Diese Seite übersetzen:

Datenverarbeitungsvertrag

Gültig ab: 8. Januar 2020

Award Force, „uns“, „wir“ oder „unser“ bezieht sich auf Creative Force Ltd, Award Force Pty Ltd und alle unsere verbundenen Unternehmen.
Dieser Datenverarbeitungsvertrag („DPA“) ist Bestandteil des Software-as-a-Service-Vertrags („Hauptvertrag“) zwischen der Kundenentität, die Partei des Hauptvertrags ist („Kunde“ oder „Sie“), und Award Force (dem „Datenverarbeiter“), zusammen als die „Parteien“.
WOBEI

  1. Der Kunde fungiert als Datenverantwortlicher.
  2. Der Kunde wünscht, bestimmte Dienstleistungen, die die Verarbeitung personenbezogener Daten beinhalten, an den Datenverarbeiter zu vergeben.
  3. Die Parteien beabsichtigen, einen Datenverarbeitungsvertrag zu schließen, der den Anforderungen des aktuellen Rechtsrahmens in Bezug auf die Datenverarbeitung und der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (General Data Protection Regulation) entspricht.
  4. Die Parteien möchten ihre Rechte und Pflichten festlegen.

ES WIRD WIE FOLGT VEREINBART:

1. Definitionen und Auslegung

  1. Sofern hierin nicht anders definiert, haben die in diesem Vertrag verwendeten großgeschriebenen Begriffe und Ausdrücke die folgende Bedeutung:
    1. Vereinbarung“ bezeichnet diesen Datenverarbeitungsvertrag und alle Anhänge;
    2. Kundenbezogene personenbezogene Daten“ bezeichnet alle personenbezogenen Daten, die von einem beauftragten Verarbeiter im Auftrag des Kunden gemäß oder in Verbindung mit dem Hauptvertrag verarbeitet werden;
    3. Beauftragter Verarbeiter“ bezeichnet einen Unterauftragsverarbeiter;
    4. Datenschutzgesetze“ bezeichnet die EU-Datenschutzgesetze und, soweit anwendbar, die Datenschutzgesetze anderer Länder;
    5. EWR“ bezeichnet den Europäischen Wirtschaftsraum;
    6. EU-Datenschutzgesetze“ bezeichnet die EU-Richtlinie 95/46/EG, wie sie in die nationalen Rechtsvorschriften der einzelnen Mitgliedstaaten umgesetzt und von Zeit zu Zeit geändert, ersetzt oder aufgehoben wurde, einschließlich durch die GDPR und Gesetze zur Umsetzung oder Ergänzung der GDPR;
    7. GDPR“ bezeichnet die EU General Data Protection Regulation 2016/679;
    8. Datenübertragung“ bezeichnet:
      1. eine Übertragung von kundenbezogenen personenbezogenen Daten vom Kunden an einen beauftragten Verarbeiter; oder
      2. eine Weitergabe von kundenbezogenen personenbezogenen Daten von einem beauftragten Verarbeiter an einen unterbeauftragten Verarbeiter oder zwischen zwei Niederlassungen eines beauftragten Verarbeiters, in jedem Fall, wenn eine solche Übertragung durch Datenschutzgesetze (oder durch die Bestimmungen von Datenübertragungsvereinbarungen, die zur Behebung der Datenübertragungsbeschränkungen der Datenschutzgesetze getroffen wurden) verboten wäre;
    9. Dienstleistungen“ bezeichnet die Dienstleistungen und sonstigen Aktivitäten, die dem Kunden vom oder im Auftrag des Verarbeiters gemäß dem Hauptvertrag erbracht oder durchgeführt werden sollen.
    10. Unterauftragsverarbeiter“ bezeichnet jede Person, die vom oder im Auftrag des Verarbeiters zur Verarbeitung personenbezogener Daten im Auftrag des Kunden in Verbindung mit der Vereinbarung ernannt wird.
  2. Die Begriffe „Kommission“, „Verantwortlicher“, „betroffene Person“, „Mitgliedstaat“, „personenbezogene Daten“, „Verletzung des Schutzes personenbezogener Daten“, „Verarbeitung“ und „Aufsichtsbehörde“ haben die gleiche Bedeutung wie in der GDPR, und ihre verwandten Begriffe sind entsprechend auszulegen.

2. Verarbeitung von kundenbezogenen personenbezogenen Daten

  1. Der Verarbeiter hat:
    1. alle anwendbaren Datenschutzgesetze bei der Verarbeitung von kundenbezogenen personenbezogenen Daten einzuhalten; und
    2. kundenbezogene personenbezogene Daten nur gemäß den dokumentierten Anweisungen des jeweiligen Kunden zu verarbeiten.
  2. Der Kunde weist den Verarbeiter an, kundenbezogene personenbezogene Daten zu verarbeiten.

3. Personal des Verarbeiters

  1. Der Verarbeiter hat angemessene Schritte zu unternehmen, um die Zuverlässigkeit jedes Mitarbeiters, Vertreters oder Auftragnehmers eines beauftragten Verarbeiters, der Zugang zu den kundenbezogenen personenbezogenen Daten haben könnte, zu gewährleisten, wobei in jedem Fall sicherzustellen ist, dass der Zugang streng auf diejenigen Personen beschränkt ist, die die relevanten kundenbezogenen personenbezogenen Daten kennen/Zugang zu ihnen benötigen, soweit dies für die Zwecke des Hauptvertrags unbedingt erforderlich ist, und um die anwendbaren Gesetze im Rahmen der Pflichten dieser Person gegenüber dem beauftragten Verarbeiter einzuhalten, wobei sicherzustellen ist, dass alle diese Personen Vertraulichkeitsverpflichtungen oder beruflichen oder gesetzlichen Geheimhaltungspflichten unterliegen.

4. Sicherheit

  1. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Eintrittswahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen hat der Verarbeiter in Bezug auf die kundenbezogenen personenbezogenen Daten geeignete technische und organisatorische Maßnahmen zu implementieren, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, einschließlich, soweit angemessen, der in Artikel 32 Absatz 1 der GDPR genannten Maßnahmen.
  2. Bei der Bewertung des angemessenen Sicherheitsniveaus hat der Verarbeiter insbesondere die Risiken zu berücksichtigen, die sich aus der Verarbeitung ergeben, insbesondere aus einer Verletzung des Schutzes personenbezogener Daten.

5. Unterauftragsverarbeitung

  1. Der Verarbeiter darf keinen Unterauftragsverarbeiter ernennen (oder kundenbezogene personenbezogene Daten an diesen weitergeben), es sei denn, dies wird vom Kunden verlangt oder genehmigt.

6. Rechte der betroffenen Person

  1. Unter Berücksichtigung der Art der Verarbeitung hat der Verarbeiter den Kunden durch die Implementierung geeigneter technischer und organisatorischer Maßnahmen, soweit dies möglich ist, bei der Erfüllung der Pflichten des Kunden, wie vom Kunden vernünftigerweise verstanden, zu unterstützen, um auf Anfragen zur Ausübung der Rechte der betroffenen Person gemäß den Datenschutzgesetzen zu reagieren.
  2. Der Verarbeiter hat:
    1. den Kunden unverzüglich zu benachrichtigen, wenn er eine Anfrage einer betroffenen Person gemäß einem Datenschutzgesetz in Bezug auf kundenbezogene personenbezogene Daten erhält; und
    2. sicherzustellen, dass er auf diese Anfrage nur gemäß den dokumentierten Anweisungen des Kunden oder, soweit dies nach den anwendbaren Gesetzen, denen der Verarbeiter unterliegt, erforderlich ist, reagiert, wobei der Verarbeiter, soweit dies nach den anwendbaren Gesetzen zulässig ist, den Kunden über diese rechtliche Anforderung informiert, bevor der beauftragte Verarbeiter auf die Anfrage reagiert.

7. Verletzung des Schutzes personenbezogener Daten

  1. Der Verarbeiter hat den Kunden unverzüglich zu benachrichtigen, sobald der Verarbeiter Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erhält, die kundenbezogene personenbezogene Daten betrifft, und dem Kunden ausreichende Informationen zur Verfügung zu stellen, damit der Kunde seinen Verpflichtungen zur Meldung oder Information der betroffenen Personen über die Verletzung des Schutzes personenbezogener Daten gemäß den Datenschutzgesetzen nachkommen kann.
  2. Der Verarbeiter hat mit dem Kunden zusammenzuarbeiten und angemessene kommerzielle Schritte zu unternehmen, die vom Kunden angewiesen werden, um bei der Untersuchung, Minderung und Behebung jeder solchen Verletzung des Schutzes personenbezogener Daten zu helfen.

8. Datenschutz-Folgenabschätzung und vorherige Konsultation

  1. Der Verarbeiter hat dem Kunden angemessene Unterstützung bei Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Aufsichtsbehörden oder anderen zuständigen Datenschutzbehörden zu leisten, die der Kunde vernünftigerweise gemäß Artikel 35 oder 36 der GDPR oder gleichwertigen Bestimmungen anderer Datenschutzgesetze für erforderlich hält, in jedem Fall ausschließlich in Bezug auf die Verarbeitung von kundenbezogenen personenbezogenen Daten durch die beauftragten Verarbeiter und unter Berücksichtigung der Art der Verarbeitung und der dem Verarbeiter zur Verfügung stehenden Informationen.

9. Löschung oder Rückgabe von kundenbezogenen personenbezogenen Daten

  1. Vorbehaltlich dieses Abschnitts 9 hat der Verarbeiter unverzüglich und in jedem Fall innerhalb von 10 Werktagen nach Beendigung von Dienstleistungen, die die Verarbeitung von kundenbezogenen personenbezogenen Daten beinhalten (das „Beendigungsdatum“), alle Kopien dieser kundenbezogenen personenbezogenen Daten zu löschen und die Löschung zu veranlassen.
  2. Der Verarbeiter hat dem Kunden innerhalb von 10 Werktagen nach dem Beendigungsdatum eine schriftliche Bestätigung zu übermitteln, dass er diesen Abschnitt 9 vollständig eingehalten hat.

10. Prüfungsrechte

  1. Vorbehaltlich dieses Abschnitts 10 hat der Verarbeiter dem Kunden auf Anfrage alle Informationen zur Verfügung zu stellen, die zur Demonstration der Einhaltung dieser Vereinbarung erforderlich sind, und Prüfungen, einschließlich Inspektionen, durch den Kunden oder einen vom Kunden beauftragten Prüfer in Bezug auf die Verarbeitung der kundenbezogenen personenbezogenen Daten durch die beauftragten Verarbeiter zu ermöglichen und dazu beizutragen.
  2. Informations- und Prüfungsrechte des Kunden entstehen gemäß Abschnitt 10.1 nur insoweit, als die Vereinbarung ihm nicht anderweitig Informations- und Prüfungsrechte gewährt, die den relevanten Anforderungen des Datenschutzgesetzes entsprechen.

11. Datenübertragung

  1. Der Verarbeiter darf Daten ohne die vorherige schriftliche Zustimmung des Kunden nicht in Länder außerhalb der EU und/oder des Europäischen Wirtschaftsraums (EWR) übertragen oder die Übertragung genehmigen. Werden personenbezogene Daten, die im Rahmen dieser Vereinbarung verarbeitet werden, aus einem Land innerhalb des Europäischen Wirtschaftsraums in ein Land außerhalb des Europäischen Wirtschaftsraums übertragen, so haben die Parteien sicherzustellen, dass die personenbezogenen Daten angemessen geschützt sind. Um dies zu erreichen, werden die Parteien, sofern nicht anders vereinbart, auf EU-genehmigte Standardvertragsklauseln für die Übertragung personenbezogener Daten zurückgreifen.

12. Allgemeine Bedingungen

  1. Vertraulichkeit. Jede Partei muss diese Vereinbarung und Informationen, die sie über die andere Partei und deren Geschäft in Verbindung mit dieser Vereinbarung erhält („Vertrauliche Informationen“), vertraulich behandeln und darf diese vertraulichen Informationen ohne die vorherige schriftliche Zustimmung der anderen Partei nicht verwenden oder offenlegen, es sei denn, dass:
    (a) die Offenlegung gesetzlich vorgeschrieben ist;
    (b) die relevanten Informationen bereits öffentlich zugänglich sind.
  2. Mitteilungen. Alle Mitteilungen und Benachrichtigungen im Rahmen dieser Vereinbarung müssen schriftlich erfolgen und werden persönlich zugestellt, per Post oder per E-Mail an die im Kopf dieser Vereinbarung angegebene Adresse oder E-Mail-Adresse oder an eine andere Adresse gesendet, die von den Parteien, die ihre Adresse ändern, von Zeit zu Zeit mitgeteilt wird.

13. Anwendbares Recht und Gerichtsstand

  1. Diese Vereinbarung unterliegt den Gesetzen Maltas.
  2. Alle Streitigkeiten, die im Zusammenhang mit dieser Vereinbarung entstehen und die die Parteien nicht gütlich beilegen können, unterliegen der ausschließlichen Zuständigkeit der Gerichte Maltas.