Skip to Main

LexisNexis Auftragsdatenverarbeitungs-Vereinbarung

Zuletzt aktualisiert: 27. September 2021

1. GELTUNGSBEREICH UND BEGRIFFSBESTIMMUNGEN

1.1. LexisNexis Auftragsdatenverarbeitungs-Vereinbarung („ADVV“) ist Teil der Vereinbarung („Vereinbarung“) zwischen dem Kunden („Sie“, „Ihr“) und der entsprechenden Geschäftseinheit von LexisNexis („LN“, „wir“, „uns“, „unser“), in deren Rahmen wir Ihnen und gegebenenfalls Ihren verbundenen Unternehmen bestimmte Service („Service “) anbieten und in der auf diese ADVV Bezug genommen wird. Diese ADVV gilt für die Verarbeitung personenbezogener Daten, die wir in Ihrem Auftrag und ggf. im Auftrag Ihrer verbundenen Unternehmen vornehmen.

1.2. „Datenschutzgesetze“ bezeichnet alle anwendbaren Gesetze, Vorschriften, Verordnungen, Erlasse, Anordnungen und sonstigen staatlichen Auflagen zum Schutz der Privatsphäre und zum Datenschutz. Die Begriffe „betroffene Person“, „personenbezogene Daten“, „Datenschutzverletzung“, „Verarbeitung“ und „Auftragsverarbeiter“ haben die Bedeutung, die ihnen in den Datenschutzgesetzen gegeben wird. Werden in diesen Gesetzen gleichwertige oder entsprechende Begriffe verwendet, wie z. B. „persönliche Informationen“ anstelle von „personenbezogene Daten“, so sind sie in diesem Dokument als gleichbedeutend zu verstehen.

2. VERARBEITUNG

2.1. Wir ergreifen geeignete technische und organisatorische Maßnahmen, damit die Verarbeitung den Anforderungen der Datenschutzgesetze entspricht, den Schutz der Rechte der betroffenen Personen gewährleistet und einen Schutzstandard bietet, der mindestens dem gemäß den Datenschutzgesetzen erforderlichen Schutzniveau entspricht.

2.2. Wir beauftragen keinen anderen Auftragsverarbeiter ohne Ihre vorherige ausdrückliche oder allgemeine schriftliche Zustimmung. Im Falle einer allgemeinen schriftlichen Zustimmung werden wir Sie über alle vorgesehenen Änderungen hinsichtlich der Einbeziehung oder des Austauschs anderer Auftragsverarbeiter informieren und Ihnen so die Gelegenheit geben, diesen Änderungen in der in diesem Dokument näher erläuterten Weise zu widersprechen.

2.3. Unsere Datenverarbeitung unterliegt dieser ADVV. Insbesondere werden wir:

  1. die personenbezogenen Daten nur auf Ihre dokumentierte Anweisung hin verarbeiten, auch im Hinblick auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation, es sei denn, wir sind nach geltendem Recht, dem wir unterliegen, anderweitig dazu verpflichtet. In diesem Fall werden wir Sie vor der Verarbeitung über diese rechtliche Verpflichtung informieren, es sei denn, dieses Recht verbietet eine solche Benachrichtigung aus wichtigen Gründen des öffentlichen Interesses;
  2. sicherstellen, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen;
  3. alle nach den Datenschutzgesetzen erforderlichen Sicherheitsmaßnahmen ergreifen;
  4. die in den Abschnitten 2.2 und 2.4 genannten Bedingungen für die Beauftragung eines anderen Auftragsverarbeiters einhalten;
  5. unter Berücksichtigung der Art der Verarbeitung, Sie durch geeignete technische und organisatorische Maßnahmen unterstützen, soweit dies möglich ist, damit Sie Ihren Verpflichtungen zur Beantwortung von Anfragen zur Ausübung der in den Datenschutzgesetzen verankerten Rechte der betroffenen Person nachkommen können;
  6. Sie bei der Einhaltung der datenschutzrechtlichen Verpflichtungen unter Berücksichtigung der Art der Verarbeitung und der uns zur Verfügung stehenden Informationen unterstützen;
  7. nach Ihrer Wahl sämtliche personenbezogenen Daten nach Ende der Bereitstellung der Dienste im Zusammenhang mit der Verarbeitung löschen oder an Sie zurückgeben und vorhandene Kopien vernichten, es sei denn, geltendes Recht schreibt die Aufbewahrung der personenbezogenen Daten vor;
  8. h. Ihnen sämtliche Informationen zur Verfügung stellen, die erforderlich sind, um die Einhaltung der in den Datenschutzgesetzen festgelegten Verpflichtungen nachzuweisen, und von Ihnen oder einem anderen von Ihnen beauftragten Prüfer durchgeführte Audits, einschließlich Inspektionen, zulassen und daran mitwirken.

Wir informieren Sie umgehend, wenn eine von Ihnen an uns gerichtete Anweisung unserer Auffassung nach gegen die Datenschutzgesetze verstößt.

2.4. Wenn wir einen anderen Auftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten beauftragen, werden diesem anderen Auftragsverarbeiter vertraglich oder durch einen anderen Rechtsakt nach geltendem Recht im Wesentlichen dieselben Datenschutzverpflichtungen auferlegt, wie sie in dieser ADVV dargelegt sind, insbesondere die Gewährleistung ausreichender Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen, sodass die Verarbeitung den Anforderungen der Datenschutzgesetze entspricht. Kommt der andere Auftragsverarbeiter diesen datenschutzrechtlichen Verpflichtungen nicht nach, so haften wir (vorbehaltlich der Bestimmungen dieser Vereinbarung) Ihnen gegenüber in vollem Umfang für die Erfüllung der Verpflichtungen des anderen Auftragsverarbeiters.

2.5 Gegenstand unserer Verarbeitung sind diejenigen personenbezogenen Daten, die im Zusammenhang mit den Diensten gemäß dieser Vereinbarung bereitgestellt werden. Die Dauer der Verarbeitung entspricht der Dauer der Bereitstellung der Dienste gemäß der Vereinbarung bis zur Entsorgung der personenbezogenen Daten entsprechend der Vereinbarung. Die Art und der Zweck der Verarbeitung ergeben sich aus der Bereitstellung der Dienste gemäß der Vereinbarung. Bei den verarbeiteten personenbezogenen Daten handelt es sich um diejenigen, die im Zusammenhang mit den Diensten übermittelt werden. Bei den Kategorien der betroffenen Personen handelt es sich um diejenigen, deren personenbezogene Daten im Zusammenhang mit den Diensten übermittelt werden.

2.6. Die Vereinbarung, einschließlich dieser ADVV, sowie Ihre Inanspruchnahme und Konfiguration der Service, stellen Ihre vollständigen und endgültigen dokumentierten Anweisungen an uns bezüglich der Verarbeitung personenbezogener Daten dar. Zusätzliche oder abweichende Anweisungen bedürfen einer gesonderten Vereinbarung zwischen den Parteien. Wir stellen sicher, dass unsere Mitarbeiter, die mit der Verarbeitung personenbezogener Daten betraut sind, diese Daten nur auf Ihre dokumentierte Anweisung hin verarbeiten, es sei denn, geltendes Recht schreibt etwas anderes vor.

Nach Ablauf oder Kündigung Ihrer Nutzung der Dienste werden wir die personenbezogenen Daten gemäß den in der Vereinbarung festgelegten Bedingungen und Fristen löschen oder zurückgeben, es sei denn, geltendes Recht schreibt die fortgesetzte Speicherung der personenbezogenen Daten vor.

3. UNTERAUFTRAGSVERARBEITER

3.1. Wir verfügen über Ihre allgemeine Zustimmung, andere Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten gemäß dieser ADVV zu beauftragen. Die Liste dieser Auftragsverarbeiter finden Sie unter https://www.lexisnexis.com/global/privacy/subprocessors.page, wobei wir diese regelmäßig aktualisieren können. Wir werden Sie über etwaige Änderungen informieren, indem wir die Liste auf unserer Website mindestens 14 Tage im Voraus aktualisieren. Sie können der Änderung widersprechen, indem Sie uns dies innerhalb von 14 Tagen nach Aktualisierung der Liste mitteilen und Ihre Gründe für den Widerspruch darlegen. Unbeschadet etwaiger Erstattungs- oder Kündigungsrechte, die Ihnen gemäß der Vereinbarung zustehen, werden wir uns in angemessener Weise bemühen, die Verarbeitung personenbezogener Daten durch einen solchen neuen Auftragsverarbeiter, gegen die Sie berechtigterweise Einspruch erheben, zu vermeiden.

4. RECHTE DER BETROFFENEN PERSON

4.1. Wir werden Sie, soweit gesetzlich zulässig, unverzüglich über alle bei uns eingehenden Anfragen von betroffenen Personen benachrichtigen und in angemessener Weise mit Ihnen zusammenarbeiten, damit Sie Ihre Verpflichtungen gemäß den Datenschutzgesetzen in Bezug auf solche Anfragen erfüllen können.

5. ÜBERMITTLUNG

5.1. Soweit personenbezogene Daten aus Ihrem Land von LN in ein anderes Land übermittelt werden, stellen wir sicher, dass diese Übermittlung unter Einhaltung angemessener Sicherheitsvorkehrungen gemäß den Datenschutzgesetzen erfolgt.

6. SICHERHEIT DER VERARBEITUNG

6.1. Die Parteien treffen unter Berücksichtigung des Stands der Technik, der Umsetzungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie des unterschiedlich wahrscheinlichen und schwerwiegenden Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Maß an Sicherheit zu gewährleisten. Dies umfasst unter anderem Folgendes:

  1. die Anonymisierung und Verschlüsselung von personenbezogenen Daten;
  2. die Gewährleistung der ständigen Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der Verarbeitungssysteme und -dienste;
  3. die Gewährleistung der rechtzeitigen Wiederherstellung der Verfügbarkeit und des Zugangs zu personenbezogenen Daten im Falle eines physischen oder technischen Zwischenfalls; und
  4. ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

6.2. Bei der Bewertung des angemessenen Sicherheitsniveaus berücksichtigen wir die Risiken, die sich aus der Verarbeitung ergeben, insbesondere aus der unbeabsichtigten oder unrechtmäßigen Zerstörung, dem Verlust, der Veränderung, der unbefugten Weitergabe oder dem unbefugten Zugriff auf personenbezogene Daten, die übermittelt, gespeichert oder anderweitig verarbeitet werden.

6.3. Die Parteien ergreifen angemessene Maßnahmen, um sicherzustellen, dass jede natürliche Person, die im Auftrag einer der Parteien handelt und Zugang zu personenbezogenen Daten hat, diese Daten nur auf Ihre Anweisung hin verarbeitet, es sei denn, sie ist nach geltendem Recht dazu verpflichtet.

7. DATENSCHUTZVERLETZUNG

7.1. Wir informieren Sie unverzüglich, nachdem wir von einer Datenschutzverletzung Kenntnis erlangen, und werden in angemessener Weise auf Ihre Anfragen nach weiteren Informationen reagieren, um Sie bei der Erfüllung Ihrer Verpflichtungen gemäß den Datenschutzgesetzen zu unterstützen.

8. AUFZEICHNUNGEN ZU VERARBEITUNGSTÄTIGKEITEN

8.1. Wir führen alle gemäß den Datenschutzgesetzen erforderlichen Aufzeichnungen und stellen sie Ihnen bei Bedarf zur Verfügung, soweit dies für die Verarbeitung personenbezogener Daten in Ihrem Auftrag erforderlich ist.

9. AUDIT

9.1. Folgendes gilt für Audits:

  1. sie bedürfen der Unterzeichnung geeigneter Vertraulichkeits- oder Geheimhaltungsvereinbarungen;
  2. sie werden höchstens einmal pro Jahr durchgeführt, es sei denn, es besteht der begründete Verdacht, dass die Vereinbarung nicht eingehalten wird, und zwar nach schriftlicher Ankündigung dreißig (30) Tage im Voraus und unter Vorlage eines Plans für eine solche Überprüfung; und
  3. sie werden zu einem Zeitpunkt, an einem Ort und auf eine Weise durchgeführt, die im gegenseitigen Einvernehmen festgelegt wurden.

10. WIDERSPRÜCHLICHKEITEN

10.1. Im Falle einer Widersprüchlichkeit zwischen den Bestimmungen dieser ADVV und der Vereinbarung sind die Bestimmungen dieser ADVV maßgebend, soweit gesetzlich vorgeschrieben.

11. LÄNDERSPEZIFISCHE BESTIMMUNGEN

Soweit wir personenbezogene Daten verarbeiten, die aus einer der im Anhang aufgeführten Gerichtsbarkeiten stammen oder anderweitig den Datenschutzgesetzen dieser Gerichtsbarkeiten unterliegen, gelten zusätzlich zu den vorstehend genannten Bestimmungen die dort aufgeführten Bestimmungen für die betreffende(n) Gerichtsbarkeit(en).

ANHANG
Länderspezifische Bestimmungen

Zuletzt aktualisiert: 27. September 2021

1. Europäischer Wirtschaftsraum und Schweiz

1.1 Soweit Sie personenbezogene Daten aus dem Europäischen Wirtschaftsraum („EWR“) oder der Schweiz an LN mit Sitz außerhalb des EWR oder der Schweiz übermitteln, wird davon ausgegangen, dass die Parteien die Standardvertragsklauseln, die durch den Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021 genehmigt wurden und unter http://data.europa.eu/eli/dec_impl/2021/914/oj abrufbar sind („EU-Standardvertragsklauseln von 2021“), in Bezug auf eine solche Übermittlung abgeschlossen haben, es sei denn, die Parteien können sich auf einen alternativen Übermittlungsmechanismus oder eine andere Grundlage gemäß den Datenschutzgesetzen berufen, wobei Sie der „Datenexporteur“ sind und LN der „Datenimporteur“ ist, die „zuständige Aufsichtsbehörde“ diejenige des Landes ist, in dem der Datenexporteur seinen Sitz hat, die Fußnoten, Klausel 9(a) Option 1, Klausel 11(a) Option und Klausel 17 Option 1 entfallen, die Frist in Klausel 9(a) Option 2 14 Tage beträgt, der Inhalt der entsprechenden Anlagen dem jeweiligen Inhalt des DPA und der Vereinbarung entspricht und (i) in dem Maße, in dem Sie als für die Verarbeitung Verantwortlicher und LN als Auftragsverarbeiter handeln, Modul zwei gilt und die Module eins, drei und vier entfallen und (ii) in dem Maße, in dem jede Partei als Auftragsverarbeiter handelt, Modul drei gilt und die Module eins, zwei und vier entfallen.

1.2 Die EU-Standardvertragsklauseln von 2021 unterliegen dem Recht des Landes, in dem der Datenexporteur niedergelassen ist.

1.3 Etwaige Streitigkeiten, die sich aus den EU-Standardvertragsklauseln von 2021 ergeben, unterliegen der Zuständigkeit der Gerichte des Landes, in dem der Datenexporteur niedergelassen ist.

 

1.4 Im Falle einer Widersprüchlichkeit zwischen den Bestimmungen der Vereinbarung und den EU-Standardvertragsklauseln von 2021 sind die EU-Standardvertragsklauseln von 2021 maßgebend.

2. Vereinigtes Königreich

2.1 Soweit Sie personenbezogene Daten aus dem Vereinigten Königreich („UK“) an LN mit Sitz außerhalb des Vereinigten Königreichs übermitteln, wird davon ausgegangen, dass die Parteien die Standardvertragsklauseln, die durch den Beschluss 2010/87/EG der Europäischen Kommission vom 5. Februar 2010 genehmigt wurden und unter https://eur-lex.europa.eu/eli/dec/2010/87/oj?locale=de („Klauseln“) abrufbar sind, in Bezug auf eine solche Übermittlung abgeschlossen haben, es sei denn, die Parteien können sich auf einen alternativen Übermittlungsmechanismus oder eine andere Grundlage gemäß den Datenschutzgesetzen berufen, wobei Sie der „Datenexporteur“ sind und LN der „Datenimporteur“ ist, alle optionalen Klauseln weggelassen werden und der Inhalt der Anlagen dem jeweiligen Inhalt der Vereinbarung entspricht.

2.2 Die Klauseln unterliegen den Gesetzen von England und Wales. Alle in den Klauseln enthaltenen Bezugnahmen auf „Union“, „EU“, „Mitgliedstaat“ und deren Rechtsvorschriften werden durch „Vereinigtes Königreich“ und die entsprechenden britischen Rechtsvorschriften ersetzt.

2.3 Etwaige Streitigkeiten, die sich aus den Klauseln ergeben, unterliegen der Zuständigkeit der Gerichte von England und Wales.

2.4 Im Falle einer Widersprüchlichkeit zwischen den Bestimmungen der Vereinbarung und den Klauseln sind die Klauseln maßgebend.

3. Kalifornien, USA

3.1 Soweit LN in Ihrem Auftrag personenbezogene Daten im Sinne des California Consumer Privacy Act von 2018 (CCPA) verarbeitet, ist es LN untersagt, die personenbezogenen Daten zu einem anderen Zweck als dem spezifischen Zweck der Bereitstellung der in der Vereinbarung genannten Dienste aufzubewahren, zu verwenden oder weiterzugeben, oder wie dies anderweitig gemäß dem CCPA zulässig ist, einschließlich der Aufbewahrung, Verwendung oder Weitergabe der personenbezogenen Daten zu einem anderen kommerziellen Zweck (wie dieser Begriff im CCPA definiert ist) als der Bereitstellung der in der Vereinbarung genannten Dienste.

4. Südafrika

Soweit LN personenbezogene Daten im Geltungsbereich des South African Protection of Personal Information Act, No. 4 von 2013 (POPIA) für den Kunden verarbeitet, wird LN darüber hinaus die in Abschnitt 19 des POPIA genannten Sicherheitsmaßnahmen ergreifen und aufrechterhalten. LN benachrichtigt den Kunden unverzüglich, wenn Grund zu der Annahme besteht, dass Unbefugte auf die personenbezogenen Daten einer betroffenen Person zugegriffen haben oder in deren Besitz gelangt sind.