Skip to Main

LexisNexis Auftragsdatenverarbeitungs-Vereinbarung

1. GELTUNGSBEREICH UND BEGRIFFSBESTIMMUNGEN

1.1. LexisNexis Auftragsdatenverarbeitungs-Vereinbarung („ADVV“) ist Teil der Vereinbarung („Vereinbarung“) zwischen dem Kunden („Sie“, „Ihr“) und der entsprechenden Geschäftseinheit von LexisNexis („LN“, „wir“, „uns“, „unser“), in deren Rahmen wir Ihnen und gegebenenfalls Ihren verbundenen Unternehmen bestimmte Service („Service “) anbieten und in der auf diese ADVV Bezug genommen wird.

1.2. „Datenschutzgesetze“ bezeichnet alle anwendbaren Gesetze, Vorschriften, Verordnungen, Erlasse, Anordnungen und sonstigen staatlichen Auflagen zum Schutz der Privatsphäre und zum Datenschutz. Die Begriffe „Verantwortlicher“, „betroffene Person“, „personenbezogene Daten“, „Datenschutzverletzung“, „Verarbeitung“ und „Auftragsverarbeiter“ haben die Bedeutung, wie in den Datenschutzgesetzen angegeben. Werden in diesen Gesetzen gleichwertige oder entsprechende Begriffe verwendet, wie z. B. „persönliche Informationen“ anstelle von „personenbezogene Daten“, so sind sie in diesem Dokument als gleichbedeutend zu verstehen.

2. VERARBEITUNG

2.1. Wir ergreifen geeignete technische und organisatorische Maßnahmen, damit die Verarbeitung den Anforderungen der Datenschutzgesetze entspricht, den Schutz der Rechte der betroffenen Personen gewährleistet und einen Schutzstandard bietet, der mindestens dem in den Datenschutzgesetzen erforderlichen Schutzniveau entspricht.

2.2. Gegenstand unserer Verarbeitung sind diejenigen personenbezogenen Daten, die Sie uns im Zusammenhang mit den Services übermitteln. Die Dauer der Verarbeitung entspricht der Dauer der Bereitstellung der Services bis zur Löschung der personenbezogenen Daten entsprechend der Vereinbarung. Die Art und der Zweck der Verarbeitung ergeben sich aus der Bereitstellung der Services. Bei den verarbeiteten personenbezogenen Daten handelt es sich um diejenigen, die im Zusammenhang mit den Services übermittelt werden. Bei den Kategorien der betroffenen Personen handelt es sich um diejenigen, deren personenbezogene Daten im Zusammenhang mit den Services übermittelt werden.

2.3. Soweit wir personenbezogene Daten in Ihrem Namen verarbeiten, werden wir:

  1. die personenbezogenen Daten nur auf Ihre dokumentierte Anweisung hin verarbeiten, auch im Hinblick auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation, es sei denn, wir sind nach geltendem Recht, dem wir unterliegen, anderweitig dazu verpflichtet. In diesem Fall werden wir Sie vor der Verarbeitung über diese rechtliche Verpflichtung informieren, es sei denn, dieses Recht verbietet eine solche Benachrichtigung aus wichtigen Gründen des öffentlichen Interesses;
  2. sicherstellen, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen;
  3. alle nach den Datenschutzgesetzen erforderlichen Sicherheitsmaßnahmen ergreifen;
  4. die in den Abschnitten 3.1 und 3.2 genannten Bedingungen für die Beauftragung eines anderen Auftragsverarbeiters einhalten;
  5. unter Berücksichtigung der Art der Verarbeitung, Sie durch geeignete technische und organisatorische Maßnahmen unterstützen, soweit dies möglich ist, damit Sie Ihren Verpflichtungen zur Beantwortung von Anfragen zur Ausübung der in den Datenschutzgesetzen verankerten Rechte der betroffenen Person nachkommen können;
  6. Sie bei der Einhaltung der datenschutzrechtlichen Verpflichtungen unter Berücksichtigung der Art der Verarbeitung und der uns zur Verfügung stehenden Informationen unterstützen;
  7. nach Ihrer Wahl sämtliche personenbezogenen Daten nach Ende der Bereitstellung der Service im Zusammenhang mit der Verarbeitung löschen oder an Sie zurückgeben und vorhandene Kopien vernichten, es sei denn, geltendes Recht schreibt die Aufbewahrung der personenbezogenen Daten vor;
  8. Ihnen sämtliche Informationen zur Verfügung stellen, die erforderlich sind, um die Einhaltung der in den Datenschutzgesetzen festgelegten Verpflichtungen nachzuweisen, und von Ihnen oder einem anderen von Ihnen beauftragten Prüfer durchgeführte Audits, einschließlich Inspektionen, zulassen und daran mitwirken;

und wir informieren Sie umgehend, wenn eine von Ihnen an uns gerichtete Anweisung unserer Auffassung nach gegen die Datenschutzgesetze verstößt.

2.4. Die Vereinbarung, einschließlich dieser ADVV, sowie Ihre Inanspruchnahme und Konfiguration der Service, stellen Ihre vollständigen und endgültigen dokumentierten Anweisungen an uns bezüglich der Verarbeitung personenbezogener Daten dar. Zusätzliche oder abweichende Anweisungen bedürfen einer gesonderten Vereinbarung zwischen den Parteien.

3. UNTERAUFTRAGSVERARBEITER

3.1. Soweit wir personenbezogene Daten in Ihrem Namen verarbeiten, verfügen wir über Ihre allgemeine Zustimmung, andere Auftragsverarbeiter mit der Verarbeitung dieser personenbezogenen Daten gemäß dieser ADVV zu beauftragen. Die Liste dieser Auftragsverarbeiter finden Sie unter https://www.lexisnexis.com/global/privacy/subprocessors.page, wobei wir diese regelmäßig aktualisieren können. Wir werden Sie über etwaige Änderungen informieren, indem wir die Liste auf unserer Website mindestens 14 Tage im Voraus aktualisieren. Sie können diesen Änderungen widersprechen, indem Sie uns dies innerhalb von 14 Tagen nach Aktualisierung der Liste mitteilen und Ihre Gründe für den Widerspruch darlegen. Unbeschadet etwaiger Erstattungs- oder Kündigungsrechte, die Ihnen gemäß der Vereinbarung zustehen, werden wir uns in angemessener Weise bemühen, die Verarbeitung personenbezogener Daten durch einen solchen neuen Auftragsverarbeiter, gegen den Sie berechtigterweise Einspruch erheben, zu vermeiden.

3.2. Wenn wir einen anderen Auftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten beauftragen, werden diesem anderen Auftragsverarbeiter vertraglich oder durch eine andere Rechtshandlung nach geltendem Recht im Wesentlichen dieselben Datenschutzverpflichtungen auferlegt, wie sie in dieser ADVV dargelegt sind, insbesondere die Gewährleistung ausreichender Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen, sodass die Verarbeitung den Anforderungen der Datenschutzgesetze entspricht. Kommt der andere Auftragsverarbeiter diesen datenschutzrechtlichen Verpflichtungen nicht nach, so haften wir (vorbehaltlich der Bestimmungen dieser Vereinbarung) Ihnen gegenüber in vollem Umfang für die Erfüllung der Verpflichtungen des anderen Auftragsverarbeiters.

4. RECHTE DER BETROFFENEN PERSON

4.1. Soweit wir personenbezogene Daten in Ihrem Namen verarbeiten, werden wir Sie, soweit gesetzlich zulässig, unverzüglich über alle bei uns eingehenden datenschutzrechtlichen Anfragen von betroffenen Personen benachrichtigen.

4.2. Alle Parteien werden in angemessener Weise zusammenarbeiten, damit sie ihre jeweiligen Verpflichtungen gemäß den Datenschutzgesetzen in Bezug auf Anfragen zu den Rechten der betroffenen Personen erfüllen können.

5. ÜBERMITTLUNG

5.1. Soweit personenbezogene Daten aus Ihrem Land von LN in ein anderes Land übermittelt werden, stellen wir sicher, dass diese Übermittlung unter Einhaltung angemessener Sicherheitsvorkehrungen gemäß den Datenschutzgesetzen erfolgt.

6. SICHERHEIT DER VERARBEITUNG

6.1. Die Parteien treffen unter Berücksichtigung des Stands der Technik, der Umsetzungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie des unterschiedlich wahrscheinlichen und schwerwiegenden Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Maß an Sicherheit zu gewährleisten. Dies umfasst unter anderem Folgendes:

  1. die Anonymisierung und Verschlüsselung von personenbezogenen Daten;
  2. die Gewährleistung der ständigen Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der Verarbeitungssysteme und -dienste;
  3. die Gewährleistung der rechtzeitigen Wiederherstellung der Verfügbarkeit und des Zugangs zu personenbezogenen Daten im Falle eines physischen oder technischen Zwischenfalls; und
  4. ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

6.2. Bei der Bewertung des angemessenen Sicherheitsniveaus berücksichtigen wir die Risiken, die sich aus der Verarbeitung ergeben, insbesondere aus der unbeabsichtigten oder unrechtmäßigen Zerstörung, dem Verlust, der Veränderung, der unbefugten Weitergabe oder dem unbefugten Zugriff auf personenbezogene Daten, die übermittelt, gespeichert oder anderweitig verarbeitet werden.

6.3. Die Parteien ergreifen angemessene Maßnahmen, um sicherzustellen, dass jede natürliche Person, die im Auftrag einer der Parteien handelt und Zugang zu personenbezogenen Daten hat, diese Daten nur auf Ihre Anweisung hin verarbeitet, es sei denn, sie ist nach geltendem Recht dazu verpflichtet.

7. DATENSCHUTZVERLETZUNG

7.1. Soweit wir personenbezogene Daten in Ihrem Namen verarbeiten, informieren wir Sie unverzüglich, nachdem wir von einer Datenschutzverletzung Kenntnis erlangen, und werden in angemessener Weise auf Ihre Anfragen nach weiteren Informationen reagieren, um Sie bei der Erfüllung Ihrer Verpflichtungen gemäß den Datenschutzgesetzen zu unterstützen.

8. AUFZEICHNUNGEN ZU VERARBEITUNGSTÄTIGKEITEN

8.1. Wir führen alle gemäß den Datenschutzgesetzen erforderlichen Aufzeichnungen und stellen sie Ihnen bei Bedarf zur Verfügung, soweit dies für die Verarbeitung personenbezogener Daten in Ihrem Auftrag erforderlich ist.

9. AUDIT

9.1. Folgendes gilt für Audits:

  1. sie bedürfen der Unterzeichnung geeigneter Vertraulichkeits- oder Geheimhaltungsvereinbarungen;
  2. sie werden höchstens einmal pro Jahr durchgeführt, es sei denn, es besteht der begründete Verdacht, dass die Vereinbarung nicht eingehalten wird, und zwar nach schriftlicher Ankündigung dreißig (30) Tage im Voraus und unter Vorlage eines Plans für eine solche Überprüfung; und
  3. sie werden zu einem Zeitpunkt, an einem Ort und auf eine Weise durchgeführt, die im gegenseitigen Einvernehmen festgelegt wurden.

10. WIDERSPRÜCHLICHKEITEN

10.1. Im Falle einer Widersprüchlichkeit zwischen den Bestimmungen dieser ADVV und der Vereinbarung sind die Bestimmungen dieser ADVV maßgebend, soweit gesetzlich vorgeschrieben.

11. LÄNDERSPEZIFISCHE BESTIMMUNGEN

Soweit wir personenbezogene Daten verarbeiten, die aus einer der im Anhang aufgeführten Gerichtsbarkeiten stammen oder anderweitig den Datenschutzgesetzen dieser Gerichtsbarkeiten unterliegen, gelten zusätzlich zu den vorstehend genannten Bestimmungen die dort aufgeführten Bestimmungen für die betreffende(n) Gerichtsbarkeit(en).

ANHANG
Länderspezifische Bedingungen

1. Europäischer Wirtschaftsraum, Vereinigtes Königreich und Schweiz

1.1 Soweit Sie personenbezogene Daten aus dem Europäischen Wirtschaftsraum („EWR“), dem Vereinigten Königreich („UK“) oder der Schweiz an LN mit Sitz außerhalb des EWR, des UK oder der Schweiz übermitteln, wird davon ausgegangen, dass die Parteien die Standardvertragsklauseln, die durch den Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021 genehmigt wurden und unter https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj abrufbar sind („Klauseln“), in Bezug auf eine solche Übermittlung vereinbart haben, es sei denn, die Parteien können sich auf einen alternativen Übermittlungsmechanismus oder eine andere Grundlage gemäß den Datenschutzgesetzen berufen, wobei:

  1. die Fußnoten und Klausel 11(a) Option entfallen, und die anwendbaren Anhänge jeweils mit den im Datenschutzgesetz bzw. dem Abkommen festgelegten Informationen ergänzt werden;
  2. soweit beide Parteien als Verantwortlicher handeln, gilt Modul Eins und die Module Zwei, Drei und Vier und Klausel 17 Option 2 entfallen;
  3. soweit Sie als Verantwortlicher und LN als Auftragsverarbeiter handeln, gilt Modul Zwei, die Module Eins, Drei und Vier und Klausel 17 Option 1 entfallen, und Klausel 9(a) Option 1 entfällt und die Frist in Option 2 beträgt 14 Tage;
  4. soweit jede Partei als Auftragsverarbeiter handelt, gilt Modul Drei, die Module Eins, Zwei und Vier und Klausel 17 Option 1 entfallen, und Klausel 9(a) Option 1 entfällt und die Frist in Option 1 beträgt 14 Tage;
  5. die „zuständige Aufsichtsbehörde“ diejenige des Landes ist, in dem der Datenexporteur ansässig ist;
  6. die Klauseln dem Recht des Landes unterliegen, in dem der Datenexporteur ansässig ist;
  7. jedwede Rechtsstreitigkeit, die sich aus den Klauseln ergibt, von den Gerichten des Landes entschieden wird, in dem der Datenexporteur ansässig ist; und
  8. im Falle einer Widersprüchlichkeit zwischen den Bestimmungen der Vereinbarung und den Klauseln, die Klauseln maßgebend sind.

1.2 Für die Übermittlung personenbezogener Daten aus dem Vereinigten Königreich gelten die Klauseln, wie sie in Abschnitt 1 angewendet werden, vorbehaltlich der folgenden Änderungen:

  1. die Klauseln werden gemäß Teil 2 des Zusatzes für internationale Datenübermittlung zu den Standardvertragsklauseln der Europäischen Kommission, die gemäß Abschnitt 119A des britischen Data Protection Act 2018 herausgegeben wurden, in der jeweils gültigen Fassung („Zusatz für das Vereinigte Königreich“) geändert;
  2. die Tabellen 1 bis 3 in Teil 1 des Zusatzes für das Vereinigte Königreich werden mit den in dem Zusatz zur Datenvereinbarung bzw. in der Vereinbarung (soweit zutreffend) aufgeführten Informationen ergänzt; und
  3. Tabelle 4 in Teil 1 des Zusatzes für das Vereinigte Königreich ist erfüllt, wenn Sie „keine Partei“ auswählen.

1.3 In Bezug auf die Übermittlung personenbezogener Daten aus der Schweiz gelten die Klauseln, wie in Abschnitt 1 oben dargestellt, vorbehaltlich der folgenden Änderungen:

  1. Verweise auf die „EU-Verordnung 2016/679“ sind als Verweise auf das Schweizer Bundesgesetz über den Datenschutz („Schweizer DSG“) zu verstehen;
  2. Verweise auf bestimmte Artikel der „EU-Verordnung 2016/679“ werden durch die entsprechenden Artikel oder Abschnitte des Schweizer DSG ersetzt;
  3. Verweise auf „EU“, „Union“, „einen Mitgliedsstaat“ und „mitgliedsstaatliches Recht“ werden durch Verweise auf „Schweiz“ bzw. „schweizerisches Recht“ ersetzt;
  4. der Begriff „Mitgliedsstaat“ ist nicht so auszulegen, dass betroffene Personen in der Schweiz von der Möglichkeit ausgeschlossen werden, ihre Rechte geltend zu machen;
  5. Klausel 13(a) und Teil C des Anhangs I werden nicht verwendet und die „zuständige Aufsichtsbehörde“ ist der Schweizer Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte;e. Klausel 13(a) und Teil C des Anhangs I werden nicht verwendet und die „zuständige Aufsichtsbehörde“ ist der Schweizer Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte;
  6. die Klauseln unterliegen den Gesetzen der Schweiz; und
  7. jedwede Rechtsstreitigkeit, die sich aus den Klauseln ergibt, obliegt den Gerichten der Schweiz.

2 Brasilien

2.1 Alle Parteien müssen:

  1. ihren Verpflichtungen gemäß dem brasilianischem Datenschutzgesetz, Nr, 13.709 von 2018 (Lei Geral de Proteção de Dados Pessoais) (LGPD) nachkommen;
  2. alle durchgeführten Prozesse der Verarbeitung personenbezogener Daten dokumentieren;
  3. einen Datenschutzbeauftragten ernennen; und
  4. Sicherheits-, technische und administrative Maßnahmen anwenden, die es ermöglichen, personenbezogene Daten vor dem Zugriff durch Unbefugte sowie der unbeabsichtigten oder unrechtmäßigen Löschung, Verlust, Änderung, Kommunikation oder jeglicher anderen Form von unzulässiger oder rechtswidriger Behandlung zu schützen, einschließlich der Anwendung der technischen Mindeststandards, die von den nationalen Behörden vorgegeben sind.

2.2 Soweit Sie personenbezogene Daten aus Brasilien an LN außerhalb von Brasilien übertragen, wird LN den Grundsätzen und Rechten der betroffenen Personen sowie den Datenschutzregelungen gemäß dem LGPD entsprechen, außer die Parteien verwenden eine/n alternative/n Übertragungsmechanismus oder -basis im Sinne der Datenschutzgesetze.

3. Südafrika

3.1 Soweit LN personenbezogene Daten als Betreiber im Geltungsbereich des South African Protection of Personal Information Act, No. 4 von 2013 (POPIA) für Sie als verantwortliche Partei verarbeitet, wird LN darüber hinaus die in Abschnitt 19 des POPIA genannten Sicherheitsmaßnahmen ergreifen und aufrechterhalten und benachrichtigt Sie unverzüglich, wenn Grund zu der Annahme besteht, dass Unbefugte auf die personenbezogenen Daten einer betroffenen Person zugegriffen haben oder in deren Besitz gelangt sind.

4. United States

U.S. State Privacy Laws Addendum to LexisNexis Data Processing Addendum

Zuletzt aktualisiert: 1. März 2023