NACHTRAG ZUR DATENVERARBEITUNG

GEMÄß DER DATENSCHUTZGRUNDVERORDNUNG (EU-DSGVO) („NDV“)

1. GELTUNGSBEREICH

1.1. Dieser NDV findet Anwendung auf die Verarbeitung personenbezogener Daten durch uns in Ihrem Auftrag im Rahmen des Vertrages. Hinsichtlich dieser Verarbeitung sind Sie der für die Verarbeitung der personenbezogenen Daten Verantwortliche und wir sind der Auftragsverarbeiter der personenbezogenen Daten. Die Begriffsbestimmungen des Verantwortlichen und des Auftragsverarbeiters werden verwendet im Sinne von Art. 4 Absatz 7 und 8 DSGVO. Dieser NDV findet keine Anwendung auf Fälle, in denen wir ein für die Verarbeitung personenbezogener Daten Verantwortlicher sind.

2. VERARBEITUNG

2.1. Ohne Ihre vorherige spezielle oder allgemeine schriftliche Erlaubnis werden wir keine Dienste weiterer Auftragsverarbeiter in Anspruch nehmen. Im Falle einer allgemeinen schriftlichen Erlaubnis werden wir Sie über jede beabsichtigte Änderung hinsichtlich der Neuaufnahme oder des Austausches weiterer Auftragsverarbeiter unterrichten und Ihnen so die Gelegenheit geben, solchen Änderungen in der hierin ausführlicher beschriebenen Weise zu widersprechen.

2.2. Unsere Verarbeitung wird nach Maßgabe dieses NDV geregelt entsprechend dem Recht der Union oder des zuständigen Mitgliedsstaates, wie im Vertrag vereinbart. Insbesondere werden wir

  1. die personenbezogenen Daten nur auf Ihre dokumentierte Weisung – auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation – verarbeiten, sofern wir nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet sind; in einem solchen Fall teilen wir Ihnen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet,
  2. gewährleisten, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen,
  3. alle nach Artikel 32 DSGVO erforderlichen Maßnahmen ergreifen,
  4. die in den Absätzen 2.1 und 2.3 genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhalten,
  5. Sie angesichts der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützen, Ihrer Pflicht zur Beantwortung von Anfragen der gemäß Kapitel III der DSGVO genannten Rechte der betroffenen Person nachzukommen,
  6. Sie unter Berücksichtigung der Art der Verarbeitung und der uns zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten unterstützen,
  7. nach Beendigung des Vertrages alle personenbezogenen Daten löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht,
  8. Ihnen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Artikel 28 DSGVO niedergelegten Pflichten zur Verfügung stellen und Überprüfungen, die von Ihnen oder einem anderen von Ihnen beauftragten Prüfer durchgeführt werden, ermöglichen und dazu beitragen.

Wir werden Sie unverzüglich informieren, wenn wir der Auffassung sind, dass eine Ihrer Weisungen gegen die DSGVO oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.

2.3. Nehmen wir die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten in Ihrem Auftrag auszuführen, so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt, die in diesem NDV festgelegt sind, und mit dem insbesondere hinreichende Garantien dafür geboten werden, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen der DSGVO erfolgt. Kommt ein solcher weiterer Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so bleiben wir (auf Grundlage der Bedingungen des Vertrages) vollumfänglich haftbar für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.

2.4. Gegenstand unserer Verarbeitung sind die personenbezogenen Daten, die im Rahmen des Vertrages bezüglich der Online-Services und Materialien bereitgestellt werden. Die Dauer der Verarbeitung ist die Dauer der Bereitstellung der Online-Services und Materialien im Rahmen des Vertrages. Die Art und der Zweck der Verarbeitung sind mit der Bereitstellung der Online-Services und Materialien im Rahmen des Vertrages verbunden. Die Arten von personenbezogenen Daten, die verarbeitet werden, sind Namen, Kontaktangaben, gegebenenfalls amtlich ausgestellte Ausweisdokumente, Geburtsdatum, Geburtsort und andere Arten von personenbezogenen Daten, die in den Online-Services übermittelt werden. Die Kategorien personenbezogener Daten gliedern sich in Ihre Vertreter, autorisierten Nutzer, Kunden, Interessenten, Lieferanten, Geschäftspartner und andere, deren personenbezogene Daten an die Online-Services übermittelt werden.

2.5. Der Vertrag einschließlich dieses NDV stellt Ihre vollständigen und abschließend dokumentierten Weisungen an uns für die Verarbeitung von personenbezogenen Daten dar. Ergänzende oder alternative Weisungen müssen zwischen den Parteien separat vereinbart werden. Wir werden sicherstellen, dass alle mit der Verarbeitung personenbezogener Daten befassten Mitarbeiter die personenbezogenen Daten nur anhand Ihrer dokumentierten Weisungen verarbeiten werden, es sei denn, das Unionsrecht, das Recht der Mitgliedsstaaten oder andere geltende Rechtsvorschriften schreiben etwas anderes vor.

2.6. Bei Beendigung Ihrer Nutzung der Online-Services und Materialien werden wir personenbezogene Daten gemäß den im Vertrag festgelegten Bestimmungen und Fristen löschen, sofern nicht nach dem Unionsrecht, dem Recht der Mitgliedstaaten oder anderen geltenden Rechtsvorschriften eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

3. Delegation der Verarbeitung

3.1. Sie erteilen uns hiermit die allgemeine Zustimmung zur Inanspruchnahme der Dienste weiterer Auftragsverarbeiter bei der Verarbeitung von personenbezogenen Daten gemäß diesem NDV. Eine Aufstellung unserer Auftragsverarbeiter finden Sie https://www.lexisnexis.com/global/privacy/de/subprocessor-at.page.

4. Rechte betroffener Personen

4.1. Wir werden Sie im rechtlich zulässigen Umfang sofort über bei uns eingehende Anfragen betroffener Personen informieren und in angemessener Weise mit Ihnen bei der Erfüllung Ihrer hinsichtlich derartiger Anfragen bestehenden Pflichten nach der DSGVO zusammenarbeiten. Die aus unserer Unterstützung bei Ihrer Erfüllung derartiger Pflichten entstehenden angemessenen Kosten sind von Ihnen zu tragen.

5. Ubermittlung

5.1. Sofern personenbezogene Daten von uns an einen anderen Auftragsverarbeiter in einem Land oder Rechtsgebiet außerhalb Deutschlands, der Union oder des EWR übermittelt werden, für das kein Angemessenheitsbeschluss der Europäischen Kommission oder der zuständigen nationalen Datenschutzbehörde vorliegt, werden wir gewährleisten, dass eine solche Übermittlung auf der Grundlage eines geeigneten Übermittlungsmechanismus erfolgt, der ein hinreichendes Maß an Schutz im Einklang mit der DSGVO bietet.

6. Sicherheit der Verarbeitung

6.1. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen die Parteien geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:

  1. die Pseudonymisierung und Verschlüsselung personenbezogener Daten,
  2. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen,
  3. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen und
  4. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

6.2. Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch eine unbeabsichtigte oder unrechtmäßige Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

6.3. Der Verantwortliche und der Auftragsverarbeiter werden Schritte unternehmen, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Ihre Anweisung hin verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

7. Verletzungen des Schutzes personenbezogener Daten

7.1. Wir werden Sie unverzüglich nach Kenntniserhalt über eine Verletzung des Schutzes personenbezogener Daten unterrichten und in angemessener Frist auf Ihre Anfragen nach weiteren Informationen reagieren, damit Sie Ihre Pflichten nach Artikeln 33 und 34 DSGVO erfüllen können.

8. Verzeichnis von Verarbeitungstätigkeiten

8.1. Wir werden alle nach Artikel 30 Absatz 3 DSGVO erforderlichen Aufzeichnungen führen und Ihnen diese in dem für die Verarbeitung personenbezogener Daten in Ihrem Auftrag maßgeblichen Umfang auf Anfrage zur Verfügung stellen.

9. Überprüfung

9.1. Überprüfungen

  1. erfolgen vorbehaltlich der Abgabe entsprechender Geheimhaltungsverpflichtungen,
  2. werden, sofern keine nachweislich begründete Vermutung einer Nichteinhaltung des Vertrages besteht, nicht häufiger als einmal pro Jahr nach schriftlicher Ankündigung mit einer Frist von 30 (dreißig) Tagen und Vorlage eines entsprechenden Prüfungsplans durchgeführt und
  3. werden zu einem beiderseits vereinbarten Zeitpunkt und in vereinbarter Weise durchgeführt.

10. Widersprüchliche Bestimmungen

10.1 Bei Widersprüchen oder Unvereinbarkeiten zwischen den Bestimmungen dieses NDV und den Allgemeinen Vertragsbedingungen oder Ergänzenden Bedingungen sind die Bestimmungen dieses NDV maßgebend.