RILA Link // 23-26. Februar 2020Mitmachen

Die in diesem GDPR-Verarbeitungsverzeichnis enthaltenen Bedingungen und Konditionen sind in jedem Vertrag enthalten, der sich ausdrücklich auf dieses GDPR-Verarbeitungsverzeichnis bezieht und es einbezieht ("Vertrag"). Soweit die Datenschutzgesetze (wie unten definiert) auf den Vertrag anwendbar sind, vereinbaren die Parteien, dass dieser Zeitplan Anwendung findet.Für die Zwecke dieses GDPR-Verarbeitungsplans ist der Kunde ein für die Datenverarbeitung Verantwortlicher (hier manchmal als "Datenverarbeiter" bezeichnet) und Logistyx ein Datenverarbeiter (hier manchmal als "Datenverarbeiter" bezeichnet).Die folgenden Wörter und Ausdrücke haben folgende Bedeutung

"Verantwortlicher für die Datenverarbeitung", "Datenverarbeiter", "Betroffener", "Persönliche Daten", "Verletzung von personenbezogenen Daten", "Verarbeitung/Verarbeitung", "Besondere Kategorien von personenbezogenen Daten" und "Aufsichtsbehörde" haben dieselbe Bedeutung wie in den Datenschutzgesetzen;

"Datenschutzgesetze" bedeutet die Allgemeine Datenschutzverordnung (EU) 2016/679 ("GDPR") in der jeweils geänderten und ersetzten Fassung und/oder alle anwendbaren Gesetze, Regeln, Vorschriften, regulatorischen Richtlinien, regulatorischen Anforderungen von Zeit zu Zeit, jeweils in jeder Gerichtsbarkeit, in der die Dienste in Bezug auf den Datenschutz bereitgestellt werden;

1. GEGENSTAND UND DAUER. Der Gegenstand und die Dauer der Verarbeitung sind in der Vereinbarung festgelegt.

2. ZWECK UND ART. Der Zweck, die Art und der Gegenstand der Verarbeitung von persönlichen Daten kann wie folgt aussehen:

(a) Logistyx kann, vorbehaltlich der Anweisung und Kontrolle des Kunden, Zugang zu persönlichen Daten haben, wenn es professionelle Dienstleistungen und/oder Software-Wartung und Support für den Kunden durchführt. Es wird nicht erwartet, dass Logistyx bei der Erbringung dieser Dienstleistungen persönliche Daten verarbeitet.

(b) Personenbezogene Daten können zum Zweck des Drucks von Versandetiketten für den Versand der von den betroffenen Personen bestellten Waren verarbeitet werden. Die Daten können den Namen und die Adresse einer betroffenen Person enthalten. Die persönlichen Daten werden durch eine sichere Übertragung vom Kunden an Logistyx gesendet und von Logistyx in einer sicheren Methode an vom Kunden benannte Spediteure weitergeleitet (vorbehaltlich der Anforderungen jedes benannten Spediteurs). Nach der Übertragung der persönlichen Daten an den benannten Spediteur werden alle persönlich identifizierbaren Daten innerhalb von ________ Tagen gelöscht.

Die Pflichten und Rechte der Parteien in Bezug auf die Verarbeitung personenbezogener Daten sind in der Vereinbarung festgelegt.

3. ARTEN VON PERSÖNLICHEN DATEN. Die Arten von persönlichen Daten, die gemäß diesem Abkommen verarbeitet werden, sind folgende: Name und Adresse, wie sie auf dem Versandetikett eines Spediteurs angegeben sind. Es gibt keine speziellen Kategorien persönlicher Daten, die der Kunde mit Logistyx teilt. Für den Fall, dass der Kunde spezielle Kategorien persönlicher Daten an Logistyx weitergibt, erklärt sich der Kunde bereit, Logistyx mindestens 30 Tage im Voraus schriftlich zu benachrichtigen. Logistyx hat das Recht, die Annahme solcher besonderen Kategorien von personenbezogenen Daten zu verweigern.

4. VERPFLICHTUNGEN DES FÜR DIE DATENVERARBEITUNG VERANTWORTLICHEN. Im Rahmen der Vereinbarung und bei der Nutzung der Dienstleistungen von Logistyx ist der Kunde als Verantwortlicher für die Datenverarbeitung allein verantwortlich für die Einhaltung der gesetzlichen Anforderungen in Bezug auf Datenschutz und Privatsphäre, insbesondere in Bezug auf die Offenlegung und Übermittlung von personenbezogenen Daten an den Datenverarbeiter und die Verarbeitung von personenbezogenen Daten. Um Zweifel auszuschließen, müssen die Anweisungen des für die Datenverarbeitung Verantwortlichen für die Verarbeitung personenbezogener Daten mit den Datenschutzgesetzen übereinstimmen. Die Vereinbarung und dieser Zeitplan ist die vollständige und endgültige Anweisung des Kunden an Logistyx in Bezug auf persönliche Daten. Zusätzliche Anweisungen, die nicht in den Geltungsbereich der Vereinbarung und dieser Anlage fallen, bedürfen der vorherigen schriftlichen Vereinbarung zwischen den Parteien. Die Anweisungen werden zunächst in der Vereinbarung festgelegt und können von Zeit zu Zeit danach vom Kunden als Datenverwalter in separaten schriftlichen Anweisungen (als Einzelanweisungen) geändert, erweitert oder ersetzt werden. Der Kunde hat Logistyx unverzüglich und umfassend über Fehler oder Unregelmäßigkeiten im Zusammenhang mit den gesetzlichen Bestimmungen zur Verarbeitung personenbezogener Daten zu informieren.

5. VERARBEITUNGSANWEISUNGEN. Wenn der Datenverarbeiter personenbezogene Daten nicht gemäß den Anweisungen des für die Verarbeitung Verantwortlichen aufgrund einer gesetzlichen Anforderung nach geltendem Recht der Europäischen Union oder eines Mitgliedstaats verarbeiten kann, wird der Datenverarbeiter (i) den für die Verarbeitung Verantwortlichen unverzüglich vor der betreffenden Verarbeitung über diese gesetzliche Anforderung informieren, soweit dies nach den Datenschutzgesetzen zulässig ist; und (ii) die gesamte Verarbeitung (mit Ausnahme der bloßen Speicherung und Aufrechterhaltung der Sicherheit der betroffenen personenbezogenen Daten) einstellen, bis der für die Verarbeitung Verantwortliche neue Anweisungen erteilt, denen der Datenverarbeiter nachkommen kann. Wenn diese Bestimmung geltend gemacht wird, haftet der Datenverarbeiter gegenüber dem für die Verarbeitung Verantwortlichen nicht gemäß der Vereinbarung oder diesem Zeitplan für die Nichterfüllung der anwendbaren Dienstleistungen, bis der für die Verarbeitung Verantwortliche neue Anweisungen in Bezug auf die Verarbeitung erteilt.

6. VERPFLICHTUNGEN DES DATENVERARBEITERS. Wenn Logistyx als Datenverarbeiter in Bezug auf persönliche Daten, die der Kunde als Verantwortlicher für die Datenverarbeitung zur Verfügung gestellt hat, tätig wird:

(a) die persönlichen Daten nicht zu verarbeiten oder persönliche Daten nur in Übereinstimmung mit den dokumentierten Anweisungen des für die Datenverarbeitung Verantwortlichen offenzulegen, es sei denn, dies ist durch die Gesetze der EU oder der Mitgliedstaaten, denen der Datenverarbeiter unterliegt, erforderlich;

(b) keinen Unterauftragnehmer zur Verarbeitung der persönlichen Daten ("Unterauftragnehmer") zu ermächtigen, außer mit der vorherigen schriftlichen Zustimmung des Datencontrollers, wobei diese Zustimmung davon abhängig ist, dass der Datenverarbeiter die in allen Datenschutzgesetzen, einschließlich und ohne Einschränkung Artikel 28 (2) und (4) der GDPR, festgelegten Bedingungen erfüllt; zu diesen Zwecken stimmt der Kunde der Beauftragung als Unterauftragnehmer der verbundenen Unternehmen von Logistyx und der folgenden Dritten zu und genehmigt diese: [Amazon Web Services, Inc., Google, Inc., Microsoft Azure usw.];

(c) geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, und alle Maßnahmen zu ergreifen, die gemäß allen Datenschutzgesetzen, einschließlich, aber nicht beschränkt auf Artikel 32 GDPR, in Bezug auf die Verarbeitung personenbezogener Daten erforderlich sind, wobei die Risiken zu berücksichtigen sind, die durch die Verarbeitung entstehen, insbesondere durch versehentliche oder unrechtmäßige Zerstörung, Verlust, Änderung, unbefugte Weitergabe von oder Zugriff auf personenbezogene Daten, die übermittelt, gespeichert oder anderweitig verarbeitet werden;

(d) alle angemessenen Schritte unternehmen, um die Zuverlässigkeit der zur Verarbeitung der persönlichen Daten befugten Personen zu gewährleisten und sicherzustellen, dass sie sich zu Vertraulichkeitsverpflichtungen verpflichtet haben;

(e) den für die Verarbeitung Verantwortlichen unverzüglich zu benachrichtigen, wenn er eine Mitteilung von einem Betroffenen oder einer Aufsichtsbehörde gemäß den Datenschutzgesetzen in Bezug auf die personenbezogenen Daten erhält, einschließlich der Anträge eines Betroffenen, der seine Rechte gemäß Kapitel III des GDPR ausüben möchte, und den für die Verarbeitung Verantwortlichen bei der Erfüllung seiner Verpflichtung, auf diese Mitteilungen zu antworten, zu unterstützen;

(f) benachrichtigt den für die Verarbeitung Verantwortlichen unverzüglich, sobald er von einer Verletzung der Bestimmungen über personenbezogene Daten Kenntnis erhält oder einen begründeten Verdacht auf eine solche Verletzung hat, und übermittelt dem für die Verarbeitung Verantwortlichen zum Zeitpunkt der ursprünglichen Benachrichtigung ausreichende Informationen, die es ihm ermöglichen, seinen Verpflichtungen zur Meldung einer Verletzung der Bestimmungen über personenbezogene Daten gemäß den Datenschutzgesetzen nachzukommen, es sei denn, Abschnitt 6 (g) findet Anwendung. Eine solche Benachrichtigung muss mindestens erfolgen:

(i) die Art des Verstoßes gegen personenbezogene Daten, die Kategorien und die Anzahl der betroffenen Datensubjekte sowie die Kategorien und die Anzahl der betroffenen Datensätze beschreiben;

(ii) den Namen und die Kontaktdaten des Datenschutzbeauftragten des Datenverarbeiters oder, falls der Datenverarbeiter keinen Datenschutzbeauftragten ernannt hat, die betreffende Kontaktperson, von der Informationen eingeholt werden können, mitzuteilen;

(iii) die wahrscheinlichen Folgen des Verstoßes gegen die Datenschutzbestimmungen zu beschreiben; und

(iv) beschreiben Sie die Maßnahmen, die ergriffen oder vorgeschlagen werden, um gegen den Verstoß gegen die personenbezogenen Daten vorzugehen.

(g) Wenn dem Datenverarbeiter zum Zeitpunkt der ursprünglichen Meldung gemäß Abschnitt 6(f) nicht alle in Abschnitt 6(f)(i) bis 6(f)(iv) beschriebenen Informationen zur Verfügung stehen, muss der Datenverarbeiter in die ursprüngliche Meldung die Informationen aufnehmen, die ihm zu diesem Zeitpunkt zur Verfügung stehen, und dann so bald wie möglich danach die weiteren Informationen gemäß Abschnitt 7(f)(i) bis 7(f)(iv) bereitstellen;

(h) Unterstützung des für die Verarbeitung Verantwortlichen bei der Sicherstellung der Einhaltung der Verpflichtungen gemäß allen Datenschutzgesetzen, einschließlich und ohne Einschränkung der Artikel 35 und 36 des GDPR, unter Berücksichtigung der Art der Verarbeitung und der dem Datenverarbeiter zur Verfügung stehenden Informationen;

(i) nach Wahl des für die Verarbeitung Verantwortlichen alle personenbezogenen Daten zu löschen oder nach Beendigung der Erbringung von Dienstleistungen im Zusammenhang mit der Verarbeitung an den für die Verarbeitung Verantwortlichen zurückzugeben;

(j) dem für die Verarbeitung Verantwortlichen alle Informationen zur Verfügung stellen, die erforderlich sind, um die Einhaltung der in allen Datenschutzgesetzen, einschließlich und ohne Einschränkung Artikel 28 des GDPR, festgelegten Verpflichtungen nachzuweisen, und Prüfungen, einschließlich Inspektionen, durch den für die Verarbeitung Verantwortlichen oder einen anderen vom Verantwortlichen beauftragten Prüfer zulassen und zu diesen beitragen;

(k) unter keinen Umständen personenbezogene Daten außerhalb des Landes, in dem Logistyx ansässig ist, zu übertragen (und dafür zu sorgen, dass seine Unterauftragsverarbeiter dies nicht tun), es sei denn, der für die Datenverarbeitung Verantwortliche hat dies schriftlich genehmigt. Wenn und soweit sich Logistyx und/oder seine Unterauftragsverarbeiter in einem Land befinden, das nach Feststellung der Europäischen Kommission ein unzureichendes Schutzniveau in Bezug auf personenbezogene Daten bietet, wird Logistyx oder seine Unterauftragsverarbeiter (wie vom für die Datenverarbeitung Verantwortlichen gefordert) die Standardvertragsklauseln (Auftragsverarbeiter) (wie im Kommissionsbeschluss 2010/87 EU vom 5. Februar 2010 oder einer späteren Version, die diese ersetzt, festgelegt) einhalten.

Im Falle eines Konflikts, einer Widersprüchlichkeit oder Unklarheit zwischen den Bestimmungen dieser Anlage und den Bestimmungen der Vereinbarung in Bezug auf den Gegenstand dieser Anlage haben die Bestimmungen dieser Anlage Vorrang. Dieser GDPR-Verarbeitungsplan kann nach eigenem Ermessen von Logistyx geändert werden; Änderungen dieses GDPR-Verarbeitungsplans führen jedoch nicht zu einer Änderung, bei der Logistyx nicht in Übereinstimmung mit dem GDPR handelt.