1. Einleitung
Dieser Datenschutznachtrag ("Nachtrag") wird zwischen Portant PTY LTD., einem Unternehmen mit Sitz in NSW, Australien ("Portant"), und dem Kunden vereinbart und gilt ab dem Datum, an dem sich der Kunde ordnungsgemäß registriert hat, um die von Portant angebotenen Dienste zu nutzen. Dieser Nachtrag regelt den Umgang von Portant mit personenbezogenen Daten des Kunden gemäß der zwischen Portant und dem Kunden geschlossenen Vereinbarung über die Erbringung der Dienste von Portant (die "Allgemeinen Geschäftsbedingungen").
2. Begriffsbestimmungen
Im Rahmen dieses Anhangs gelten die nachstehenden Definitionen. Großgeschriebene Begriffe, die hier nicht definiert sind, haben die in den Allgemeinen Geschäftsbedingungen festgelegten Bedeutungen.
2.1. "Verbundenes Unternehmen" bezeichnet jede juristische Person, die direkt oder indirekt die Kontrolle über die betreffende Einheit ausübt, von ihr kontrolliert wird oder gemeinsam mit ihr unter einheitlicher Kontrolle steht, wobei "Kontrolle" die Befugnis bedeutet, die Geschäftsführung der betreffenden Einheit zu lenken oder zu beeinflussen, sei es durch den Besitz von Stimmrechtsanteilen, durch Vertrag oder auf sonstige Weise.
2.2. "CCPA" bezeichnet den California Consumer Privacy Act von 2018 in seiner jeweils gültigen Fassung.
2.3. "Personenbezogene Daten des Kunden" umfasst alle Kundendaten (wie in den Allgemeinen Geschäftsbedingungen definiert), die als personenbezogene Daten einzustufen sind. Im Rahmen dieses Nachtrags schließen personenbezogene Daten des Kunden keine persönlichen Daten von Mitarbeitern oder Vertretern des Kunden ein, die in direktem geschäftlichen Kontakt mit Portant stehen.
2.4. "Datenschutzgesetzgebung" umfasst für jede Partei alle Datenschutz-, Datensicherheits- und Informationssicherheitsgesetze und -vorschriften, die für den Umgang der Partei mit personenbezogenen Daten gelten, einschließlich der EU-Datenschutzgesetzgebung und des CCPA, soweit anwendbar.
2.5. "Betroffene Person" bezeichnet die identifizierte oder identifizierbare natürliche Person, auf die sich die personenbezogenen Daten beziehen.
2.6. "EU-Datenschutzgesetzgebung" bezeichnet die Verordnung (EU) 2016/679 ("DSGVO") sowie alle nationalen Gesetze zur Umsetzung der DSGVO in ihrer jeweils gültigen Fassung.
2.7. "Verarbeitung" bezeichnet jeden Vorgang oder jede Vorgangsreihe, der bzw. die mit oder ohne automatisierte Verfahren an personenbezogenen Daten oder Gruppen von personenbezogenen Daten vorgenommen wird, wie etwa das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung, das Abrufen, das Abfragen, die Nutzung, die Offenlegung durch Übermittlung, die Verbreitung, den Abgleich, die Kombination, die Einschränkung, das Löschen oder die Vernichtung.
2.8. "Personenbezogene Daten" bezeichnet "personenbezogene Daten", "persönliche Informationen", "personenbezogene identifizierbare Informationen" oder vergleichbare Informationen, wie sie in der Datenschutzgesetzgebung definiert und geregelt sind.
2.9. "Sicherheitsereignis" bezeichnet eine bestätigte unbefugte oder rechtswidrige Verletzung der Sicherheit, die zur versehentlichen oder rechtswidrigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten führt, die von Portant verarbeitet werden. Sicherheitsereignisse umfassen keine erfolglosen Versuche oder Aktivitäten, die die Sicherheit personenbezogener Daten nicht beeinträchtigen, wie etwa erfolglose Anmeldeversuche, Pings, Port-Scans, Denial-of-Service-Angriffe oder andere Angriffe auf Firewalls oder vernetzte Systeme.
2.10. "Unterauftragsverarbeiter" bezeichnet jeden Dritten, der von Portant oder seinen verbundenen Unternehmen zur Verarbeitung personenbezogener Daten des Kunden autorisiert wurde.
2.11. "Externer Unterauftragsverarbeiter" bezeichnet jeden Unterauftragsverarbeiter, der nicht mit Portant verbunden ist.
2.12 "EU, US Data Privacy Framework (DPF)" Ein von der Europäischen Kommission verabschiedeter Rahmen, der die Übermittlung personenbezogener Daten aus der EU an zertifizierte Organisationen in den Vereinigten Staaten ermöglicht, gültig ab dem 10. Juli 2023.
3. Allgemeines; Beendigung
3.1. Dieser Anhang ist ein wesentlicher Bestandteil der Allgemeinen Geschäftsbedingungen. Vorbehaltlich ausdrücklicher Regelungen in diesem Anhang bleiben die Allgemeinen Geschäftsbedingungen unverändert und in vollem Umfang wirksam. Bei Widersprüchen zwischen diesem Anhang und den Allgemeinen Geschäftsbedingungen hat dieser Anhang Vorrang.
3.2. Alle im Rahmen dieses Anhangs entstehenden Haftungsansprüche unterliegen den in den Allgemeinen Geschäftsbedingungen festgelegten Haftungsbeschränkungen.
3.3. Die Auslegung und Anwendung dieses Anhangs richten sich nach den in den Allgemeinen Geschäftsbedingungen enthaltenen Bestimmungen zum anwendbaren Recht und zur Gerichtsbarkeit, sofern die Datenschutzgesetzgebung nichts anderes vorschreibt.
3.4. Dieser Anhang endet automatisch mit der Beendigung oder dem Ablauf der Allgemeinen Geschäftsbedingungen.
4. Geltungsbereich dieses Nachtrags
Dieser Nachtrag regelt die Verarbeitung personenbezogener Daten des Kunden durch Portant im Rahmen der Allgemeinen Geschäftsbedingungen, wobei Anhang A (EU-Anhang) dieses Anhangs ausschließlich auf die Verarbeitung personenbezogener Daten des Kunden anwendbar ist, die der EU-Datenschutzgesetzgebung unterliegt, und Anhang B (Kalifornien-Anhang) dieses Anhangs ausschließlich auf die Verarbeitung personenbezogener Daten des Kunden anwendbar ist, die dem CCPA unterliegt.
5. Rolle und Umfang der Verarbeitung
5.1. Portant verarbeitet Kundendaten ausschließlich gemäß den Weisungen des Kunden. Durch den Abschluss der Allgemeinen Geschäftsbedingungen weist der Kunde Portant an, Kundendaten für die Erbringung der Dienste sowie gemäß etwaigen anderen schriftlichen Weisungen des Kunden zu verarbeiten, die von Portant schriftlich als Weisungen im Sinne dieses Anhangs anerkannt wurden. Der Kunde erkennt an und akzeptiert, dass diese Weisung Portant ermächtigt, Kundendaten zu verarbeiten (a) zur Erfüllung seiner Pflichten und zur Ausübung seiner Rechte aus den Allgemeinen Geschäftsbedingungen; und (b) zur Einhaltung gesetzlicher Verpflichtungen sowie zur Begründung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit den Allgemeinen Geschäftsbedingungen.
5.2. Zur Klarstellung: Nichts in diesem Anhang hindert Portant daran, Kundendaten gemäß den Anweisungen des Kunden über die Dienste an Quellen und Ziele zu übermitteln. Beide Parteien sind sich einig, dass weder Quellen noch Ziele Unterauftragsverarbeiter von Portant sind und dass der Kunde im Verhältnis der Parteien zueinander allein die Verantwortung für die Verarbeitung personenbezogener Daten des Kunden durch Quellen und Ziele sowie durch mit ihnen verbundene Parteien und für sonstige Handlungen und Unterlassungen dieser Parteien trägt.
6. Unterauftragsverarbeitung
6.1. Der Kunde erteilt Portant ausdrücklich die Erlaubnis, seine verbundenen Unternehmen als Unterauftragsverarbeiter einzusetzen, und erteilt Portant generell die Genehmigung, externe Unterauftragsverarbeiter für die Verarbeitung personenbezogener Daten des Kunden zu beauftragen. Portant:
6.1.1. schließt mit jedem Unterauftragsverarbeiter einen schriftlichen Vertrag ab, der Datenschutzpflichten vorschreibt, die den in diesem Anhang festgelegten Pflichten im Wesentlichen entsprechen; und
6.1.2. bleibt verantwortlich für die Einhaltung der Pflichten aus diesem Anhang sowie für alle Handlungen oder Unterlassungen des Unterauftragsverarbeiters, die dazu führen, dass Portant gegen eine seiner Verpflichtungen aus diesem Anhang verstößt.
6.2. Bei der Beauftragung eines neuen externen Unterauftragsverarbeiters wird Portant den Kunden über diese Beauftragung informieren, was durch die Aktualisierung der Unterauftragsverarbeiter-Seite und durch eine Nachricht im Portant-Workspace des Kunden erfolgen kann. Portant wird diese Benachrichtigung mindestens zehn (10) Kalendertage vor der Verarbeitung von Kundenpersonaldaten durch den neuen Unterauftragsverarbeiter bereitstellen, es sei denn, Portant erachtet eine beschleunigte Beauftragung eines neuen Unterauftragsverarbeiters als notwendig, um die Vertraulichkeit, Integrität oder Verfügbarkeit von Kundenpersonaldaten zu schützen oder erhebliche Störungen der Dienste abzuwenden. In solchen Fällen wird Portant die Benachrichtigung so früh wie möglich bereitstellen. Teilt der Kunde Portant innerhalb von fünf (5) Kalendertagen nach dieser Benachrichtigung schriftlich seinen Widerspruch gegen die Beauftragung eines neuen externen Unterauftragsverarbeiters aufgrund begründeter datenschutzrechtlicher Bedenken mit, werden beide Parteien diese Bedenken und ihre Lösung einvernehmlich erörtern. Kann keine einvernehmliche Lösung erzielt werden, kann der Kunde als einziges und ausschließliches Rechtsmittel die Allgemeinen Geschäftsbedingungen ohne Angabe von Gründen kündigen.
7. Sicherheit
7.1. Portant hat technische und organisatorische Schutzmaßnahmen einzurichten und aufrechtzuerhalten, die darauf abzielen, Kundenpersonaldaten vor Sicherheitsvorfällen zu schützen und dabei die Vertraulichkeit und Sicherheit der Kundenpersonaldaten gemäß den Sicherheitsstandards von Portant zu gewährleisten, die auf derDatenschutz- und Sicherheitsseitebeschrieben sind.
7.2. Der Kunde ist dafür verantwortlich, die von Portant bereitgestellten Datensicherheitsinformationen zu prüfen und eigenständig zu beurteilen, ob die Services den Anforderungen und gesetzlichen Verpflichtungen des Kunden gemäß den Datenschutzgesetzen entsprechen. Der Kunde erkennt an, dass Sicherheitsmaßnahmen nach angemessener Benachrichtigung regelmäßig überarbeitet werden können, um eine kontinuierliche Verbesserung sicherzustellen oder sich an sich verändernde Praktiken anzupassen, sofern solche Änderungen die Verpflichtungen von Portant, wie sie zum Datum des Inkrafttretens festgelegt sind, nicht wesentlich einschränken.
7.3. Nach Bestätigung eines Sicherheitsvorfalls wird Portant den Kunden unverzüglich informieren, sofern dies nicht durch geltendes Recht eingeschränkt wird. Eine gesetzlich vorgeschriebene Verzögerung der Benachrichtigung durch Strafverfolgungsbehörden oder zur Ermöglichung der notwendigen Untersuchungs- oder Abhilfemaßnahmen von Portant gilt nicht als unangemessene Verzögerung. Benachrichtigungen werden, soweit möglich, den Sicherheitsvorfall detailliert beschreiben, die zur Minderung potenzieller Risiken ergriffenen Maßnahmen darlegen und dem Kunden Handlungsempfehlungen geben. Während Portant seinen Verpflichtungen gemäß diesem Abschnitt 7.c. nachkommt, bleibt der Kunde allein verantwortlich für die Einhaltung der geltenden Gesetze bezüglich der Benachrichtigung über Sicherheitsvorfälle sowie etwaiger Benachrichtigungspflichten gegenüber Dritten. Die Maßnahmen von Portant als Reaktion auf einen Sicherheitsvorfall gemäß Abschnitt 7.c. gelten nicht als Anerkennung eines Verschuldens oder einer Haftung in Bezug auf den Sicherheitsvorfall.
7.4. Der Kunde erklärt sich damit einverstanden, dass er ungeachtet der Verpflichtungen von Portant gemäß diesem Abschnitt 7 allein für die Nutzung der Services verantwortlich ist. Dazu gehört (a) die Nutzung der Services zur Aufrechterhaltung eines dem Risiko in Bezug auf Kundendaten angemessenen Sicherheitsniveaus; (b) die Sicherung von Kontoauthentifizierungsdaten, Systemen und Geräten, die für den Zugang zu den Services verwendet werden; (c) der Schutz der Systeme und Geräte des Kunden, die mit den Services verbunden sind; und (d) die Durchführung eigener Datensicherungen der Kundendaten.
8. Anfragen betroffener Personen
Portant wird auf Anfrage des Kunden (und auf Kosten des Kunden) die notwendige Unterstützung leisten, um dem Kunden bei der Erfüllung seiner Verpflichtungen gemäß den Datenschutzgesetzen in Bezug auf Anfragen von Personen zu ihren Rechten zu helfen (z. B. Rechte auf Datenzugang, Berichtigung, Löschung, Einschränkung, Übertragbarkeit und Widerspruch), sofern der Kunde solche Anfragen nicht in zumutbarer Weise über die Self-Service-Funktionen der Services bearbeiten kann. Sollte Portant eine Anfrage von einer betroffenen Person bezüglich ihrer Kundenpersonaldaten erhalten, wird Portant die betroffene Person auffordern, ihre Anfrage beim Kunden einzureichen, wobei der Kunde für die Beantwortung einer solchen Anfrage verantwortlich ist.
9. Rückgabe oder Löschung von Daten
9.1. Auf Anfrage des Kunden nach Beendigung oder Ablauf der Allgemeinen Geschäftsbedingungen wird Portant alle Kundenpersonaldaten innerhalb von sechzig (60) Tagen aus den Systemen von Portant löschen.
9.2. Ungeachtet des Vorstehenden versteht der Kunde, dass Portant Kundenpersonaldaten aufbewahren darf, sofern dies gesetzlich vorgeschrieben ist, wobei solche Daten weiterhin den Bestimmungen dieses Addendums unterliegen.
Anhang A - EU-Anhang
1. Definitionen; Datenverarbeitung
1.1. Definitionen. Im Rahmen dieses Anhangs A sind die Begriffe „Verantwortlicher", „Auftragsverarbeiter" und „Aufsichtsbehörde" gemäß dem EU-Datenschutzrecht definiert; „Standardvertragsklauseln" beziehen sich auf die Standardvertragsklauseln für Auftragsverarbeiter, die von der Europäischen Kommission gemäß denStandard Contractual Clauses (SCC)gebilligt wurden, wie sie im Portant-Workspace des Kunden bereitgestellt werden; „Datenimporteur" und „Datenexporteur" sind gemäß den Standardvertragsklauseln definiert.
1.2.Gegenstand und Details der Verarbeitung.Beide Parteien erkennen an und stimmen darin überein, dass (a) der Gegenstand der Verarbeitung im Rahmen der Allgemeinen Geschäftsbedingungen die Erbringung von Services durch Portant ist; (b) die Dauer der Verarbeitung vom Eingang der Kundenpersonaldaten bei Portant bis zur Löschung aller Kundenpersonaldaten durch Portant gemäß dem Vertrag reicht; (c) die Art und der Zweck der Verarbeitung in der Bereitstellung der Services bestehen; (d) die betroffenen Personen der Verarbeitung die Kunden, Endnutzer oder sonstige Personen des Kunden sind, die mit den Kundenpersonaldaten in Verbindung stehen; und (e) die Kategorien der Kundenpersonaldaten diejenigen sind, die der Kunde zur Aufnahme in die Services gemäß dem Vertrag autorisiert hat.
1.3.Rollen und regulatorische Compliance; Genehmigung.Beide Parteien erkennen an und stimmen darin überein, dass (a) Portant als Auftragsverarbeiter der Kundenpersonaldaten gemäß dem EU-Datenschutzrecht handelt; (b) der Kunde ein Verantwortlicher für die Kundenpersonaldaten gemäß dem EU-Datenschutzrecht ist; und (c) jede Partei die jeweiligen Verpflichtungen gemäß dem EU-Datenschutzrecht bezüglich der Verarbeitung von Kundenpersonaldaten einhalten muss. Soweit Nutzungsdaten (wie im Vertrag definiert) als personenbezogene Daten eingestuft werden, ist Portant der Verantwortliche für solche Daten und verarbeitet diese gemäß seiner Datenschutzrichtlinie, auf die unterPrivacy Policyzugegriffen werden kann.
1.4.Einhaltung der Anweisungen durch Portant.Portant verarbeitet Kundenpersonaldaten ausschließlich gemäß den Anweisungen des Kunden in diesem Addendum, sofern das EU-Datenschutzrecht nichts anderes vorschreibt. In diesem Fall informiert Portant den Kunden (sofern das betreffende Recht Portant nicht daran hindert).
2. Datensicherheit
2.1. Sicherheitsmaßnahmen, Kontrollen und Unterstützung durch Portant2.1.1. Portant wird (unter Berücksichtigung der Art der Verarbeitung von Kundenpersonaldaten und der Portant vorliegenden Informationen) dem Kunden die notwendige Unterstützung bieten, um seinen Verpflichtungen bezüglich Kundenpersonaldaten gemäß dem EU-Datenschutzrecht nachzukommen, einschließlich der Artikel 32 bis 34 (einschließlich) der DSGVO, indem er (a) die Sicherheitsmaßnahmen implementiert und aufrechterhält; (b) die Bedingungen von Abschnitt 7 dieses Addendums einhält; und (c) diesen Anhang A.2.1.2 befolgt. Portant wird den Zugang zu Kundenpersonaldaten ausschließlich Mitarbeitern gewähren, die diesen Zugang für ihre Aufgaben benötigen, und zwar unter angemessenen Vertraulichkeitsverpflichtungen. Sollte ein Mitarbeiter des Kunden seine Rechte gemäß den EU-Datenschutzgesetzen (z. B. Rechte auf Datenzugang, Berichtigung, Löschung, Einschränkung, Übertragbarkeit und Widerspruch) in Bezug auf Nutzungsdaten, die personenbezogene Daten darstellen, geltend machen wollen, verpflichtet sich der Kunde, Portant umgehend zu benachrichtigen und seinen Mitarbeiter anzuweisen, Portant direkt untercontact@portant.cozu kontaktieren.
2.2.Prüfungen und Compliance-Überprüfungen.Sollten die geltenden Datenschutzgesetze dem Kunden das Recht einräumen, die Verarbeitung von Kundenpersonaldaten durch Portant zu prüfen, wird der Kunde dieses Prüfungsrecht ausüben und Portant wird seinen entsprechenden Verpflichtungen nachkommen, wie im Folgenden dargelegt:
2.2.1. Portant stellt dem Kunden relevante Informationen zur Verfügung, die die Verarbeitung von Kunden-Personendaten durch Portant im Rahmen dieses Addendums betreffen, in Form der aktuellsten Prüfberichte von Portant ("Third Party Reports").
2.2.2. Höchstens einmal pro Kalenderjahr und auf Kosten des Kunden kann der Kunde die Verarbeitung von Kunden-Personendaten durch Portant auf die Einhaltung der Pflichten aus diesem Addendum prüfen, indem er angemessene Informationsanfragen, einschließlich Sicherheits- und Prüffragebögen, einreicht. Portant wird schriftliche Antworten liefern, sofern die angeforderten Informationen wesentlich sind, um die Einhaltung dieses Addendums durch Portant zu bestätigen. Sofern jedoch ein Third Party Report, der innerhalb von 12 Monaten vor der Anfrage des Kunden ausgestellt wurde, die angeforderten Informationen abdeckt und Portant bestätigt, dass keine wesentlichen Änderungen eingetreten sind, die für die Anfrage des Kunden relevant sind, erklärt sich der Kunde bereit, einen solchen Third Party Report anstelle einer schriftlichen Antwort zu akzeptieren. Alle von Portant im Rahmen dieses Abschnitts 2.b. geteilten Informationen gelten als vertrauliche Informationen von Portant gemäß dem Vertrag.
2.2.3. Für den Fall, dass ein Dritter mit der Durchführung einer Prüfung gemäß diesem Abschnitt 2.b. beauftragt wird, behält sich Portant das Recht vor, Einwände gegen den Prüfer zu erheben, wenn Portant nach vernünftigem Ermessen der Ansicht ist, dass der Prüfer nicht unabhängig ist, ein Wettbewerber von Portant ist oder anderweitig nicht qualifiziert ist. Ein solcher Einwand von Portant verpflichtet den Kunden, einen anderen Prüfer zu benennen oder die Prüfung intern durchzuführen.
2.2.4. Der Kunde hat Portant unverzüglich über etwaige im Rahmen der Prüfung festgestellte Verstöße zu informieren und Portant alle Prüfberichte zur Verfügung zu stellen, die im Zusammenhang mit einer Prüfung gemäß diesem Abschnitt 2.b. erstellt wurden, sofern dies nicht durch das EU-Datenschutzrecht verboten oder von einer Aufsichtsbehörde angeordnet wird. Der Kunde darf die Prüfberichte ausschließlich zur Erfüllung seiner regulatorischen Prüfpflichten und zur Bestätigung, dass die Verarbeitung von Kunden-Personendaten durch Portant diesem Addendum entspricht, verwenden.
2.2.5. Der Kunde hat Portant für den Zeitaufwand von Portant oder seinen Unterauftragsverarbeitern im Zusammenhang mit Prüfungen gemäß diesem Abschnitt 2.b. zu den jeweils geltenden Honorarsätzen für professionelle Dienstleistungen von Portant zu vergüten, die dem Kunden auf Anfrage mitgeteilt werden. Der Kunde trägt alle Kosten, die durch einen vom Kunden beauftragten Prüfer entstehen. Nichts in diesem Addendum verpflichtet Portant, im Rahmen solcher Prüfungen mehr Informationen über seine Third Party Subprocessors offenzulegen, als diese Third Party Subprocessors ihren Kunden generell mitteilen. Nichts in diesem Abschnitt 2.b. verpflichtet Portant, gegen etwaige Vertraulichkeitspflichten zu verstoßen.
3. Impact Assessments and Consultations
Portant kann unter Berücksichtigung der Art der Verarbeitung und der Portant zugänglichen Informationen den Kunden in angemessener Weise bei der Erfüllung seiner Pflichten gemäß Artikeln 35 und 36 der DSGVO unterstützen, indem Portant (a) Dokumentation bereitstellt, die relevante Aspekte des Informationssicherheitsprogramms von Portant und die darin umgesetzten Sicherheitsmaßnahmen beschreibt, sowie (b) die sonstigen im Vertrag enthaltenen Informationen zur Verfügung stellt, einschließlich dieses Addendums.
4. Data Transfers
4.1.Data Processing Facilities.Vorbehaltlich Abschnitt 4.b. kann Portant Kunden-Personendaten in den Vereinigten Staaten oder an jedem anderen Standort speichern und verarbeiten, an dem Portant oder seine Unterauftragsverarbeiter Einrichtungen unterhalten. Unter Einhaltung der Pflichten von Portant in diesem Abschnitt 4 ist der Kunde dafür verantwortlich sicherzustellen, dass seine Nutzung der Dienste den etwaigen grenzüberschreitenden Datenübermittlungsbeschränkungen des EU-Datenschutzrechts entspricht.
4.2.Standard Contractual Clauses.Sofern der Kunde mit Sitz in der EU Kunden-Personendaten aus der EU an Portant in ein Land überträgt, das von der Europäischen Kommission nicht als Land mit angemessenem Datenschutzniveau anerkannt ist, und der EU-US Privacy Shield durch den EU-US Data Privacy Framework (DPF) ersetzt wurde und keine andere rechtmäßige Übermittlungsgrundlage verfügbar ist, unterliegt eine solche Übermittlung den Standard Contractual Clauses, deren Bedingungen hiermit in diese DPA einbezogen werden. In Übereinstimmung mit dem Vorstehenden vereinbaren die Parteien Folgendes:
4.2.1. In Bezug auf die Standard Contractual Clauses handelt (a) der Kunde als Datenexporteur und (b) Portant als Datenimporteur;
Hinweis: Obwohl Portant seinen Hauptsitz in Australien hat, wird seine Infrastruktur in den Vereinigten Staaten gehostet. Am 10. Juli 2023 hat die Europäische Kommission einen Angemessenheitsbeschluss für den EU-US Data Privacy Framework (DPF) erlassen, der die Übermittlung personenbezogener Daten aus der EU an in den USA ansässige Organisationen, die unter dem DPF zertifiziert sind, ermöglicht. Portant stützt sich auf eine Zertifizierung unter dem DPF zur Unterstützung rechtmäßiger Datenübermittlungen oder alternativ, wo erforderlich, auf die Standard Contractual Clauses, um konforme internationale Datenübermittlungen zu gewährleisten.
4.2.2. Für Appendix 1 zu den Standard Contractual Clauses entsprechen die betroffenen Personen, Datenkategorien und Verarbeitungsvorgänge den in Abschnitt 1.b. dieses Annex A festgelegten Angaben;
4.2.3. Für Appendix 2 zu den Standard Contractual Clauses gelten als technische und organisatorische Maßnahmen die Sicherheitsmaßnahmen;
4.2.4. Auf Anfrage des Datenexporteurs gemäß den Standard Contractual Clauses stellt der Datenimporteur die Kopien der Unterauftragsverarbeiter-Vereinbarungen zur Verfügung, die vom Datenimporteur gemäß Klausel 5(j) der Standard Contractual Clauses an den Datenexporteur zu übermitteln sind, wobei der Datenimporteur berechtigt ist, etwaige kommerzielle Informationen oder Klauseln, die keinen Bezug zu den Standard Contractual Clauses oder deren Äquivalenten haben, vorab zu entfernen oder zu schwärzen;
4.2.5. Die in Klausel 5(f) und Klausel 12(2) der Standard Contractual Clauses beschriebenen Prüfungen werden in Übereinstimmung mit Abschnitt 2.b. dieses Annex A durchgeführt;
4.2.6. Die Genehmigungen des Kunden in Abschnitt 6 dieses Addendums (Unterauftragsverarbeitung) stellen die vorherige schriftliche Zustimmung des Kunden zur Unterbeauftragung der Verarbeitung von Kunden-Personendaten durch Portant dar, sofern eine solche Zustimmung gemäß Klausel 5(h) der Standard Contractual Clauses erforderlich ist;
4.2.7. Die Bestätigung der Löschung von Kunden-Personendaten gemäß Klausel 12(1) der Standard Contractual Clauses wird nur auf Anfrage des Kunden erteilt; und
4.2.8. Die Standard Contractual Clauses erlöschen automatisch, sobald die von ihnen geregelte Übermittlung von Kunden-Personendaten gemäß Kapitel V der DSGVO auf einer anderen Grundlage rechtmäßig wird und es dieser Standard Contractual Clauses nicht mehr bedarf.
Annex B - California Annex
1. Für die Zwecke dieses Annex B haben die Begriffe "business", "commercial purpose", "service provider", "sell" und "personal information" die im CCPA festgelegten Bedeutungen.
2. In Bezug auf Kunden-Personendaten agiert Portant als Dienstleister im Sinne des CCPA.
3. Portant darf (a) Kunden-Personendaten nicht verkaufen; (b) Kunden-Personendaten nicht für andere Zwecke als den spezifischen Zweck der Erbringung der Dienste aufbewahren, verwenden oder offenlegen, einschließlich der Aufbewahrung, Verwendung oder Offenlegung der Kunden-Personendaten für einen kommerziellen Zweck, der nicht die Erbringung der Dienste umfasst; oder (c) Kunden-Personendaten außerhalb der direkten Geschäftsbeziehung zwischen Portant und dem Kunden aufbewahren, verwenden oder offenlegen.
4. Die Parteien erkennen an und vereinbaren, dass die Verarbeitung von Kunden-Personendaten gemäß den Weisungen des Kunden in Abschnitt 5 dieses Addendums grundlegend für und umfasst in der Erbringung der Dienste durch Portant und die direkte Geschäftsbeziehung zwischen den Parteien ist.
5. Ungeachtet etwaiger Bestimmungen in den Allgemeinen Geschäftsbedingungen oder damit verbundener Bestellformulare erkennen die Parteien an und vereinbaren, dass der Zugang von Portant zu Kunden-Personendaten nicht als Teil der zwischen den Parteien im Rahmen der Allgemeinen Geschäftsbedingungen ausgetauschten Gegenleistung gilt.
6. Soweit Nutzungsdaten (wie in den Allgemeinen Geschäftsbedingungen definiert) als personenbezogene Daten angesehen werden, ist Portant das verantwortliche Unternehmen in Bezug auf solche Daten und verarbeitet diese in Übereinstimmung mit seiner Datenschutzrichtlinie, die unterPrivacy Policy
Annex C - UK Annex
1. Anfragen betroffener Personen auf Auskunft
1.1 Portant unterstützt den Kunden bei der Beantwortung von Anfragen betroffener Personen auf Auskunft (DSARs) gemäß Artikel 15 der UK GDPR. Zu diesem Zweck wird Portant:
- dem Kunden alle zur Beantwortung der DSAR erforderlichen Informationen zur Verfügung stellen, einschließlich aller personenbezogenen Daten, die Portant im Auftrag des Kunden verarbeitet.
- den Kunden bei der Überprüfung der Identität der betroffenen Person unterstützen.
- dem Kunden den Zugriff auf die personenbezogenen Daten der betroffenen Person ermöglichen oder deren Übermittlung an einen anderen Verantwortlichen veranlassen, sofern der Kunde dies anweist.
- den Kunden bei der Erfüllung aller weiteren Anforderungen aus Artikel 15 der UK GDPR unterstützen.
1.2 Der Kunde trägt alle Kosten, die im Zusammenhang mit der Unterstützung durch Portant bei der Beantwortung von DSARs entstehen.
2. Anfragen betroffener Personen auf Löschung
2.1 Portant unterstützt den Kunden bei der Beantwortung von Anfragen betroffener Personen auf Löschung (DSDRs) gemäß Artikel 17 der UK GDPR. Zu diesem Zweck wird Portant:
- alle personenbezogenen Daten der betroffenen Person, die Portant im Auftrag des Kunden verarbeitet, löschen, es sei denn, Portant ist gesetzlich zur Aufbewahrung dieser Daten verpflichtet.
- dem Kunden eine Bestätigung über die Löschung der personenbezogenen Daten der betroffenen Person bereitstellen.
2.2 Der Kunde trägt alle Kosten, die im Zusammenhang mit der Unterstützung durch Portant bei der Beantwortung von DSDRs entstehen.
3. Datenschutzverletzungen
3.1 Portant benachrichtigt den Kunden über jede Verletzung des Schutzes personenbezogener Daten, die die personenbezogenen Daten des Kunden betrifft, innerhalb von 72 Stunden nach Bekanntwerden der Verletzung.
3.2 Portant arbeitet mit dem Kunden bei der Untersuchung und Behebung von Verletzungen des Schutzes personenbezogener Daten zusammen.
3.3 Der Kunde trägt alle Kosten, die im Zusammenhang mit der Mitwirkung von Portant bei der Untersuchung und Behebung von Verletzungen des Schutzes personenbezogener Daten entstehen.
Wenn Ihre Organisation eine unterzeichnete Version benötigt, können Sie diese unten prüfen und unterzeichnen (Powered by Portant):