PRÄAMBEL
Der Kunde (wie im Geschäftsvorschlag genannt) schloss eine Vereinbarung (die „Vereinbarung“) mit sharingbox (dem „Anbieter“) zur Bereitstellungen von Dienstleistungen, wie in obigem Geschäftsvorschlag beschrieben (die „Dienstleistungen”). Bei Bereitstellung dieser Dienstleistungen für den Kunden gemäß dieser oder in Verbindung mit dieser Vereinbarung kann der Anbieter als Auftragsverarbeiter bestimmte personenbezogene Daten des Kunden im Auftrag des Kunden (die „personenbezogenen Daten des Kunden“) verarbeiten, ausgenommen jene personenbezogenen Daten, die vom Anbieter in seiner Funktion als Verantwortlicher verarbeitet werden.
Bei der Verarbeitung personenbezogener Daten des Kunden wird der Anbieter als Auftragsverarbeiter im Sinne der geltenden Datenschutzvorschriften tätig und
Kunde und Anbieter möchten in diesem Anhang zur Datenverarbeitung den Rahmen für die Verarbeitung von personenbezogenen Daten des Kunden durch den Anbieter gemäß oder in Verbindung mit der Vereinbarung festlegen.
DAHER WIRD FOLGENDES VEREINBART:
1. Interpretation
Der Inhalt dieses Anhangs zur Datenverarbeitung wird durch die in der Vereinbarung festgelegten Geschäftsbedingungen geregelt. Begriffe, die in diesem Anhang zur Datenverarbeitung verwendet, jedoch darin nicht definiert werden, haben dieselben Bedeutungen wie in der Vereinbarung, sofern aus dem Kontext keine andere Bedeutung ableitbar ist.
In diesem Anhang zur Datenverarbeitung
hat „Vereinbarung“ die unter der Randnummer 1 dieses Anhangs zur Datenverarbeitung festgelegte Bedeutung,
meint „genehmigter Sub-Auftragsverarbeiter“ jene Sub-Auftragsverarbeiter, die vom Kunden in Übereinstimmung mit Artikel 6.2. genehmigt wurden,
hat „personenbezogene Daten des Kunden“ die unter der Randnummer 1 dieses Anhangs zur Datenverarbeitung festgelegte Bedeutung, (eine Beschreibung der Kategorien von personenbezogenen Daten des Kunden findet sich in Übersicht 1),
bezeichnet „Datenschutzvorschriften“ alle Gesetze, Verordnungen, Regelungen, ordnungspolitische Richtlinien, Durchführungsbestimmungen, Verfügung oder Akte delegierte Gesetzgebung, die sich auf die Verarbeitung, den Schutz und die Verwendung von personenbezogenen Daten beziehen, soweit auf den Kunden, den Anbieter und/oder Dienstleistungen anwendbar, darunter
in Belgien
das Gesetz vom 8. Dezember 1992 über den Schutz der Persönlichkeitssphäre im Rahmen der Verarbeitung von persönlichen Informationen und alle anderen nationalen Gesetze oder Verordnungen, die die Richtlinie 95/46/EG („Datenschutzrichtlinie“) umsetzen und
die Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, kurz „DSGVO“) und alle zugehörigen oder gleichwertigen nationalen Gesetze oder Verordnungen sowie
in anderen EU-Ländern die Datenschutzrichtlinie oder, sobald anwendbar, die DSGVO und alle einschlägigen Gesetze oder Verordnungen in den Mitgliedsländern, die diese Richtlinien umsetzen oder die DSGVO näher bestimmen –
in jedem Fall soweit in Kraft und anwendbar, geändert, ergänzt oder ersetzt,
ist mit „Anhang zur Datenverarbeitung“ der aktuelle Anhang zur Datenverarbeitung einschließlich aller zu diesem Anhang zur Datenverarbeitung gehörender Übersichten gemeint,
bezeichnet „personenbezogene Daten“ Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen,
hat „Dienstleistungen“ die unter der Randnummer 1 dieses Anhangs zur Datenverarbeitung festgelegte Bedeutung,
hat „Drittland“ die diesem Begriff in Artikel 7.1. zugewiesene Bedeutung.
Die Parteien nehmen zur Kenntnis und vereinbaren, dass dieser Anhang zur Datenverarbeitung einen integralen Bestandteil dieser Vereinbarung darstellt. Falls es zu einem Widerspruch oder zu Inkonsistenzen zwischen
einem Begriff im Hauptteil dieses Anhangs zur Datenverarbeitung oder
einem Begriff in einer der zu diesem Anhang zur Datenverarbeitung gehörenden Übersichten
und einem Begriff in der Vereinbarung und ihren Übersichten und Anhängen kommt,
ist jener Begriff maßgeblich, der zuerst in obiger Liste aufscheint.
2. Umfang und Zweck
Die Bestimmungen in diesem Anhang zur Datenverarbeitung sind nur dann und insoweit anwendbar, als der Anbieter personenbezogene Daten des Kunden für die Bereitstellung von Dienstleistungen verarbeitet.
3. Einhaltung der geltenden Datenschutzvorschriften
Wenn der Anbieter personenbezogene Daten des Kunden verarbeitet, wird er jederzeit seinen Verpflichtungen aufgrund aller geltenden Datenschutzvorschriften nachkommen.
Der Anbieter wird personenbezogene Daten des Kunden ausschließlich verarbeiten:
in der Art und Weise und zu den Zwecken wie in Übersicht 1 festgelegt und
aufgrund dokumentierter Anweisungen des Kunden.
Der Kunde
weist hiermit den Anbieter an, jene Schritte im Auftrag des Kunden bei der Verarbeitung von personenbezogenen Daten des Kunden zu setzen, wie diese nach allgemeinem Ermessen für die Bereitstellung der Dienstleistungen notwendig sind, und
ermächtigt den Anbieter, den genehmigten Sub-Auftragsverarbeitern im Namen des Kunden Anweisungen zu erteilen, die jenen in Artikel 3.3.1. entsprechen.
4. Vertraulichkeit und Sicherheit
Der Anbieter verpflichtet sich, alle personenbezogenen Daten des Kunden vertraulich zu behandeln. Sofern der Kunde nichts anderes in schriftlicher Form verlangt, wird der Anbieter personenbezogene Daten des Kunden keinen anderen Dritten, als den folgenden offenlegen:
seinen Angestellten, seinen genehmigten Sub-Auftragsverarbeitern und den Angestellten der genehmigten Sub-Auftragsverarbeiter, gegenüber welchen eine solche Offenlegung für die Bereitstellung der Dienstleistungen nach allgemeinem Ermessen notwendig ist, oder
in dem Ausmaß, wie es gesetzlich vorgeschrieben ist, einer Regierungs- oder Aufsichtsbehörde oder einem Gericht oder anderen zuständigen Justizbehörde,
vorausgesetzt, dass die Personen, denen personenbezogene Daten des Kunden gemäß Artikel 4.1.3. offengelegt werden, durch Vertraulichkeitsverpflichtungen, die jenen des Anbieters gemäß diesem Anhang zur Datenverarbeitung und dieser Vereinbarung entsprechen, gebunden sind.
Der verfügbaren Technologie, den Kosten ihrer Einführung und der Natur, dem Umfang, dem Kontext und den Zwecken der Verarbeitung von personenbezogenen Daten des Kunden Rechnung tragend, wird der Anbieter geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko entsprechendes Schutzniveau zu gewährleisten und – ob unbeabsichtigt oder unrechtmäßig – jede Zerstörung, jeden Verlust, jede Veränderung, jede nicht genehmigte Offenlegung personenbezogener Daten des Kunden oder jeden nicht genehmigten Zugang zu personenbezogenen Daten des Kunden zu verhindern.
5. Meldung über eine Verletzung des Schutzes personenbezogener Daten
Der Anbieter verständigt den Kunden sobald wie nach allgemeinem Ermessen möglich schriftlich, wenn er sich einer tatsächlichen Verletzung der Sicherheit, die zu – ob unbeabsichtigt oder unrechtmäßig – einer Zerstörung, einem Verlust, einer Veränderung, einer nicht genehmigten Offenlegung von oder einem nicht genehmigten Zugang zu vom Anbieter verarbeiteten personenbezogenen Daten des Kunden führt, bewusst wird.
6. Unterbeauftragung und Sub-Auftragsverarbeitung
Der Kunde ermächtigt den Anbieter, die gesamte Verarbeitung von personenbezogenen Daten des Kunden oder Teile davon an Sub-Auftragsverarbeiter zu vergeben unter der Voraussetzung, dass
der Anbieter den Kunden über alle beabsichtigten Veränderungen betreffend die Hinzuziehung oder Ersetzung von Sub-Auftragsverarbeitern informiert und dem Kunden die Möglichkeit gibt, diesen Änderungen zu widersprechen, und
Anbieter und Sub-Auftragsverarbeiter eine schriftliche Vereinbarung zur Auftragsverarbeitung eingegangen sind, die Verpflichtungen festlegt, die jenen in diesem Anhang zur Datenverarbeitung entsprechen.
Im Sinne des Artikels 6.1. genehmigt der Kunde die Unterbeauftragung der Verarbeitung von personenbezogenen Daten des Kunden an die in Übersicht 2 angeführten Sub-Auftragsverarbeiter. Die in Übersicht 2 angeführten Sub-Auftragsverarbeiter werden als genehmigte Sub-Auftragsverarbeiter im Sinne dieses Anhangs zur Datenverarbeitung erachtet.
7. Grenzüberschreitende Übermittlung von personenbezogenen Daten des Kunden
Der Anbieter kann personenbezogene Daten des Kunden an einen Empfänger in einem Land außerhalb des Europäischen Wirtschaftsraumes (in der Folge „Drittland“ genannt) übermitteln, sofern:
ein Angemessenheitsbeschluss der EU-Kommission hinsichtlich dieses Drittlandes gemäß geltenden Datenschutzvorschriften vorliegt,
die Übermittlung unter den EU-US-Datenschutzschild fällt,
der Empfänger einen Vertrag, der von der EU-Kommission oder von anderen zuständigen Behörden genehmigte Modellklauseln in Übereinstimmung mit den geltenden Datenschutzvorschriften enthält, mit dem Kunden abgeschlossen hat oder
geeignete alternative, den geltenden Datenschutzvorschriften entsprechende Sicherheitsmaßnahmen getroffen wurden.
8. Überprüfungen
Um die Einhaltung der Verpflichtungen des Anbieters gemäß diesem Anhang zur Datenverarbeitung durch den Anbieter zu überprüfen, kann der Kunde verlangen und hat der Anbieter zu erlauben, dass ersterer Kopien aller nicht-vertraulichen Informationen, die nach allgemeinem Ermessen zum Nachweis der Einhaltung der Verpflichtungen des Anbieters gemäß diesem Anhang zur Datenverarbeitung nötig sind, erhält. Solche Informationsanforderungen sind schriftlich vom Kunden einzubringen. Der Anbieter verpflichtet sich, die verlangten Unterlagen und Informationen innerhalb angemessener Frist, unter Berücksichtigung des Umfangs und der Komplexität der angeforderten Informationen, bereitzustellen.
Sofern und soweit der Kunde die nötigen Informationen gemäß Artikel 8.1. nicht erhalten hat, kann der Kunde zum Zwecke der Überprüfung der Einhaltung der Anbieter-Verpflichtungen gemäß diesem Anhang zur Datenverarbeitung durch den Anbieter, eine Inspektion in den Räumlichkeiten des Anbieters verlangen und der Anbieter hat eine solche Inspektion zu erlauben, sofern folgende Bedingungen erfüllt sind:
Das Ansuchen um Inspektion wurde dem Anbieter schriftlich mindestens (90) Werktage vor dem Datum der Inspektion übermittelt.
Die Inspektion findet zu den üblichen Geschäftszeiten statt.
Der tägliche Betrieb beim Anbieter wird durch die Inspektion nicht gestört.
Die Inspektion dauert nicht länger oder bindet mehr Ressourcen, als dies zur Erlangungen der gewünschten Information nötig ist,
Der Kunde oder ein Dritter, welcher die Inspektion in seinem Namen durchführt, stimmt vor jeglicher Inspektion zu, an ad hoc angemessene Vertraulichkeitsverpflichtungen hinsichtlich der erhaltenen Informationen und Dokumente gebunden zu sein.
Kunde und Anbieter einigen sich auf einen schriftlichen Aktionsplan mit einer genauen Beschreibung des Umfangs, in dem Informationen, Dokumente, Informationssysteme und IT-Anlagen von der Inspektion betroffen sind.
Der Kunde trägt alle Kosten und Auslagen in Zusammenhang mit jeder Überprüfung (einschließlich aller Kosten und Auslagen seitens des Anbieters im Zusammenhang mit jeglicher vom Anbieter geleisteten Unterstützung bei der Durchführung solcher Überprüfungen).
9. Unterstützung bei der Behandlung von Anfragen von betroffenen Personen
Der Anbieter wird, soweit möglich und auf Kosten des Kunden, bei folgenden Tätigkeiten mit dem Kunden kooperieren:
bei der Behandlung von Anfragen von betroffenen Personen in Ausübung ihrer Rechte und
bei der Durchführung einer Datenschutz-Folgenabschätzung in Verbindung mit der Bereitstellung der Dienstleistungen.
10. Laufzeit und Beendigung
Dieser Anhang zur Datenverarbeitung tritt mit dem Datum der Dienstleistungsvereinbarung in Kraft und bleibt für die Dauer, die der Anbieter Dienstleistungen gemäß dieser Vereinbarung bereitstellt, in Kraft.
11. Rückgabe/Löschung personenbezogener Daten des Kunden
Innerhalb von (30) Werktagen nach Ablauf oder Beendigung dieses Anhangs zur Datenverarbeitung wird der Anbieter
nach Wunsch des Kunden
diesem alle personenbezogenen Daten des Kunden, die sich zum Datum der Beendigung oder des Ablaufs in Besitz oder unter der Kontrolle des Anbieters befinden, in einem zu diesem Zeitpunkt gängigen elektronischen Format zurückgeben oder
alle personenbezogenen Daten des Kunden, die sich zum Datum der Beendigung oder des Ablaufs in Besitz oder unter der Kontrolle des Anbieters befinden, zerstören oder sie aus seinen Computersystemen und Dateien löschen.
Übersicht 1: Beschreibung der Datenverarbeitung
1. Zwecke der Datenverarbeitung
Die Zwecke der Datenverarbeitung bestehen in
der Sammlung von Fotos und Daten durch Fotoautomaten, dem Betreiben von Online-Fotogalerien, der Qualitätsprüfung von Fotos und dem Versand von Fotos an Endnutzer und in
der Bereitstellung von IT-Support (Fehlerbehebung) und Kundendienst (einschließlich des Fernzugriffs auf Fotoautomaten zu Wartungszwecken).
2. Kategorien von personenbezogenen Daten
Die personenbezogenen Daten des Kunden, die vom Auftragsverarbeiter verarbeitet werden, umfassen
Identifikationsdaten (Namen, Titel usw.),
Standorte der Fotoautomaten,
Kontaktinformationen (E-Mail-Adressen)
berufliche Identifikationsdaten (Berufsbezeichnung usw.),
aufgenommene Bilder (Fotos).
3. Kategorien von betroffenen Personen
Die Kategorien von betroffenen Personen umfassen
Endnutzer der Fotoautomaten.
4. Verarbeitungsanweisungen
Der Anbieter wird personenbezogene Daten des Kunden wie folgt verarbeiten:
nur soweit und solange, wie zur Erfüllung der oben genannten Zwecke erforderlich und
nur soweit und solange, wie es gegebenenfalls für die Erfüllung einer den Anbieter betreffenden gesetzlichen Verpflichtung nötig ist, oder
falls eine Einwilligung der betroffenen Person erforderlich ist, nur nach vorherigem Erhalt der Einwilligung der betroffenen Person.
Übersicht 2: Genehmigte Sub-Auftragsverarbeiter
– Amazon Web Services, Inc. in P.O. Box 81226 Seattle, WA 98108-1226
– Google LLC, in 1600 Amphitheatre Parkway, Mountain View, CA 94043, Vereinigte Staaten
– Mandrill, (The Rocket Science Group LLC), in 675 Ponce de Leon Ave NE, Suite 5000, Atlanta, Georgia 30308
– Twilio Inc., in 375 Beale Street, Suite 300, San Francisco, CA 94105
– Sightengine, Kozelo SAS, 16 bis rue d’Odessa, 75014 Paris, Frankreich