchen angefochten wurden und das Ergebnis solcher Anfechtungen usw.).[In Bezug auf Modul drei: Der Datenexporteur leitet die Informationen an den Verantwortlichen weiter.]

(d) Der Datenimporteur erklärt sich damit einverstanden, die Informationen gemäß den Buchstaben a bis c während der Vertragslaufzeit aufzubewahren und der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

(e) Die Buchstaben a bis c gelten unbeschadet der Pflicht des Datenimporteurs gemäß Klausel 14 Buchstabe e und Klausel 16, den Datenexporteur unverzüglich zu informieren, wenn er diese Klauseln nicht einhalten kann. 

15.2 Überprüfung der Rechtmäßigkeit und Datenminimierung
(a) Der Datenimporteur erklärt sich damit einverstanden, die Rechtmäßigkeit des Offenlegungsersuchens zu überprüfen, insbesondere ob das Ersuchen im Rahmen der Befugnisse liegt, die der ersuchenden Behörde übertragen wurden, und das Ersuchen anzufechten, wenn er nach sorgfältiger Beurteilung zu dem Schluss kommt, dass hinreichende Gründe zu der Annahme bestehen, dass das Ersuchen nach den Rechtsvorschriften des Bestimmungslandes, gemäß geltenden völkerrechtlichen Verpflichtungen und nach den Grundsätzen der Völkercourtoisie rechtswidrig ist. Unter den genannten Bedingungen sind vom Datenimporteur mögliche Rechtsmittel einzulegen. Bei der Anfechtung eines Ersuchens erwirkt der Datenimporteur einstweilige Maßnahmen, um die Wirkung des Ersuchens auszusetzen, bis die zuständige Justizbehörde über dessen Begründetheit entschieden hat. Er legt die angeforderten personenbezogenen Daten erst offen, wenn dies nach den geltenden Verfahrensregeln erforderlich ist. Diese Anforderungen gelten unbeschadet der Pflichten des Datenimporteurs gemäß Klausel 14 Buchstabe e.
(b) Der Datenimporteur erklärt sich damit einverstanden, seine rechtliche Beurteilung und eine etwaige Anfechtung des Offenlegungsersuchens zu dokumentieren und diese Unterlagen dem Datenexporteur zur Verfügung zu stellen, soweit dies nach den Rechtsvorschriften des Bestimmungslandes zulässig ist. Auf Anfrage stellt er diese Unterlagen auch der zuständigen Aufsichtsbehörde zur Verfügung.
(c) Der Datenimporteur erklärt sich damit einverstanden, bei der Beantwortung eines Offenlegungsersuchens auf der Grundlage einer vernünftigen Auslegung des Ersuchens, die zulässige Mindestmenge an Informationen bereitzustellen.

ABSCHNITT IV

SCHLUSSBESTIMMUNGEN

Klausel 16

Verstöße gegen die Klauseln und Beendigung des Vertrages

(a) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er – aus welchen Gründen auch immer – nicht in der Lage ist, diese Klauseln einzuhalten.
(b) Verstößt der Datenimporteur gegen diese Klauseln oder kann er diese Klauseln nicht einhalten, setzt der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aus, bis der Verstoß beseitigt oder der Vertrag beendet ist. Dies gilt unbeschadet von Klausel 14 Buchstabe f.
(c) Der Datenexporteur ist berechtigt, den Vertrag zu kündigen, sofern die Verarbeitung personenbezogener Daten gemäß diesen Klauseln tangiert wird, wenn
(i) der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Buchstabe b ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb einer einmonatigen Aussetzung, wiederhergestellt wurde,
(ii) der Datenimporteur in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstößt oder
(iii) der Datenimporteur einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer zuständigen Aufsichtsbehörde, die seine Pflichten gemäß diesen Klauseln zum Gegenstand hat, nicht nachkommt.
In diesen Fällen unterrichtet der Datenexporteur die zuständige Aufsichtsbehörde [in Bezug auf Modul drei: und den Verantwortlichen] über derartige Verstöße. Sind mehr als zwei Parteien an dem Vertrag beteiligt, so kann der Datenexporteur von diesem Kündigungsrecht nur gegenüber der verantwortlichen Partei Gebrauch machen, sofern die Parteien nichts anderes vereinbart haben.
(d) Personenbezogene Daten, die vor Beendigung des Vertrags gemäß Buchstabe c übermittelt wurden, müssen nach Wahl des Datenexporteurs unverzüglich an diesen zurückgegeben oder vollständig gelöscht werden. Dies gilt gleichermaßen für alle Kopien der Daten. Der Datenimporteur bescheinigt dem Datenexporteur die Löschung. Bis zur Löschung oder Rückgabe der Daten stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Falls für den Datenimporteur lokale Rechtsvorschriften gelten, die ihm die Rückgabe oder Löschung der übermittelten personenbezogenen Daten untersagen, sichert der Datenimporteur zu, dass er die Einhaltung dieser Klauseln auch weiterhin gewährleistet und diese Daten nur in dem Umfang und so lange verarbeitet, wie dies gemäß den betreffenden lokalen Rechtsvorschriften erforderlich ist.
(e) Jede Partei kann ihre Zustimmung durch diese Klauseln gebunden zu sein widerrufen, wenn (i) die Europäische Kommission einen Beschluss nach Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 erlässt, der sich auf die Übermittlung personenbezogener Daten bezieht, für die diese Klauseln gelten, oder (ii) die Verordnung (EU) 2016/679 Teil der Rechtsordnungdes Landes wird, an das die personenbezogenen Daten übermittelt werden. Dies gilt unbeschadet anderer Verpflichtungen, die für die betreffende Verarbeitung gemäß der Verordnung (EU) 2016/679 gelten.

Klausel 17

Anwendbares Recht

Diese Klauseln unterliegen dem Recht des EU-Mitgliedstaats, in dem der Datenexporteur niedergelassen ist. Wenn dieses Recht keine Rechte als Drittbegünstigte zulässt, unterliegen diese Klauseln dem Recht eines anderen EU-Mitgliedstaats, das Rechte als Drittbegünstigte zulässt. Die Parteien vereinbaren, dass dies das Recht von Irland ist.

Klausel 18

Gerichtsstand und Zuständigkeit

a) Streitigkeiten, die sich aus diesen Klauseln ergeben, sollen von den Gerichten eines EU-Mitgliedstaats beigelegt werden.
(b) Die Parteien vereinbaren, dass dies die Gerichte von Irland sind.
(c) Eine betroffene Person kann Klage gegen den Datenexporteur und/oder den Datenimporteur auch vor den Gerichten des Mitgliedstaats erheben, in dem sie ihren gewöhnlichen Aufenthaltsort hat.
(d) Die Parteien erklären sich damit einverstanden sich der Zuständigkeit dieser Gerichte zu unterwerfen.

ANHANG I

A. LISTE DER PARTEIEN

Datenexporteur(e): [Name und Kontaktdaten des Datenexporteurs/der Datenexporteure und gegebenenfalls seines/ihres Datenschutzbeauftragten und/oder Vertreters in der Europäischen Union]

Datenexporteur
Name Kunde wie in dem Vertrag angegeben.
Adresse Wie im Vertrag angegeben
Name, Funktion und Kontaktdaten der Kontaktperson Wie im Vertrag angegeben
Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten von Belang sind: Erhalt der Dienste unter dem Vertrag
Unterschrift und Datum Durch den Abschluss des Vertrages gelten die hierin einbezogenen Standardvertragsklauseln, zum Zeitpunkt des Inkrafttretens des Vertrages als vom Datenexporteur unterzeichnet.
Rolle (Verantwortlicher/Verarbeiter): Verantwortlicher

Datenimporteur(e): [Name und Kontaktdaten des Datenexporteurs/der Datenimporteure, einschließlich jeder für den Datenschutz zuständigen Kontaktperson]

Datenimporteur
Name Der im Vertrag angegebene Anbieter, Revalize, Inc. oder deren verbundenes Unternehmen, wie in dem Vertrag angegeben.
Adresse Wie im Vertrag angegeben
Name, Funktion und Kontaktdaten der Kontaktperson Kristen Shaheen, General Counsel & Chief Privacy Officer, Revalize, Inc, [email protected]
Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten von Belang sind Bereitstellung der Dienste unter dem Vertrag
Unterschrift und Datum Durch den Abschluss des Vertrages gelten die hierin einbezogenen Standardvertragsklauseln, zum Zeitpunkt des Inkrafttretens des Vertrages als vom Datenimporteur unterzeichnet.
Rolle (Verantwortlicher/Verarbeiter): Verarbeiter

B. BESCHREIBUNG DER ÜBERMITTLUNG

Kategorien betroffener Personen, deren personenbezogene Daten übermittelt werden Mitarbeiter, Klienten, Kunden und Lieferanten des Kunden. Mitarbeiter oder Auftragnehmer des Kunden, die sich an die technischen Support-Einrichtungen des Anbieters wenden.
Kategorien der übermittelten personenbezogenen Daten Mitarbeiterkategorien des Kunden: Name, Titel, Abteilung, ID-Nummer, Systemnutzung, E-Mail-Adresse, Berufsbezeichnung, Anmeldedaten und/oder Kontakttelefonnummer.
Endnutzer- oder Verbraucherkategorien des Kunden: Name, E-Mail-Adresse, Kontakttelefonnummer, Kontonummer. Weitere Kategorien Personenbezogener Daten können vom Kunden entweder als Teil einer Support-Anfrage oder durch die Nutzung von Hosted Subscription Services durch den Kunden bereitgestellt werden.
Übermittelte sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Garantien, die der Art der Daten und den verbundenen Risiken in vollem Umfang Rechnung tragen, z. B. strenge Zweckbindung, Zugangsbeschränkungen (einschließlich des Zugangs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnungen über den Zugang zu den Daten, Beschränkungen für Weiterübermittlungen oder zusätzliche Sicherheitsmaßnahmen Nicht anwendbar
Häufigkeit der Übermittlung (z. B. ob die Daten einmalig oder kontinuierlich übermittelt werden) Unterstützung und Professional Services: Personenbezogene Daten werden nur so lange verarbeitet, wie es für die Erbringung der jeweiligen Support- und/oder Professional Services erforderlich ist.
Abonnementdienste: Personenbezogene Daten werden für die Dauer der Dienste gespeichert und werden gelöscht oder an den Kunden zurückgegeben, wie in der Auftragsverarbeitungsvereinbarung festgelegt oder wie sie anderweitig vom Kunden während des Zugangszeitraums geändert oder gelöscht wurden.
Art der Verarbeitung Der Anbieter kann Personenbezogene Daten verarbeiten, soweit dies für die Erbringung der Dienste erforderlich ist, einschließlich gegebenenfalls für Hosting und Speicherung, Backup und Disaster Recovery, Service Change Management, Problemlösung, Anwendung neuer Produkt- oder Systemversionen, Patches, Updates und Upgrades, Überwachung und Test der Systemnutzung und -leistung, IT-Sicherheitszwecke einschließlich Incident Management, Wartung und Leistung von technischen Supportsystemen und IT-Infrastruktur sowie Migration, Implementierung, Konfiguration und Leistungstests.
Zweck(e) der Datenübermittlung und Weiterverarbeitung Der Anbieter kann in Übereinstimmung mit dem Supportplan des Anbieters Supportleistungen erbringen. Bei der Bereitstellung von Support kann der Anbieter vom Kunden aufgefordert werden, Personenbezogene Daten zu verarbeiten. Der Anbieter kann bei der Bereitstellung von Support auf Personenbezogene Daten zugreifen und/oder diese erhalten. Nicht in jedem Supportfall wird auf Personenbezogene Daten zugegriffen und/oder werden diese erhalten, da einige Fehler ohne einen solchen Zugriff analysiert und behoben werden können, wenn der Hintergrund des Fehlers bekannt ist. Je nach Problemstellung kann der Anbieter oder ein Drittanbieter Support leisten, wodurch es zu einer internationalen Übermittlung von Personenbezogenen Daten kommen kann.
Wenn der Kunde im Rahmen einer Bestellung vom Anbieter verlangt, Professional Services zu erbringen, um die Bereitstellung des Produkts während der Laufzeit zu unterstützen, kann der Anbieter vom Kunden aufgefordert werden, Personenbezogene Daten als Teil dieses Auftrags zu verarbeiten.
Der Kunde lädt Daten auf die gehosteten Abonnementdienste hoch, um die Funktionalität des Produkts zu maximieren. Einige der Daten, die in die gehosteten Abonnementdienste hochgeladen werden können, können Personenbezogene Daten enthalten. Der Anbieter speichert (entweder direkt oder mit Hilfe eines dritten Unterverarbeiters, wie unten angegeben) alle Daten, die im Namen des Kunden in die gehosteten Abonnementdienste hochgeladen werden, in Übereinstimmung mit den von den Parteien einvernehmlich unter dem Vertrag festgelegten Bedingungen für den Dienst.
Der Kunde bestimmt, wie und warum das Produkt zu seinem Vorteil genutzt werden soll, was die häufige oder seltene Nutzung Personenbezogener Daten einschließen kann. Der Kunde erkennt an, dass der Anbieter in Bezug auf diese Verarbeitungsvorgänge keine Kontrolle über die Übermittlung der Personenbezogenen Daten der Betroffenen Person hat und dass die Gestaltung der Daten, die an die gehosteten Abonnementdienste des Anbieters übermittelt werden sollen, jederzeit unter der Kontrolle des Kunden steht. Abgesehen von der Speicherung der Daten innerhalb der gehosteten Abonnementdienste (und der Bereitstellung von Support, falls zutreffend, wie oben beschrieben) ist der Anbieter nicht an den Verarbeitungsaktivitäten beteiligt, die mit dieser Nutzung des Produkts verbunden sind. Wenn der Kunde im Rahmen einer Bestellung vom Anbieter die Erbringung von Professional Services zur Unterstützung bei der Bereitstellung des Produkts oder der Application Managed Services während der Laufzeit verlangt, kann der Anbieter vom Kunden aufgefordert werden, die Personenbezogenen Daten für diese Zwecke zu verarbeiten.
Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer So lange wie nötig, um die Dienste zu erbringen.
Bei Datenübermittlungen an (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben Der Anbieter kann Personenbezogene Daten für die Zwecke der Erbringung der Dienste für den Zeitraum, der für die Erbringung erforderlich ist, an Unterauftragsverarbeiter weitergeben.

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

Angabe der zuständigen Aufsichtsbehörde(n) gemäß Klausel 13

Europäischer Wirtschaftsraum:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg
(https://www.baden-wuerttemberg.datenschutz.de)

Schweiz:
Der Eidgenössische Öffentlichkeits- und Datenschutzbeauftragte
(https://www.edoeb.admin.ch/edoeb/de/home.html)

Vereinigtes Königreich:
Das Büro des Informationsbeauftragten (ICO) https://ico.org.uk/

ANNEX II

TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH ZUR GEWÄHRLEISTUNG DER SICHERHEIT DER DATEN

TEIL 1 – TECHNISCHE MASSNAHMEN UM DIE SICHERHEIT DER VERARBEITUNG ZU GEWÄHRLEISTEN

Technische Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung Beschreibung
1. Inventarisierung und Kontrolle von Hardwareanlagen Aktive Verwaltung aller Hardwaregeräte im Netzwerk, damit nur autorisierte Geräte Zugang erhalten und nicht autorisierte und nicht verwaltete Geräte gefunden und am Zugang gehindert werden.
2. Inventarisierung und Kontrolle von Softwarebeständen Aktive Verwaltung der gesamten Software im Netz, so dass nur zugelassene Software installiert und ausgeführt werden kann und dass nicht zugelassene und nicht verwaltete Software gefunden und an der Installation oder Ausführung gehindert wird.
3. Kontinuierliches Schwachstellenmanagement Kontinuierliche Sammlung neuer Informationen, Bewertung und Ergreifung von Maßnahmen, um Schwachstellen zu erkennen, beheben und die Chancen für Angreifer zu minimieren.
4. Kontrollierte Nutzung von Verwaltungsprivilegien Pflege von Prozessen und Werkzeugen zur Verfolgung, Kontrolle, Verhinderung und Korrektur der Nutzung, Zuweisung und Konfiguration von administrativen Berechtigungen für Computer, Netzwerke, Anwendungen und Daten.
5. Sichere Konfiguration für Hardware und Software auf mobilen Geräten, Laptops, Workstations und Servern Implementierung und Verwaltung der Sicherheitskonfiguration von mobilen Geräten, Laptops, Servern und Workstations mithilfe eines Konfigurationsmanagement- und Änderungskontrollprozesses, um Angreifer daran zu hindern, anfällige Dienste und Einstellungen auszunutzen.
6. Pflege, Überwachung und Analyse von Audit-Protokollen Sammeln, Verwalten und Analysieren von Audit- und Sicherheitsprotokollen von Ereignissen, die zur Erkennung, zum Verständnis oder zur Wiederherstellung nach einem möglichen Angriff beitragen könnten.
7. Schutz von E-Mail und Webbrowser Einsatz von automatisierten Kontrollen, um die Angriffsfläche und die Möglichkeiten für Angreifer zu minimieren, menschliches Verhalten durch Interaktion mit Webbrowsern und E-Mail-Systemen oder -Inhalten zu manipulieren.
8. Malware-Abwehr Kontrolle der Installation, Verbreitung und Ausführung von bösartigen Codes an verschiedenen Stellen im Unternehmen und gleichzeitige Optimierung des Einsatzes von Automatisierung, um eine schnelle Aktualisierung der Abwehr, Datenerfassung und Korrekturmaßnahmen zu ermöglichen.
9. Begrenzung und Kontrolle von Netzanschlüssen, Protokollen und Diensten Verwalten (verfolgen, kontrollieren, korrigieren) der laufenden betrieblichen Nutzung von Ports, Protokollen, Diensten und Anwendungen auf vernetzten Geräten, um die für Angreifer verfügbaren Schwachstellen und Angriffsmöglichkeiten zu minimieren
10. Möglichkeiten der Datenwiederherstellung Pflege von Prozessen und Werkzeugen zur ordnungsgemäßen Sicherung personenbezogener Daten mit einer bewährten Methodik, um die Vertraulichkeit, Integrität, Verfügbarkeit und Wiederherstellbarkeit dieser Daten zu gewährleisten
11. Sichere Konfiguration von Netzwerkgeräten, wie Firewalls, Router und Switches Implementierung und Verwaltung der Sicherheitskonfiguration von Netzinfrastrukturgeräten mithilfe eines Konfigurationsmanagement- und Änderungskontrollprozesses, um Angreifer daran zu hindern, anfällige Dienste und Einstellungen auszunutzen.
12. Grenzverteidigung Erkennen, Verhindern und Korrigieren des Informationsflusses bei der Übertragung von Netzen unterschiedlicher Vertrauensstufen mit Schwerpunkt auf personenbezogenen Daten.
13. Datenschutz Pflege von Prozessen und Werkzeugen zur Verhinderung der Datenexfiltration, zur Abschwächung der Auswirkungen exfiltrierter Daten und zur Gewährleistung der Vertraulichkeit und Integrität personenbezogener Daten.
14. Kontrollierter Zugang auf der Grundlage des Wissensbedarfs Pflege von Prozessen und Werkzeugen zur Verfolgung, Kontrolle, Verhinderung und Korrektur des sicheren Zugriffs auf kritische oder kontrollierte Güter (z.B. Informationen, Ressourcen, Systeme) entsprechend der formalen Bestimmung, welche Personen, Computer und Anwendungen auf der Grundlage einer genehmigten Klassifizierung einen Bedarf und ein Recht auf Zugriff auf diese kritischen oder kontrollierten Güter haben.
15. Drahtlose Zugangskontrolle Pflege von Prozessen und Tools zur Überwachung, Kontrolle, Vorbeugung und Korrektur der sicheren Nutzung von drahtlosen lokalen Netzwerken (WLANs), Zugangspunkten und drahtlosen Clientsystemen.
16. Überwachung und Kontrolle von Inhalten Aktives Management des Lebenszyklus von System- und Anwendungskonten, ihrer Erstellung, Nutzung, Ruhestellung und Löschung, um die Möglichkeiten einer unbefugten, unangemessenen oder schändlichen Nutzung zu minimieren.

TEIL 2 - ZUSÄTZLICHE MASSNAHMEN

1. Umsetzung eines umfassenden Informationssicherheitsprogramms Durch die Umsetzung eines umfassenden Informationssicherheitsprogramms (Comprehensive Information Security Programme, CISP) sollen verschiedene administrative Schutzmaßnahmen zum Schutz personenbezogener Daten aufrechterhalten werden. Diese Maßnahmen sollen Folgendes gewährleisten: Sicherheit, Vertraulichkeit und Integrität personenbezogener Daten, Schutz vor unbefugtem Zugriff auf (gespeicherte) personenbezogene Daten oder deren Verwendung in einer Weise, die ein erhebliches Risiko für Identitätsdiebstahl oder Betrug darstellt, so dass Angestellte, Auftragnehmer, Berater, Zeitarbeiter und andere Arbeitnehmer, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des für die Datenverarbeitung Verantwortlichen verarbeiten.
2. Umsetzung eines Programms zur Sensibilisierung und Schulung für Sicherheitsfragen Für alle funktionalen Rollen (vorrangig für diejenigen, die für das Unternehmen, seine Sicherheit und den Schutz personenbezogener Daten von entscheidender Bedeutung sind) Ermittlung der spezifischen Kenntnisse, Fähigkeiten und Fertigkeiten, die zur Unterstützung des Schutzes und der Verteidigung personenbezogener Daten erforderlich sind; Entwicklung eines integrierten Plans zur Bewertung, Ermittlung von Lücken und Behebung dieser Lücken durch Richtlinien, Organisationsplanung, Schulungen und Sensibilisierungsprogramme und deren Ausführung.
3. Sicherheit der Anwendungssoftware Verwaltung des Sicherheitslebenszyklus aller intern entwickelten und erworbenen Software, um Sicherheitslücken zu verhindern, erkennen und zu beheben.
4. Incident Response und Management Schutz der Informationen der Organisation, einschließlich personenbezogener Daten, sowie deren Ruf, indem eine Infrastruktur für die Reaktion auf einen Vorfall entwickelt und implementiert wird (z. B. Pläne, definierte Rollen, Schulungen, Kommunikation, Überwachung durch das Management, Rücklagen und Versicherungen), um einen Angriff schnell zu entdecken und dann den Schaden wirksam einzudämmen, die Präsenz des Angreifers zu beseitigen und die Integrität des Netzwerks und der Systeme der Organisation wiederherzustellen.
5. Sicherheits- und Datenschutzbeurteilungen, Penetrationstests und Red-Team-Übungen Testen der insgesamten Stärke der Verteidigung der Organisation (Technologie, Prozesse und Mitarbeiter), indem die Ziele und Handlungen eines Angreifers simuliert, und bewertet und Kontrollen, Richtlinien und Verfahren zum Schutz der Privatsphäre und der personenbezogenen Daten der Organisation validiert werden.
6. Physische Sicherheit und Zugangskontrolle AlleEinrichtungen müssen das höchste Datenschutzniveau einhalten, das unter den für die Einrichtung und die darin enthaltenen, verarbeiteten oder übermittelten Daten relevanten Umständen möglich und angemessen ist.

ANNEX III

LISTE DER UNTERAUFTRAGNEHMER

Der Verantwortliche hat den Einsatz der folgenden Unterauftragsverarbeiter genehmigt: siehe die Liste unter https://revalizesoftware.com/de/legal

ANLAGE 2 zur AVV

UK ADDENDUM

ICO INTERNATIONALER DATENÜBERMITTLUNGS-ZUSATZ ZU DEN STANDARDVERTRAGSKLAUSELN DER EU-KOMMISSION (UK)

HINTERGRUND

A) Dieser Zusatz wurde vom Information Commissioner für Parteien, die Eingeschränkte Übermittlungen vornehmen, herausgegeben. Der Information Commissioner ist der Ansicht, dass es geeignete Garantien für Eingeschränkte Übermittlungen bietet, wenn er als rechtsverbindlicher Vertrag abgeschlossen wird.

VEREINBARTE BEDINGUNGEN

Table 1: Parteien [ICO Klausel]

Datum des Beginns Das Datum des Inkrafttretens, wie in dem Vertrag definiert.
Die Parteien Exporteur (der die Eingeschränkte Übermittlung sendet) Importeur (der die Eingeschränkte Übermittlung erhält)
Angaben zu den Parteien wie im Vertrag Vollständiger rechtlicher Name:
wie im Vertrag angegeben
Handelsname (falls abweichend): Handelsname (falls abweichend):
Wie im Vertrag angegeben. Wie im Vertrag angegeben.
Hauptanschrift (falls es sich um eine Firmenanschrift handelt): Hauptanschrift (falls es sich um eine Firmenanschrift handelt):
Wie Im Vertrag angegeben Wie im Vertrag angegeben
Offizielle Registrierungsnummer (falls vorhanden) (Unternehmensnummer oder ähnliche Kennung): Wie im Vertrag angegeben. Offizielle Registrierungsnummer (falls vorhanden) (Unternehmensnummer oder ähnliche Kennung): Wie im Vertrag angegeben.
Wichtiger Kontakt Vollständiger Name (fakultativ): Vollständiger Name (fakultativ): Kristen Shaheen
Berufsbezeichnung: Wie im Vertrag angegeben Berufsbezeichnung: General Counsel & Chief Privacy Officer
Kontaktinformationen einschließlich E-Mail: Wie im Vertrag angegeben. Kontaktinformationen einschließlich E-Mail: [email protected]
Unterschrift (falls für die Zwecke von Abschnitt 2 erforderlich)

Tabelle 2: Ausgewählte Standardvertragsklauseln, Module und ausgewählte Klauseln

Zusatz EU Standardvertragsklauseln [X] Die Version der Genehmigten Standardvertragsklauseln, denen dieser Zusatz beigefügt ist, einschließlich der Angaben im Anhang: Datum: wie im Vertrag festgelegt. Referenz (falls vorhanden): Andere Kennung (falls vorhanden): Oder [ ] die Genehmigten EU-Standardvertragsklauseln, einschließlich der Informationen im Anhang, wobei nur die folgenden Module, Klauseln oder fakultativen Bestimmungen der Genehmigten EU-Standardvertragsklauseln für die Zwecke dieses Zusatzes wirksam werden:
Modul Genutztes Modul Klausel 7 (Koppelungsklausel) Klausel 11 (Option) Klausel 9a (Vorherige Genehmigung oder allgemeine Autorisierung) Klausel 9a (Zeitraum) Werden vom Importeur erhaltende personenbezo-gene Daten mit vom Exporteur gesammelten personenbezo-genen Daten kombiniert?
1
2
3
4

Tabelle 3: Informationen zur Anlage

“Informationen zur Anlage” sind solche Informationen, die für die ausgewählten Module gemäß dem Anhang der Genehmigten EU-Standardvertragsklauseln (mit Ausnahme der Parteien) bereitgestellt werden müssen und die für diesen Zusatz enthalten sind in:
Annex 1A: Liste der Parteien:
Annex 1B: Beschreibung der Übermittlung:
Annex II: Technische und organisatorische Maßnahmen einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Daten:
Annex III: Liste der Unterauftragsverarbeiter (nur Module 2 und 3)

Tabelle 4: Beendigung dieses Zusatzes bei Änderungen des Genehmigten Addendum

Beendigung dieses Addendum bei Änderungen des Genehmigten Addendum Welche Partei(en) dieses Addendum gemäß Abschnitt 19 beenden kann (können):
[X] Importeur
[X] Exporteur
[  ] Keine der beiden Parteien

Teil 2: Obligatorische Klauseln

Vereinbarung dieses Addendum
1. Jede Partei erklärt sich damit einverstanden, an die in diesem Zusatz festgelegten Bedingungen gebunden zu sein, und zwar im Gegenzug dafür, dass die andere Partei sich ebenfalls einverstanden erklärt, daran gebunden zu sein.

2. Obwohl Anhang 1A und Klausel 7 der Genehmigten EU-Standardvertragsklauseln von den Parteien unterzeichnet werden müssen, können die Parteien zum Zwecke beschränkter Übermittlungen diesen Zusatz in einer Weise abschließen, die ihn für die Parteien rechtsverbindlich macht und es den betroffenen Personen ermöglicht, ihre in diesem Zusatz festgelegten Rechte durchzusetzen. Die Vereinbarung dieses Zusatzes hat dieselbe Wirkung wie die Unterzeichnung der Genehmigten EU-Standardvertragsklauseln und jedes Teils der Genehmigten EU-Standardvertragsklauseln.

Auslegung dieses Addendum

3. Werden in diesem Zusatz Begriffe verwendet, die in den Genehmigten EU-Standardvertragsklauseln definiert sind, so haben diese Begriffe die gleiche Bedeutung wie in den Genehmigten EU-Standardvertragsklauseln. Darüber hinaus haben die folgenden Begriffe die folgende Bedeutung:

Addendum/Zusatz Dieser Zusatz zum internationalen Datentransfer besteht aus dem Zusatz, der das Addendum EU-Standardvertragsklauseln enthält.
Addendum EU-Standardvertragsklauseln Die Version(en) der Genehmigten EU-Standardvertragsklauseln, denen dieser Zusatz beigefügt ist, wie in Tabelle 2 aufgeführt, einschließlich der Informationen im Anhang.
Informationen im Anhang Wie in Tabelle 3 dargelegt.
Geeignete Garantien Die Schutzstandards für die Rechte der betroffenen Personen in Bezug auf Personenbezogene Daten, die nach den Datenschutzgesetzen des Vereinigten Königreichs erforderlich sind, wenn Sie eine Eingeschränkte Übermittlung vornehmen und sich dabei auf die Standard-Datenschutzklauseln gemäß Artikel 46 Absatz 2 der britischen Datenschutz-Grundverordnung stützen.
Genehmigter Zusatz Der vom ICO herausgegebene und dem Parlament gemäß § 119A des Data Protection Act 2018 am 2. Februar 2022 vorgelegte Muster-Zusatz in der gemäß § 18 überarbeiteten Fassung.
Genehmigte EU-Standard-vertragsklauseln Die Standardvertragsklauseln, die im Anhang des Durchführungsbeschlusses (EU) 2021/914 der Kommission vom 4. Juni 2021 aufgeführt sind.
ICO Der Information Commissioner
Eingeschränkte Übermittlung Eine Übermittlung, die unter Kapitel V der UK-DGSVO fällt.
UK Das Vereinigte Königreich von Großbritannien und Nordirland.
UK-Datenschutzgesetze Alle Gesetze, die sich auf den Datenschutz, die Verarbeitung personenbezogener Daten, den Schutz der Privatsphäre und/oder die elektronische Kommunikation beziehen und die von Zeit zu Zeit im Vereinigten Königreich in Kraft sind, einschließlich der UK-DGSVO und des Data Protection Act 2018.
UK DGSVO Wie in Abschnitt 3 des Data Protection Act 2018 definiert.

4. Dieser Zusatz muss immer so ausgelegt werden, dass er mit den UK-Datenschutzgesetzen übereinstimmt und somit die Verpflichtung der Vertragsparteien erfüllt, die Geeigneten Garantien zur Verfügung zu stellen.

5. Sollten die in dem Addendum EU-Standardvertragsklauseln enthaltenen Bestimmungen die Genehmigten EU-Standardvertragsklauseln in einer Weise ändern, die nach den Genehmigten Standardvertragsklauseln oder dem Genehmigten Zusatz nicht zulässig ist, werden diese Änderung(en) nicht in diesen Zusatz aufgenommen und die entsprechenden Bestimmungen der Genehmigten EU-Standardvertragsklauseln treten an ihre Stelle.

6. Im Falle von Widersprüchen oder Konflikten zwischen den UK-Datenschutzgesetzen und diesem Zusatz gelten die UK-Datenschutzgesetze.

7. Wenn die Bedeutung dieses Zusatzes unklar ist oder es mehr als eine Bedeutung gibt, gilt die Bedeutung, die am ehesten mit den UK-Datenschutzgesetzen übereinstimmt.

8. Jede Bezugnahme auf Rechtsvorschriften (oder bestimmte Bestimmungen von Rechtsvorschriften) bedeutet, dass diese Rechtsvorschriften (oder bestimmte Bestimmungen) im Laufe der Zeit geändert werden können. Dies gilt auch für den Fall, dass diese Rechtsvorschriften (oder spezifischen Bestimmungen) nach Vereinbarung dieses Zusatzes konsolidiert, wieder in Kraft gesetzt und/oder ersetzt worden sind.

Hierarchie

9. Obwohl Klausel 5 der Genehmigten EU-Standardvertragsklauseln festlegt, dass die Genehmigten EU-Standardvertragsklauseln Vorrang vor allen damit zusammenhängenden Vereinbarungen zwischen den Parteien haben, vereinbaren die Parteien, dass bei Beschränkten Übermittlungen die Hierarchie in Abschnitt 10 Vorrang hat.

10. Bei Unstimmigkeiten oder Widersprüchen zwischen dem Genehmigten Zusatz und den Addendum EU-Standardvertragsklauseln (soweit zutreffend) hat der Genehmigte Zusatz Vorrang vor den Addendum EU-Standardvertragsklauseln, es sei denn, die widersprüchlichen oder kollidierenden Bestimmungen der Addendums EU-Standardvertragsklauseln bieten einen besseren Schutz für die betroffenen Personen; in diesem Fall haben diese Bestimmungen Vorrang vor dem Genehmigten Zusatz.

11. Soweit dieser Zusatz Addendum-EU-Standardvertragsklauseln enthält, die zum Schutz von Übermittlungen abgeschlossen wurden, die der Datenschutzgrundverordnung (EU) 2016/679 unterliegen, erkennen die Parteien an, dass dieser Zusatz keine Auswirkungen auf diese Addendum EU-Standardvertragsklauseln hat.

Übernahme und Änderungen der EU-Standardvertragsklauseln

12. Dieser Zusatz enthält das Addendum EU-Standardvertragsklauseln, das im erforderlichen Umfang geändert wird, so dass:
a. Sie gemeinsam für Datenübermittlungen des Datenexporteurs an den Datenimporteur, soweit die UK-Datenschutzgesetze auf die Verarbeitung durch den Datenexporteur bei dieser Datenübermittlung anwendbar sind, gelten und sie Geeignete Garantien für diese Datenübermittlungen bieten;
b. Die Abschnitte 9 bis 11 Vorrang vor Klausel 5 (Hierarchie) des Addendums EU-Standardvertragsklauseln haben; und
c. Dieser Zusatz (einschließlich der darin enthaltenen EU-Standardvertragsklauseln) (1) dem Recht von England und Wales unterliegt und (2) alle sich daraus ergebenden Streitigkeiten von den Gerichten von England und Wales entschieden werden, es sei denn, die Parteien haben ausdrücklich die Gesetze und/oder Gerichte von Schottland oder Nordirland gewählt. Sofern die Vertragsparteien keine anderen Änderungen vereinbart haben, die den Anforderungen von Abschnitt 12 entsprechen, gelten die Bestimmungen von Abschnitt 15.

13. An den Genehmigten EU-Standardvertragsklauseln dürfen keine anderen Änderungen vorgenommen werden als die, die den Anforderungen von Abschnitt 12 entsprechen.

14. Es werden die folgenden Änderungen am Addendum EU-Standardvertragsklauseln (für die Zwecke von Abschnitt 12) vorgenommen:
a. Verweise auf die “Klauseln” bezeichnen diesen Zusatz, der das Addendum EU-Standardvertragsklauseln enthält;
b. In Klausel 2 werden die folgenden Worte gestrichen:
“sowie – in Bezug auf Datenübermittlungen von für die Verarbeitung Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter, Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679”;
c. Klausel 6 (Beschreibung der Übermittlung(en)) wird ersetzt durch:
“Die Einzelheiten der Datenübermittlung(en) und insbesondere die Kategorien der übermittelten personenbezogener Daten, sowie der Zweck/die Zwecke der Übermittlung zu dem/denen sie übermittelt werden, sind die in Anhang I.B genannten, wenn die UK-Datenschutzgesetze auf die Verarbeitung durch den Datenexporteur bei der Übermittlung Anwendung finden”;
d. Klausel 8.7(i) von Modul 1wird ersetzt durch:
“Sie erfolgt in ein Land, das von den Angemessenheitsbestimmungen gemäß Abschnitt 17A der UK-DGSVO profitiert, die die Weiterübermittlung von Daten an ein anderes Land abdecken.“ e.
Klausel 8.8(i) der Module 2 und 3 wird ersetzt durch:
“die Weiterübermittlung in ein Land erfolgt, für das Angemessenheitsvorschriften gemäß Abschnitt 17A der britischen Datenschutz-Grundverordnung gelten, die die Weiterübermittlung abdecken;”.
f. Verweise auf “Verordnung (EU) 2016/679”, “Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung)” und “diese Verordnung” werden alle durch “UK-Datenschutzgesetze ” ersetzt. Verweise auf bestimmte Artikel der “Verordnung (EU) 2016/679” werden durch den entsprechenden Artikel oder Abschnitt der UK-Datenschutzgesetze ersetzt;
g. Verweise auf die Verordnung (EU) 2018/1725 werden entfernt;
h. Verweise auf die “Europäische Union”, “Union”, “EU”, “EU-Mitgliedstaat”, “Mitgliedstaat” und “EU oder Mitgliedstaat” werden alle durch “UK” ersetzt;
i. Der Verweis auf “Klausel 12(c)(i)” in Klausel 10(b)(i) des ersten Moduls wird durch “Klausel 11(c)(i)” ersetzt;
j. Klausel 13(a) und Teil C von Anhang I werden nicht verwendet;
k. Die Begriffe “zuständige Aufsichtsbehörde” und “Aufsichtsbehörde” werden beide durch den “Information Commissioner” ersetzt;
l. In Klausel 16 Buchstabe e) wird der Unterabschnitt i) ersetzt durch:
“Der Secretary of State erlässt gemäß Abschnitt 17A des Data Protection Act 2018 Bestimmungen, die die Übermittlung von personenbezogenen Daten, für die diese Klauseln gelten, abdecken;”
m. Klausel 17 wird ersetzt durch: “Diese Klauseln unterliegen den Gesetzen von England und Wales.”;
n. Klausel 18 wird ersetzt durch:
“Alle Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten in England und Wales beigelegt. Eine betroffene Person kann auch Klage gegen den Datenexporteur und/oder den Datenimporteur vor den Gerichten eines beliebigen Landes des Vereinigten Königreichs erheben. Die Parteien erklären sich damit einverstanden, sich der Zuständigkeit dieser Gerichte zu unterwerfen“; und
o. Die Fußnoten zu den Genehmigten EU-Standardvertragsklauseln sind mit Ausnahme der Fußnoten 8, 9, 10 und 11 nicht Teil des Addendums.

Änderungen an diesem Zusatz

15. Die Vertragsparteien können vereinbaren, die Klauseln 17 und/oder 18 des Addendums EU- Standardvertragsklauseln so zu ändern, dass auf das Recht und/oder die Gerichte von Schottland oder Nordirland verwiesen wird.

16. Möchten die Vertragsparteien das Format der in Teil 1: Tabellen des Genehmigten Zusatzes enthaltenen Informationen ändern, so können sie dies durch eine schriftliche Vereinbarung tun, sofern die Änderung nicht zu einer Verringerung der Geeigneten Garantien führt.

17. Von Zeit zu Zeit kann der ICO ein überarbeitetes Genehmigtes Addendum herausgeben, das:
a. angemessene und verhältnismäßige Änderungen an dem Genehmigten Zusatz vornimmt, einschließlich der Berichtigung von Fehlern in dem Genehmigten Zusatz; und/oder
b. die Änderungen der UK-Datenschutzgesetze widerspiegelt;
In der überarbeiteten Fassung des Genehmigten Zusatzes wird das Datum angegeben, ab dem die Änderungen des Genehmigten Zusatzes wirksam werden, und ob die Parteien diesen Zusatz einschließlich der Informationen im Anhang überprüfen müssen. Dieser Zusatz wird ab dem angegebenen Anfangsdatum automatisch, wie in dem überarbeiteten Genehmigten Zusatz festgehalten, geändert.

18. Wenn der ICO ein überarbeitetes Genehmigtes Addendum gemäß Abschnitt 18 herausgibt, und wenn eine der in Tabelle 4 “Beendigung des Addendums, wenn sich das Genehmigte Addendum ändert” ausgewählten Parteien als unmittelbare Folge der Änderungen des
Genehmigten Addendums einen erheblichen, unverhältnismäßigen und nachweisbaren Anstieg:
a. in seinen direkten Kosten für die Erfüllung seiner Verpflichtungen aus dem Zusatz hat; und/oder
b. in den Risiken, die sie im Rahmen des Zusatzes zu tragen hat,
erleidet; und in beiden Fällen zunächst angemessene Schritte unternommen hat, um diese Kosten und Risiken zu verringern, so dass sie nicht erheblich und unverhältnismäßig sind, kann sie diesen Zusatz nach Ablauf einer angemessenen Frist beenden, indem sie die andere Vertragspartei vor dem Inkrafttreten des geänderten Genehmigten Zusatzes schriftlich innerhalb dieser Frist darüber informiert. 

19. Die Parteien benötigen nicht die Zustimmung Dritter, um Änderungen an diesem Zusatz vorzunehmen, doch müssen alle Änderungen im Einklang mit den Bestimmungen dieses Zusatzes vorgenommen werden.

ANLAGE 3 zur AVV

Schweizer Addendum

Dieses Addendum dient der Anpassung der EU-Standardvertragsklauseln an das schweizerische Bundesgesetz über den Datenschutz (“DSG”) in Übereinstimmung mit dem Beschluss der schweizerischen Datenschutzbehörde (“EDÖB”). Dieses Addendum findet Anwendung, wenn und soweit eine Übermittlung von Personenbezogenen Daten in ein Land außerhalb der EU oder des EWR ohne angemessenes Datenschutzniveau, das durch die Standardvertragsklauseln geregelt ist und dem DSG unterliegt, stattfindet. In solchen Fällen sind die EU-Standardvertragsklauseln wie folgt auszulegen:
1. Verweise auf die Datenschutz-Grundverordnung gelten als Verweise auf die entsprechenden Bestimmungen des DSG.
2. In Ziffer 13 und Anhang 1 C wird der EDÖB als zuständige Aufsichtsbehörde für die Schweiz aufgenommen.
3. Klausel 17 enthält das schweizerische Recht als das anwendbare Recht, wenn die Übermittlung ausschließlich dem DSG unterliegt.
4. Der Begriff “Mitgliedstaat” wird auf die Schweiz ausgedehnt, damit die betroffenen Personen in der Schweiz ihre Rechte an ihrem gewöhnlichen Aufenthaltsort geltend machen können.