WÄHREND:
A. Der Kunde fungiert als Datenverantwortlicher.
B. Der Kunde möchte bestimmte Dienstleistungen, die die Verarbeitung personenbezogener Daten beinhalten, an Zonos als Auftragsverarbeiter auslagern.
C. Die Parteien beabsichtigen, eine DPA umzusetzen, die den Anforderungen des aktuellen rechtlichen Rahmens in Bezug auf die Datenverarbeitung und der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr entspricht und die die Richtlinie 95/46/EG (Datenschutz-Grundverordnung) aufhebt.
D. Die Parteien möchten ihre Rechte und Pflichten festlegen.
Diese DPA enthält und bezieht sich auf die Anhänge und Zusatzvereinbarungen, die am Ende dieses Dokuments aufgeführt sind. Alle großgeschriebenen Begriffe, die in dieser DPA nicht definiert sind, haben die Bedeutung, die in der Hauptvereinbarung festgelegt ist.
Die Parteien vereinbaren folgendes:
1. Definitionen
Sofern hierin nicht anders definiert, haben die in diesem DPA verwendeten großgeschriebenen Begriffe und Ausdrücke die folgende Bedeutung:
-
„Beauftragter Verarbeiter“ bedeutet ein Unter-Verarbeiter;
-
„Datenschutzgesetze“ bezeichnet die Datenschutzgesetze der EU und, soweit anwendbar, die Datenschutz- oder Datenschutzgesetze eines anderen Landes;
-
„Datenübertragung“ bedeutet:
- Eine Übertragung von personenbezogenen Daten vom Kunden an einen beauftragten Verarbeiter; oder
- Eine Weiterübertragung von personenbezogenen Daten von einem beauftragten Verarbeiter an einen unterbeauftragten Verarbeiter oder zwischen zwei Niederlassungen eines beauftragten Verarbeiters, in jedem Fall, wenn eine solche Übertragung durch Datenschutzgesetze (oder durch die Bedingungen von Datenübertragungsvereinbarungen, die eingerichtet wurden, um die Datenübertragungsbeschränkungen der Datenschutzgesetze anzugehen) verboten wäre;
-
„DPA“ bedeutet diese Datenverarbeitungsvereinbarung und alle Anhänge;
-
„EWR“ bedeutet den Europäischen Wirtschaftsraum;
-
„EU-Datenschutzgesetze“ bezeichnet die EU-Richtlinie 95/46/EG, wie sie in die innerstaatliche Gesetzgebung jedes Mitgliedstaats umgesetzt und von Zeit zu Zeit geändert, ersetzt oder abgelöst wurde, einschließlich der DSGVO und der Gesetze, die die DSGVO ergänzen oder umsetzen;
-
„DSGVO“ bedeutet die Allgemeine Datenschutzverordnung 2016/679 der EU;
-
„Personenbezogene Daten“ bedeutet alle personenbezogenen Daten, die von einem beauftragten Verarbeiter im Auftrag des Kunden gemäß oder in Verbindung mit dem Hauptvertrag verarbeitet werden;
-
„Dienstleistungen“ bedeutet jedes Produkt oder jede Dienstleistung, die von Zonos dem Kunden gemäß und wie im Hauptvertrag näher beschrieben zur Verfügung gestellt wird;
-
„Unter-Verarbeiter“ bedeutet jeden Verarbeiter, der von oder im Auftrag von Zonos ernannt wird, um personenbezogene Daten im Auftrag des Kunden in Verbindung mit dem DPA zu verarbeiten.
-
Die Begriffe „Verantwortlicher“, „Betroffener“, „Mitgliedstaat“, „Personenbezogene Daten“, „Verletzung des Schutzes personenbezogener Daten“ und „Verarbeitung“ haben die gleiche Bedeutung wie in der DSGVO und ihre verwandten Begriffe werden entsprechend ausgelegt.
2. Verpflichtungen des Kunden
-
Einhaltung von Gesetzen.
- Im Rahmen des DPA und bei der Nutzung der Dienstleistungen stimmt der Kunde zu, dass er seine Verpflichtungen als Verantwortlicher gemäß den Datenschutzgesetzen bei der Verarbeitung personenbezogener Daten und jeglichen Verarbeitungsanweisungen, die er an Zonos erteilt, einhält.
- Der Kunde hat die Benachrichtigung erteilt und alle erforderlichen Zustimmungen und Rechte gemäß den Datenschutzgesetzen eingeholt (oder wird sie einholen), damit Zonos personenbezogene Daten verarbeiten und die Dienstleistungen gemäß dem Hauptvertrag und diesem DPA bereitstellen kann.
-
Anweisungen des Verantwortlichen. Die Parteien sind sich einig, dass der Hauptvertrag (einschließlich dieses DPA) zusammen mit der Nutzung der Dienstleistungen von Zonos durch den Kunden gemäß dem Hauptvertrag die vollständigen und endgültigen Anweisungen des Kunden an Zonos in Bezug auf die Verarbeitung personenbezogener Daten darstellen und zusätzliche Anweisungen außerhalb des Umfangs der Anweisungen eine vorherige schriftliche Vereinbarung zwischen dem Kunden und Zonos erfordern.
3. Verpflichtungen von Zonos
-
Einhaltung von Gesetzen. Im Rahmen des DPA und bei der Nutzung der Dienstleistungen soll Zonos:
- Verantwortlich sein für die Einhaltung aller anwendbaren Datenschutzgesetze als Verarbeiter bei der Verarbeitung personenbezogener Daten; und
- Die personenbezogenen Daten des Kunden nicht anders als auf dokumentierte Anweisungen des Kunden verarbeiten.
-
Zonos Personal. Zonos wird angemessene Schritte unternehmen, um die Zuverlässigkeit jedes Mitarbeiters, Agenten oder Auftragnehmers, der Zugang zu den personenbezogenen Daten haben könnte, sicherzustellen, wobei in jedem Fall der Zugang streng auf diejenigen Personen beschränkt ist, die die relevanten personenbezogenen Daten kennen/müssen, wie es für die Zwecke des Hauptvertrags und zur Einhaltung der anwendbaren Gesetze im Rahmen der Pflichten dieser Person gegenüber dem beauftragten Verarbeiter strikt erforderlich ist, wobei sicherzustellen ist, dass alle diese Personen Vertraulichkeitsverpflichtungen oder berufliche oder gesetzliche Vertraulichkeitspflichten unterliegen.
-
Sicherheit.
- Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen wird Zonos in Bezug auf die personenbezogenen Daten angemessene technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, einschließlich, soweit angebracht, der in Artikel 32(1) der DSGVO genannten Maßnahmen.
- Bei der Bewertung des angemessenen Sicherheitsniveaus wird Zonos die durch die Verarbeitung dargestellten Risiken berücksichtigen, insbesondere von einer Verletzung des Schutzes personenbezogener Daten.
-
Unterverarbeitung. Zonos darf keinen Unter-Verarbeiter ernennen (oder personenbezogene Daten an einen solchen offenlegen), es sei denn, dies ist vom Kunden erforderlich oder autorisiert.
-
Rechte der betroffenen Personen.
-
Unter Berücksichtigung der Art der Verarbeitung wird Zonos den Kunden durch die Implementierung angemessener technischer und organisatorischer Maßnahmen unterstützen, soweit dies möglich ist, um die Verpflichtungen von Zonos, wie sie von Zonos vernünftigerweise verstanden werden, zur Beantwortung von Anfragen zur Ausübung der Rechte betroffener Personen gemäß den Datenschutzgesetzen zu erfüllen.
-
Zonos stimmt zu:
- Den Kunden unverzüglich zu benachrichtigen, wenn es eine Anfrage von einer betroffenen Person gemäß einem Datenschutzgesetz in Bezug auf personenbezogene Daten erhält; und
- Sicherzustellen, dass es auf diese Anfrage nicht antwortet, außer auf dokumentierte Anweisungen des Kunden oder wie es durch anwendbare Gesetze, denen Zonos unterliegt, erforderlich ist, in welchem Fall Zonos, soweit durch anwendbare Gesetze zulässig, den Kunden über diese rechtliche Anforderung informieren wird, bevor der beauftragte Verarbeiter auf die Anfrage antwortet.
-
-
Verletzung des Schutzes personenbezogener Daten.
- Zonos wird den Kunden unverzüglich benachrichtigen, nachdem Zonos von einer Verletzung des Schutzes personenbezogener Daten, die personenbezogene Daten betrifft, Kenntnis erlangt, wobei dem Kunden ausreichend Informationen zur Verfügung gestellt werden, um dem Kunden zu ermöglichen, etwaige Verpflichtungen zur Meldung oder Information betroffener Personen über die Verletzung des Schutzes personenbezogener Daten gemäß den Datenschutzgesetzen zu erfüllen.
- Zonos wird mit dem Kunden zusammenarbeiten und angemessene kommerzielle Schritte unternehmen, wie sie vom Kunden angeordnet werden, um bei der Untersuchung, Minderung und Behebung jeder solchen Verletzung des Schutzes personenbezogener Daten zu helfen.
-
Datenschutz-Folgenabschätzung und vorherige Konsultation. Zonos wird dem Kunden angemessene Unterstützung bei Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Aufsichtsbehörden oder anderen zuständigen Datenschutzbehörden bieten, die der Kunde vernünftigerweise für erforderlich hält gemäß Artikel 35 oder 36 der DSGVO oder entsprechenden Bestimmungen anderer Datenschutzgesetze, jeweils ausschließlich in Bezug auf die Verarbeitung personenbezogener Daten durch und unter Berücksichtigung der Art der Verarbeitung und der dem beauftragten Verarbeiter zur Verfügung stehenden Informationen.
-
Rückgabe oder Löschung von Daten. Nach Deaktivierung oder Beendigung der Dienstleistungen werden alle personenbezogenen Daten gelöscht, es sei denn, diese Anforderung gilt nicht, soweit Zonos gesetzlich verpflichtet ist, einige oder alle personenbezogenen Daten zu behalten, oder für personenbezogene Daten, die Zonos in Backup-Systemen archiviert hat, welche solche personenbezogenen Daten Zonos sicher isolieren und vor weiterer Verarbeitung schützen wird, außer soweit dies durch anwendbare Gesetze erforderlich ist.
-
Sicherheitsberichte. Zonos wird Aufzeichnungen über seine Sicherheitsstandards führen. Auf schriftliche Anfrage des Kunden wird Zonos Antworten (auf vertraulicher Basis) auf alle angemessenen Anfragen des Kunden geben, einschließlich Antworten auf Anfragen zur Informationssicherheit und Audit-Fragebögen, die der Kunde (vernünftigerweise handelnd) für notwendig hält, um die Einhaltung dieses DPA durch Zonos zu bestätigen, vorausgesetzt, dass der Kunde dieses Recht nicht öfter als einmal pro Jahr ausübt.
-
Datenübertragung. Der Kunde erkennt an und stimmt zu, dass Zonos personenbezogene Daten global verarbeiten darf, wie es zur Bereitstellung der Dienstleistungen gemäß dem Hauptvertrag erforderlich ist, und insbesondere, dass personenbezogene Daten in die Vereinigten Staaten und in andere Gerichtsbarkeiten übertragen und von Zonos verarbeitet werden, wo Unter-Verarbeiter von Zonos tätig sind. Zonos wird sicherstellen, dass solche Übertragungen in Übereinstimmung mit den Anforderungen der Datenschutzgesetze erfolgen, einschließlich der Einhaltung der von der EU genehmigten Standardvertragsklauseln für die Übertragung personenbezogener Daten.
-
Zusätzliche Bestimmungen für kalifornische personenbezogene Informationen.
-
Dieser Abschnitt 11 gilt nur für kalifornische personenbezogene Informationen.
-
Bei der Verarbeitung kalifornischer personenbezogener Informationen gemäß den Anweisungen des Kunden erkennen die Parteien an und stimmen zu, dass der Kunde ein Unternehmen und Zonos ein Dienstleister im Sinne des CCPA ist.
-
Die Parteien stimmen zu, dass Zonos kalifornische personenbezogene Informationen als Dienstleister ausschließlich zum Zweck der Erbringung der Dienstleistungen gemäß dem Hauptvertrag verarbeiten wird. Zonos verwendet Dienstdaten für seine eigenen legitimen Geschäftszwecke gemäß der Zonos Datenschutzrichtlinie. Die Parteien stimmen zu, dass Zonos Folgendes nicht tun wird:
- Kalifornische personenbezogene Informationen verkaufen (wie im CCPA definiert);
- Kalifornische personenbezogene Informationen für einen kommerziellen Zweck außerhalb des Geschäftszwecks oder wie sonst vom CCPA erlaubt aufbewahren, verwenden oder offenlegen; oder
- iii. Kalifornische personenbezogene Informationen außerhalb der direkten Geschäftsbeziehung zwischen dem Kunden und Zonos aufbewahren, verwenden oder offenlegen.
-
Zonos bestätigt, dass es die in Abschnitt 11(c) festgelegten Einschränkungen versteht und einhalten wird.
-
4. Allgemeine Bedingungen
-
Vertraulichkeit. Jede Partei muss dieses Abkommen und die Informationen, die sie über die andere Partei und deren Geschäft im Zusammenhang mit diesem DPA erhält („Vertrauliche Informationen“), vertraulich behandeln und darf diese vertraulichen Informationen nicht ohne die vorherige schriftliche Zustimmung der anderen Partei verwenden oder offenlegen, es sei denn, dass:
- Die Offenlegung gesetzlich erforderlich ist;
- Die relevanten Informationen bereits öffentlich zugänglich sind.
-
Benachrichtigungen. Alle Mitteilungen und Kommunikationen, die unter diesem DPA erfolgen, müssen schriftlich erfolgen und werden persönlich übermittelt, per Post gesendet oder per E-Mail an die in der Kopfzeile dieses DPA angegebene Adresse oder E-Mail-Adresse gesendet, oder an eine andere Adresse, die von Zeit zu Zeit von den Parteien durch Adressänderung mitgeteilt wird.
5. Anwendbares Recht und Gerichtsstand
Dieses DPA unterliegt den Gesetzen und Gerichtsstandsbestimmungen im Hauptvertrag, sofern nicht durch Datenschutzgesetze anders erforderlich.\
Anhang A. Liste der Unter-Verarbeiter von Zonos
Auf Anfrage erhältlich
Anhang B. Sicherheitsmaßnahmen
Auf Anfrage erhältlich
Zonos Datenverarbeitungsvereinbarung
Diese Datenverarbeitungsvereinbarung ("DPA") dient als Anhang zu den Zonos Nutzungsbedingungen und Datenschutzrichtlinien ("Hauptvereinbarung") zwischen iGlobal Exports, LLC, DBA Zonos ("Zonos") und dem Kunden ("Kunde"), (zusammen als die "Parteien").