Skip to Main

LexisNexis Auftragsdatenverarbeitungs-Vereinbarung

Zuletzt aktualisiert: 24. August 2022

1. GELTUNGSBEREICH UND BEGRIFFSBESTIMMUNGEN

1.1. LexisNexis Auftragsdatenverarbeitungs-Vereinbarung („ADVV“) ist Teil der Vereinbarung („Vereinbarung“) zwischen dem Kunden („Sie“, „Ihr“) und der entsprechenden Geschäftseinheit von LexisNexis („LN“, „wir“, „uns“, „unser“), in deren Rahmen wir Ihnen und gegebenenfalls Ihren verbundenen Unternehmen bestimmte Service („Service “) anbieten und in der auf diese ADVV Bezug genommen wird. Diese ADVV gilt für die Verarbeitung personenbezogener Daten, die wir in Ihrem Auftrag und ggf. im Auftrag Ihrer verbundenen Unternehmen vornehmen.

1.2. Datenschutzgesetze“ bezeichnet alle anwendbaren Gesetze, Vorschriften, Verordnungen, Erlasse, Anordnungen und sonstigen staatlichen Auflagen zum Schutz der Privatsphäre und zum Datenschutz. Die Begriffe „betroffene Person“, „personenbezogene Daten“, „Datenschutzverletzung“, „Verarbeitung“ und „Auftragsverarbeiter“ haben die Bedeutung, wie in den Datenschutzgesetzen angegeben . Werden in diesen Gesetzen gleichwertige oder entsprechende Begriffe verwendet, wie z. B. „persönliche Informationen“ anstelle von „personenbezogene Daten“, so sind sie in diesem Dokument als gleichbedeutend zu verstehen.

2. VERARBEITUNG

2.1. Wir ergreifen geeignete technische und organisatorische Maßnahmen, damit die Verarbeitung den Anforderungen der Datenschutzgesetze entspricht, den Schutz der Rechte der betroffenen Personen gewährleistet und einen Schutzstandard bietet, der mindestens dem in den Datenschutzgesetzen erforderlichen Schutzniveau entspricht.

2.2. Wir beauftragen keinen anderen Auftragsverarbeiter ohne Ihre vorherige ausdrückliche oder allgemeine schriftliche Zustimmung. Im Falle einer allgemeinen schriftlichen Zustimmung werden wir Sie über alle vorgesehenen Änderungen hinsichtlich der Einbeziehung oder des Austauschs anderer Auftragsverarbeiter informieren und Ihnen so die Gelegenheit geben, diesen Änderungen in der in diesem Dokument näher erläuterten Weise zu widersprechen.

2.3. Unsere Datenverarbeitung unterliegt dieser ADVV. Insbesondere werden wir:

  1. die personenbezogenen Daten nur auf Ihre dokumentierte Anweisung hin verarbeiten, auch im Hinblick auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation, es sei denn, wir sind nach geltendem Recht, dem wir unterliegen, anderweitig dazu verpflichtet. In diesem Fall werden wir Sie vor der Verarbeitung über diese rechtliche Verpflichtung informieren, es sei denn, dieses Recht verbietet eine solche Benachrichtigung aus wichtigen Gründen des öffentlichen Interesses;
  2. sicherstellen, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen;
  3. alle nach den Datenschutzgesetzen erforderlichen Sicherheitsmaßnahmen ergreifen;
  4. die in den Abschnitten 2.2 und 2.4 genannten Bedingungen für die Beauftragung eines anderen Auftragsverarbeiters einhalten;
  5. unter Berücksichtigung der Art der Verarbeitung, Sie durch geeignete technische und organisatorische Maßnahmen unterstützen, soweit dies möglich ist, damit Sie Ihren Verpflichtungen zur Beantwortung von Anfragen zur Ausübung der in den Datenschutzgesetzen verankerten Rechte der betroffenen Person nachkommen können;
  6. Sie bei der Einhaltung der datenschutzrechtlichen Verpflichtungen unter Berücksichtigung der Art der Verarbeitung und der uns zur Verfügung stehenden Informationen unterstützen;
  7. nach Ihrer Wahl sämtliche personenbezogenen Daten nach Ende der Bereitstellung der Service im Zusammenhang mit der Verarbeitung löschen oder an Sie zurückgeben und vorhandene Kopien vernichten, es sei denn, geltendes Recht schreibt die Aufbewahrung der personenbezogenen Daten vor;
  8. Ihnen sämtliche Informationen zur Verfügung stellen, die erforderlich sind, um die Einhaltung der in den Datenschutzgesetzen festgelegten Verpflichtungen nachzuweisen, und von Ihnen oder einem anderen von Ihnen beauftragten Prüfer durchgeführte Audits, einschließlich Inspektionen, zulassen und daran mitwirken.

Wir informieren Sie umgehend, wenn eine von Ihnen an uns gerichtete Anweisung unserer Auffassung nach gegen die Datenschutzgesetze verstößt.

2.4. Wenn wir einen anderen Auftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten beauftragen, werden diesem anderen Auftragsverarbeiter vertraglich oder durch einen anderen Rechtsakt nach geltendem Recht im Wesentlichen dieselben Datenschutzverpflichtungen auferlegt, wie sie in dieser ADVV dargelegt sind, insbesondere die Gewährleistung ausreichender Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen, sodass die Verarbeitung den Anforderungen der Datenschutzgesetze entspricht. Kommt der andere Auftragsverarbeiter diesen datenschutzrechtlichen Verpflichtungen nicht nach, so haften wir (vorbehaltlich der Bestimmungen dieser Vereinbarung) Ihnen gegenüber in vollem Umfang für die Erfüllung der Verpflichtungen des anderen Auftragsverarbeiters.

2.5. Gegenstand unserer Verarbeitung sind diejenigen personenbezogenen Daten, die Sie uns im Zusammenhang mit den Services gemäß der Vereinbarung übermitteln. Die Dauer der Verarbeitung entspricht der Dauer der Bereitstellung der Service gemäß der Vereinbarung bis zur Löschung der personenbezogenen Daten entsprechend der Vereinbarung. Die Art und der Zweck der Verarbeitung ergeben sich aus der Bereitstellung der Service gemäß der Vereinbarung. Bei den verarbeiteten personenbezogenen Daten handelt es sich um diejenigen, die im Zusammenhang mit den Diensten übermittelt werden. Bei den Kategorien der betroffenen Personen handelt es sich um diejenigen, deren personenbezogene Daten im Zusammenhang mit den Services übermittelt werden.

2.6. Die Vereinbarung, einschließlich dieser ADVV, sowie Ihre Inanspruchnahme und Konfiguration der Service, stellen Ihre vollständigen und endgültigen dokumentierten Anweisungen an uns bezüglich der Verarbeitung personenbezogener Daten dar. Zusätzliche oder abweichende Anweisungen bedürfen einer gesonderten Vereinbarung zwischen den Parteien. Wir stellen sicher, dass unsere Mitarbeiter, die mit der Verarbeitung personenbezogener Daten betraut sind, diese Daten nur auf Ihre dokumentierte Anweisung hin verarbeiten, es sei denn, geltendes Recht schreibt etwas anderes vor.

Nach Ablauf oder Kündigung Ihrer Nutzung der Service werden wir die personenbezogenen Daten gemäß den in der Vereinbarung festgelegten Bedingungen und Fristen löschen oder zurückgeben, es sei denn, geltendes Recht schreibt die fortgesetzte Speicherung der personenbezogenen Daten vor.

3. UNTERAUFTRAGSVERARBEITER

3.1. Wir verfügen über Ihre allgemeine Zustimmung, andere Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten gemäß dieser ADVV zu beauftragen. Die Liste dieser Auftragsverarbeiter finden Sie unter https://www.lexisnexis.com/global/privacy/subprocessors.page, wobei wir diese regelmäßig aktualisieren können. Wir werden Sie über etwaige Änderungen informieren, indem wir die Liste auf unserer Website mindestens 14 Tage im Voraus aktualisieren. Sie können der Änderung widersprechen, indem Sie uns dies innerhalb von 14 Tagen nach Aktualisierung der Liste mitteilen und Ihre Gründe für den Widerspruch darlegen. Unbeschadet etwaiger Erstattungs- oder Kündigungsrechte, die Ihnen gemäß der Vereinbarung zustehen, werden wir uns in angemessener Weise bemühen, die Verarbeitung personenbezogener Daten durch einen solchen neuen Auftragsverarbeiter, gegen den Sie berechtigterweise Einspruch erheben, zu vermeiden.

4. RECHTE DER BETROFFENEN PERSON

4.1. Wir werden Sie, soweit gesetzlich zulässig, unverzüglich über alle bei uns eingehenden Anfragen von betroffenen Personen benachrichtigen und in angemessener Weise mit Ihnen zusammenarbeiten, damit Sie Ihre Verpflichtungen gemäß den Datenschutzgesetzen in Bezug auf solche Anfragen erfüllen können.

5. ÜBERMITTLUNG

5.1. Soweit personenbezogene Daten aus Ihrem Land von LN in ein anderes Land übermittelt werden, stellen wir sicher, dass diese Übermittlung unter Einhaltung angemessener Sicherheitsvorkehrungen gemäß den Datenschutzgesetzen erfolgt.

6. SICHERHEIT DER VERARBEITUNG

6.1. Die Parteien treffen unter Berücksichtigung des Stands der Technik, der Umsetzungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie des unterschiedlich wahrscheinlichen und schwerwiegenden Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Maß an Sicherheit zu gewährleisten. Dies umfasst unter anderem Folgendes:

  1. die Anonymisierung und Verschlüsselung von personenbezogenen Daten;
  2. die Gewährleistung der ständigen Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der Verarbeitungssysteme und -dienste;
  3. die Gewährleistung der rechtzeitigen Wiederherstellung der Verfügbarkeit und des Zugangs zu personenbezogenen Daten im Falle eines physischen oder technischen Zwischenfalls; und
  4. ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

6.2. Bei der Bewertung des angemessenen Sicherheitsniveaus berücksichtigen wir die Risiken, die sich aus der Verarbeitung ergeben, insbesondere aus der unbeabsichtigten oder unrechtmäßigen Zerstörung, dem Verlust, der Veränderung, der unbefugten Weitergabe oder dem unbefugten Zugriff auf personenbezogene Daten, die übermittelt, gespeichert oder anderweitig verarbeitet werden.

6.3. Die Parteien ergreifen angemessene Maßnahmen, um sicherzustellen, dass jede natürliche Person, die im Auftrag einer der Parteien handelt und Zugang zu personenbezogenen Daten hat, diese Daten nur auf Ihre Anweisung hin verarbeitet, es sei denn, sie ist nach geltendem Recht dazu verpflichtet.

7. DATENSCHUTZVERLETZUNG

7.1. Wir informieren Sie unverzüglich, nachdem wir von einer Datenschutzverletzung Kenntnis erlangen, und werden in angemessener Weise auf Ihre Anfragen nach weiteren Informationen reagieren, um Sie bei der Erfüllung Ihrer Verpflichtungen gemäß den Datenschutzgesetzen zu unterstützen.

8. AUFZEICHNUNGEN ZU VERARBEITUNGSTÄTIGKEITEN

8.1. Wir führen alle gemäß den Datenschutzgesetzen erforderlichen Aufzeichnungen und stellen sie Ihnen bei Bedarf zur Verfügung, soweit dies für die Verarbeitung personenbezogener Daten in Ihrem Auftrag erforderlich ist.

9. AUDIT

9.1. Folgendes gilt für Audits:

  1. sie bedürfen der Unterzeichnung geeigneter Vertraulichkeits- oder Geheimhaltungsvereinbarungen;
  2. sie werden höchstens einmal pro Jahr durchgeführt, es sei denn, es besteht der begründete Verdacht, dass die Vereinbarung nicht eingehalten wird, und zwar nach schriftlicher Ankündigung dreißig (30) Tage im Voraus und unter Vorlage eines Plans für eine solche Überprüfung; und
  3. sie werden zu einem Zeitpunkt, an einem Ort und auf eine Weise durchgeführt, die im gegenseitigen Einvernehmen festgelegt wurden.

10. WIDERSPRÜCHLICHKEITEN

10.1. Im Falle einer Widersprüchlichkeit zwischen den Bestimmungen dieser ADVV und der Vereinbarung sind die Bestimmungen dieser ADVV maßgebend, soweit gesetzlich vorgeschrieben.

11. LÄNDERSPEZIFISCHE BESTIMMUNGEN

Soweit wir personenbezogene Daten verarbeiten, die aus einer der im Anhang aufgeführten Gerichtsbarkeiten stammen oder anderweitig den Datenschutzgesetzen dieser Gerichtsbarkeiten unterliegen, gelten zusätzlich zu den vorstehend genannten Bestimmungen die dort aufgeführten Bestimmungen für die betreffende(n) Gerichtsbarkeit(en).

ANHANG
Länderspezifische Bedingungen

Zuletzt aktualisiert: 16. August 2022

1. Europäischer Wirtschaftsraum, Vereinigtes Königreich und Schweiz

1.1 Soweit Sie personenbezogene Daten aus dem Europäischen Wirtschaftsraum („EWR“), dem Vereinigten Königreich („UK“) oder der Schweiz an LN mit Sitz außerhalb des EWR, des UK oder der Schweiz übermitteln, wird davon ausgegangen, dass die Parteien die Standardvertragsklauseln, die durch den Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021 genehmigt wurden und unter https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj abrufbar sind („Klauseln“), in Bezug auf eine solche Übermittlung vereinbart haben, es sei denn, die Parteien können sich auf einen alternativen Übermittlungsmechanismus oder eine andere Grundlage gemäß den Datenschutzgesetzen berufen, wobei:

  1. Sie der „Datenexporteur“ sind und LN der „Datenimporteur“ ist;
  2. die Fußnoten, Klausel 9(a) Option 1, Klausel 11(a) Option und Klausel 17 Option 1 entfallen, die Frist in Klausel 9(a) Option 2 14 Tage beträgt und die anwendbaren Anhänge jeweils mit den im Datenschutzgesetz bzw. dem Abkommen festgelegten Informationen ergänzt werden;
  3. soweit Sie als Verantwortlicher und LN als Auftragsverarbeiter handeln, gilt Modul Zwei, und die Module Eins, Drei und Vier entfallen und (ii) soweit jede Partei als Auftragsverarbeiter handelt, gilt Modul Drei, und die Module Eins, Zwei und Vier entfallen;
  4. die „zuständige Aufsichtsbehörde“ diejenige des Landes ist, in dem der Datenexporteur ansässig ist;
  5. die Klauseln dem Recht des Landes unterliegen, in dem der Datenexporteur ansässig ist;
  6. jedwede Rechtsstreitigkeit, die sich aus den Klauseln ergibt, von den Gerichten des Landes entschieden wird, in dem der Datenexporteur ansässig ist; und
  7. im Falle einer Widersprüchlichkeit zwischen den Bestimmungen der Vereinbarung und den Klauseln, die Klauseln maßgebend sind.

1.2 Für die Übermittlung personenbezogener Daten aus dem Vereinigten Königreich gelten die Klauseln, wie sie in Abschnitt 1 angewendet werden, vorbehaltlich der folgenden Änderungen:

  1. die Klauseln werden gemäß Teil 2 des Zusatzes für internationale Datenübermittlung zu den Standardvertragsklauseln der Europäischen Kommission, die gemäß Abschnitt 119A des britischen Data Protection Act 2018 herausgegeben wurden, in der jeweils gültigen Fassung („Zusatz für das Vereinigte Königreich“) geändert;
  2. die Tabellen 1 bis 3 in Teil 1 des Zusatzes für das Vereinigte Königreich werden mit den im dem Zusatz zur Datenvereinbarung bzw. in der Vereinbarung (soweit zutreffend) aufgeführten Informationen ergänzt; und
  3. Tabelle 4 in Teil 1 des Zusatzes für das Vereinigte Königreich ist erfüllt, wenn Sie „keine Partei“ auswählen.

1.3 In Bezug auf die Übermittlung personenbezogener Daten aus der Schweiz gelten die Klauseln, wie in Abschnitt 1 oben dargestellt, vorbehaltlich der folgenden Änderungen:

  1. Verweise auf die „EU-Verordnung 2016/679“ sind als Verweise auf das Schweizer Bundesgesetz über den Datenschutz („Schweizer DSG“) zu verstehen;
  2. Verweise auf bestimmte Artikel der „EU-Verordnung 2016/679“ werden durch die entsprechenden Artikel oder Abschnitte des Schweizer DSG ersetzt;
  3. Verweise auf „EU“, „Union“, „einen Mitgliedsstaat“ und „mitgliedsstaatliches Recht“ werden durch Verweise auf „Schweiz“ bzw. „schweizerisches Recht“ ersetzt;
  4. der Begriff „Mitgliedsstaat“ ist nicht so auszulegen, dass betroffene Personen in der Schweiz von der Möglichkeit ausgeschlossen werden, ihre Rechte geltend zu machen;
  5. Klausel 13(a) und Teil C des Anhangs I werden nicht verwendet und die „zuständige Aufsichtsbehörde“ ist der Schweizer Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte;e. Klausel 13(a) und Teil C des Anhangs I werden nicht verwendet und die „zuständige Aufsichtsbehörde“ ist der Schweizer Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte;
  6. die Klauseln unterliegen den Gesetzen der Schweiz; und
  7. jedwede Rechtsstreitigkeit, die sich aus den Klauseln ergibt, obliegt den Gerichten der Schweiz.

2 Kalifornien, USA

2.1 Soweit LN in Ihrem Auftrag personenbezogene Daten im Sinne des California Consumer Privacy Act von 2018 (CCPA) verarbeitet, ist es LN untersagt, die personenbezogenen Daten zu einem anderen Zweck als dem spezifischen Zweck der Bereitstellung der in der Vereinbarung genannten Dienste aufzubewahren, zu verwenden oder weiterzugeben, oder wie dies anderweitig gemäß dem CCPA zulässig ist, einschließlich der Aufbewahrung, Verwendung oder Weitergabe der personenbezogenen Daten zu einem anderen kommerziellen Zweck (wie dieser Begriff im CCPA definiert ist) als der Bereitstellung der in der Vereinbarung genannten Dienste.

3. Südafrika

3.1 LN personenbezogene Daten im Geltungsbereich des South African Protection of Personal Information Act, No. 4 von 2013 (POPIA) für den Kunden verarbeitet, wird LN darüber hinaus die in Abschnitt 19 des POPIA genannten Sicherheitsmaßnahmen ergreifen und aufrechterhalten.

3.2 LN benachrichtigt den Kunden unverzüglich, wenn Grund zu der Annahme besteht, dass Unbefugte auf die personenbezogenen Daten einer betroffenen Person zugegriffen haben oder in deren Besitz gelangt sind.