NOTIZ: Diese Übersetzung wurde automatisch erstellt und dient lediglich der Information. Diese automatisch generierte Übersetzung ist nicht mit der Qualität einer menschlichen Übersetzung vergleichbar und kann Fehler enthalten. Diese Übersetzung wird „wie besehen“ und ohne jegliche Gewährleistung hinsichtlich Genauigkeit, Vollständigkeit oder Zuverlässigkeit der Übersetzung bereitgestellt. Im Falle von Abweichungen zwischen der englischen Fassung dieses Vertrags und der in eine Fremdsprache übersetzten Fassung ist ausschließlich die englische Fassung maßgebend.

NACHTRAG ZUR DATENVERARBEITUNG

Diese Datenverarbeitungsvereinbarung („DPA“) ist Bestandteil des zwischen Sophos und dem Kunden geschlossenen Vertrags über die Bereitstellung bestimmter Produkte und/oder Dienstleistungen durch Sophos an den Kunden („ Hauptvertrag“) und wird ausdrücklich in diesen aufgenommen. Sofern nicht anders definiert, haben alle großgeschriebenen Begriffe die in Abschnitt 1 unten angegebene Bedeutung.

 

DEFINITIONEN

1.1. In dieser Datenschutzvereinbarung haben die folgenden Begriffe die folgende Bedeutung:

„Verbundenes Unternehmen“ bezeichnet in Bezug auf jede Partei ein Unternehmen, das die betreffende Partei kontrolliert, von ihr kontrolliert wird oder mit ihr unter gemeinsamer Kontrolle steht. Im Sinne dieser Definition bedeutet „Kontrolle“ das wirtschaftliche Eigentum an mehr als fünfzig Prozent (50 %) der Stimmrechte oder des Eigenkapitals einer Gesellschaft oder das vertragliche oder gesetzliche Recht, die Geschäftsführung einer solchen Gesellschaft zu bestimmen;

„Anwendbare Datenschutzgesetze“ bezeichnet alle Gesetze und Vorschriften, die für die Verarbeitung personenbezogener Daten des Verantwortlichen gemäß dem Hauptvertrag gelten, einschließlich gegebenenfalls der DSGVO, des britischen Datenschutzgesetzes und des CCPA.

Der Begriff „Begünstigter“ hat die im MSP-Abkommen festgelegte Bedeutung.

„CCPA“ bezeichnet den California Consumer Privacy Act in der Fassung des California Privacy Rights Act von 2020, kodifiziert in Cal. Zivilgesellschaft Code §§ 1798.100 - 1798.199.100 und die dazu erlassenen Verordnungen zum California Consumer Privacy Act, Cal. Code Regs. tit. 11, div. 6, Kap. 1jeweils in der geänderten Fassung;

„Controller“ bezeichnet entweder: (a) den Kunden, wenn der Kunde ein Endnutzer ist; (b) den Begünstigten, wenn der Kunde ein Managed Service Provider (MSP) ist; oder (c) den Endkunden, wenn der Kunde ein OEM ist;

„Verantwortliche personenbezogene Daten“ bezeichnet die personenbezogenen Daten, die Sophos im Auftrag des Verantwortlichen im Rahmen der Erbringung der Dienstleistungen verarbeitet;

„Kunde“ bedeutet: (1) der Managed Service Provider oder der Managed Security Service Provider (jeweils „MSP“), wenn der Hauptvertrag zwischen Sophos und einem MSP besteht („ MSP-Vertrag “), (2) der Originalgerätehersteller („ OEM “), wenn der Hauptvertrag mit einem OEM besteht, der berechtigt ist, Sophos-Produkte in Kombination mit seinen Produkten als Teil einer gebündelten Einheit zu vertreiben, Unterlizenzen dafür zu vergeben oder Dritten zur Verfügung zu stellen („ OEM-Vertrag “); (3) der Endbenutzer („ Endbenutzer “), wenn der Hauptvertrag direkt mit dem Kunden besteht;

„Betroffene Person“ bezeichnet die Person, gegenüber der der Verantwortliche Datenverarbeitet. Personenbezogene Daten beziehen sich auf;

„Anfragen betroffener Personen“ bezeichnet alle Anfragen von betroffenen Personen zur Ausübung ihrer Rechte gemäß den geltenden Datenschutzgesetzen;

„EWR“ bezeichnet den Europäischen Wirtschaftsraum einschließlich der Mitgliedstaaten der Europäischen Union;

Der Begriff „Endkunde“ hat die im OEM-Vertrag festgelegte Bedeutung;

„EU-SCCs“ bezeichnet die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, die durch den Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021 genehmigt wurde;

„DSGVO“ bezeichnet die Datenschutz-Grundverordnung (EU) 2016/679 in ihrer jeweils gültigen Fassung;

„Persönliche Daten“ bedeutet „personenbezogene Daten“ oder „personenbezogene Informationen“ im Sinne der geltenden Datenschutzgesetze und umfasst alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person oder einen Haushalt beziehen;

„Verletzung des Schutzes personenbezogener Daten“ bedeutet eine Sicherheitsverletzung (die nicht vom Kunden oder seinen Benutzern verursacht wurde), die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf personenbezogene Daten des Verantwortlichen führt;

„Auftragsverarbeiter“ bezeichnet eine Person oder Einrichtung, die personenbezogene Daten im Auftrag und nach Weisung eines Verantwortlichen verarbeitet, einschließlich jeder Einrichtung, die als „Dienstleister“ gemäß dem CCPA tätig ist;

„Beschränkte Übermittlung“ bedeutet die Übermittlung personenbezogener Daten in ein Drittland, in dem eine solche Übermittlung nach europäischem Datenschutzrecht ohne geeignete Übermittlungsmechanismen, wie z. B. verbindliche Unternehmensregeln oder Standardvertragsklauseln, verboten wäre;

„Dienstleistungen“ bezeichnet alle Produkte und/oder Dienstleistungen, die Sophos gemäß dem Hauptvertrag bereitstellt und/oder erbringt;

„Sophos“ bezeichnet Sophos Limited, ein in England und Wales unter der Nummer 2096520 eingetragenes Unternehmen mit Sitz in The Pentagon, Abingdon, OX14 3YP, Vereinigtes Königreich;

„Standardvertragsklauseln“ oder „SCCs“ bedeuten: (i) wenn die DSGVO auf eine eingeschränkte Übermittlung Anwendung findet, die EU-SCCs; (ii) wenn das britische Datenschutzgesetz auf eine eingeschränkte Übermittlung Anwendung findet, den britischen Zusatz; und (iii) wenn das schweizerische Datenschutzgesetz auf eine eingeschränkte Übermittlung Anwendung findet, die schweizerischen SCCs;

„Unterauftragnehmer“ bezeichnet jede von Sophos beauftragte Stelle, die Datenverarbeitungstätigkeiten im Zusammenhang mit personenbezogenen Daten des Verantwortlichen durchführt;

„Aufsichtsbehörde“ bezeichnet die für die Einhaltung der geltenden Datenschutzgesetze zuständige Regulierungsbehörde, gegebenenfalls auch eine Aufsichtsbehörde im Sinne der DSGVO;

„Schweizer Datenschutzgesetz“ bezeichnet das Bundesdatenschutzgesetz vom 25. September 2020 in seiner jeweils gültigen Fassung;

„Schweizer SCCs“ bezeichnet die anwendbaren Standarddatenschutzklauseln für die Übermittlung personenbezogener Daten in Drittländer, die vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten („EDÖB“) herausgegeben, genehmigt oder anderweitig anerkannt werden;

„Drittland“ bezeichnet ein Land außerhalb des EWR, des Vereinigten Königreichs („UK“) oder der Schweiz, das von der Europäischen Kommission oder einer gleichwertigen Stelle oder Person in der Schweiz oder im UK nicht als Land benannt wurde, das ein angemessenes Schutzniveau gemäß den Datenschutzgesetzen des EWR, des UK oder der Schweiz („ Europäisches Datenschutzrecht “) gewährleistet;

„UK Addendum“ bezeichnet den internationalen Datentransferzusatz zu den EU-Standardvertragsklauseln, der vom Information Commissioner's Office des Vereinigten Königreichs herausgegeben und dem Parlament gemäß § 119A des Data Protection Act 2018 am 2. Februar 2022 vorgelegt wurde;

„UK Data Protection Law“ bezeichnet den Data Protection Act 2018 des Vereinigten Königreichs und die DSGVO in der durch Abschnitt 3 des European Union (Withdrawal) Act 2018 des Vereinigten Königreichs in britisches Recht übernommenen Fassung, jeweils in ihrer geänderten Fassung.

1.2. In dieser Datenschutzvereinbarung haben die kleingeschriebenen Begriffe „Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“, „personenbezogene Daten“ und „Verarbeitung“ (sowie deren Ableitungen) die in den geltenden Datenschutzgesetzen festgelegten Bedeutungen.

1.3. Großgeschriebene Begriffe, die in dieser DPA nicht anderweitig definiert sind, haben die im Hauptvertrag festgelegte Bedeutung.

2. UMFANG

2.1. Diese Datenverarbeitungsvereinbarung (DPA) gilt, wenn Sophos im Auftrag des Kunden personenbezogene Daten des Verantwortlichen im Rahmen der Erbringung der Dienstleistungen verarbeitet. Gegenstand und Dauer der Verarbeitung personenbezogener Daten des Verantwortlichen durch Sophos, Art und Zweck der Verarbeitung, die Arten der zu verarbeitenden personenbezogenen Daten des Verantwortlichen und die Kategorien der betroffenen Personen werden wie folgt beschrieben: (a) diese Auftragsverarbeitungsvereinbarung; (b) der Hauptvertrag; (c) Anlage 1 (Details zur Datenverarbeitung); und (d) die Anweisungen des Kunden gemäß Abschnitt 4 unten.

2.2. Der Kunde ist dafür verantwortlich, sicherzustellen, dass der Verantwortliche (a) über eine rechtmäßige Grundlage für die Verarbeitung der personenbezogenen Daten des Verantwortlichen verfügt, die von Sophos im Auftrag des Kunden durchgeführt wird, und (b) alle erforderlichen Einwilligungen der betroffenen Personen eingeholt hat, die für die Verarbeitung der personenbezogenen Daten des Verantwortlichen durch den Kunden und Sophos erforderlich sein können; und (c) im Übrigen die geltenden Datenschutzgesetze einhält und sicherstellt, dass seine Anweisungen an Sophos zur Verarbeitung der personenbezogenen Daten des Verantwortlichen in jeder Hinsicht den geltenden Datenschutzgesetzen entsprechen.

2.3. Die Parteien vereinbaren, dass Sophos in Bezug auf personenbezogene Daten des Verantwortlichen ein Auftragsverarbeiter oder Unterauftragsverarbeiter ist und der Kunde entweder (a) der Verantwortliche ist, wenn der Kunde ein Endnutzer ist, oder (b) ein Auftragsverarbeiter für den Begünstigten oder den Endkunden ist, wenn der Kunde ein Managed Service Provider (MSP) bzw. ein OEM ist.

3. KUNDENHINWEISE

3.1. Der Kunde weist Sophos an, die personenbezogenen Daten des Verantwortlichen in dem Umfang zu verarbeiten, wie dies für die Erbringung und Durchführung der Dienstleistungen erforderlich ist und wie es in dieser Datenverarbeitungsvereinbarung und dem Hauptvertrag anderweitig festgelegt ist („Kundenanweisungen“). Sophos verarbeitet die personenbezogenen Daten des Verantwortlichen gemäß den Anweisungen des Kunden, außer (a) wenn zwischen Sophos und dem Kunden etwas anderes schriftlich vereinbart wurde; oder (b) wenn dies aufgrund eines für Sophos geltenden Gesetzes erforderlich ist (in diesem Fall wird Sophos den Kunden vor jeder Verarbeitung über diese rechtliche Verpflichtung informieren, es sei denn, dieses Gesetz verbietet die Bereitstellung solcher Informationen aus wichtigen Gründen des öffentlichen Interesses). Wenn der Kunde als Auftragsverarbeiter in Bezug auf personenbezogene Daten des Verantwortlichen agiert, hat der Kunde sicherzustellen, dass die Kundenanweisungen vom jeweiligen Verantwortlichen genehmigt wurden und nicht im Widerspruch zu Anweisungen dieses Verantwortlichen stehen.

3.2. Sollte Sophos feststellen, dass die Kundenanweisungen gegen geltende Datenschutzgesetze verstoßen, wird Sophos den Kunden unverzüglich darüber informieren und die Verarbeitung der

3.3. Ohne die vorstehenden Ausführungen einzuschränken, gilt Folgendes: Soweit der CCPA auf die personenbezogenen Daten des Verantwortlichen Anwendung findet, ist Sophos stimmt ferner zu, dass:

1. Sophos wird die personenbezogenen Daten des Verantwortlichen nur für den spezifischen Geschäftszweck der Erbringung der Dienstleistungen, in Übereinstimmung mit den Bestimmungen dieser Datenverarbeitungsvereinbarung und des Hauptvertrags sowie in sonstiger Weise, die durch geltende Gesetze zulässig ist, verwenden, offenlegen oder anderweitig verarbeiten; 
2. Sophos kann Unterauftragnehmer mit der Verarbeitung personenbezogener Daten des Verantwortlichen beauftragen, vorbehaltlich der Bestimmungen von Abschnitt 7. Ein solcher Auftrag gilt nicht als Verkauf personenbezogener Daten des Verantwortlichen.
3. Sophos verarbeitet personenbezogene Daten des Verantwortlichen nicht außerhalb der direkten Geschäftsbeziehung zwischen dem Kunden und Sophos oder für eigene kommerzielle Zwecke von Sophos; 
4. Sophos wird keine personenbezogenen Daten von Verantwortlichen „weitergeben“ oder „verkaufen“ (wie diese Begriffe im CCPA definiert sind); 
5. Sophos wird die Vorgaben erfüllen. mit seine Verpflichtungen gemäß dem CCPA einzuhalten und das gleiche Niveau an Datenschutz zu gewährleisten, wie es der CCPA vorschreibt;
6. Sollte Sophos der Ansicht sein, die Bestimmungen des CCPA nicht einhalten zu können, wird Sophos den Kunden unverzüglich benachrichtigen und ihm das Recht einräumen, angemessene und geeignete Maßnahmen zu ergreifen, um sicherzustellen, dass die personenbezogenen Daten des Verantwortlichen in einer Weise verarbeitet werden, die mit den Bestimmungen des CCPA übereinstimmt. mit den Verpflichtungen des Verantwortlichen unter der CCPA;
7. Sophos wird die personenbezogenen Daten des Verantwortlichen nach Ablauf oder Beendigung des Hauptvertrags nicht mehr speichern, außer wie in Abschnitt 4.6 beschrieben. 

3.4. Sophos bestätigt, dass es die in Abschnitt 3.3 dargelegten Verpflichtungen versteht und einhalten wird.

4. SOPHOS-VERPFLICHTUNGEN

4.1. Zusammenarbeit. Unter Berücksichtigung der Art der Verarbeitung personenbezogener Daten des Verantwortlichen wird Sophos dem Kunden (oder, falls der Kunde ein Managed Service Provider (MSP) oder OEM ist, dem Verantwortlichen) die erforderliche angemessene Unterstützung gewähren, um: (i) auf Anfragen von betroffenen Personen zu antworten, die ihre Rechte gemäß den geltenden Datenschutzgesetzen ausüben (einschließlich der Benachrichtigung des Kunden über den Eingang solcher Anfragen, wobei Sophos selbst nicht antworten darf, es sei denn, der Kunde hat sie dazu ermächtigt); (ii) Datenschutz-Folgenabschätzungen oder andere nach den geltenden Datenschutzgesetzen erforderliche Bewertungen durchzuführen; und (iii) sich mit Aufsichtsbehörden zu beraten und zusammenzuarbeiten, soweit dies nach den geltenden Datenschutzgesetzen erforderlich ist. Sophos behält sich das Recht vor, für diese Unterstützung Gebühren zu erheben, wenn die Kosten für die Unterstützung einen Nominalbetrag übersteigen.

4.2. Anfragen Dritter. Sofern gesetzlich nicht anders vorgeschrieben, benachrichtigt Sophos den Kunden über jede Anfrage, Korrespondenz, Anfrage oder Beschwerde bezüglich des Datenschutzes, die Sophos von einer Aufsichtsbehörde, einer Justizbehörde oder einer Strafverfolgungsbehörde im Zusammenhang mit der Verarbeitung der personenbezogenen Daten des Verantwortlichen erhält („Anfrage Dritter“ ) , und gibt dabei alle Einzelheiten dazu an. Sophos wird auf Anfragen Dritter nicht direkt antworten, außer (1) auf schriftliche Anweisung des Kunden oder (2) soweit dies durch geltende Gesetze vorgeschrieben ist.

4.3. Vertraulichkeit. Alle Sophos-Mitarbeiter, die die personenbezogenen Daten des Verantwortlichen verarbeiten, müssen hinsichtlich ihrer Datenschutz-, Sicherheits- und Vertraulichkeitspflichten angemessen geschult sein und unterliegen schriftlichen oder gesetzlichen Geheimhaltungspflichten.

4.4. Sicherheit. Sophos wird geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten und die personenbezogenen Daten des Verantwortlichen vor einer Datenschutzverletzung zu schützen. Bei solchen Maßnahmen werden der Stand der Technik, die Kosten der Umsetzung sowie Art, Umfang, Kontext und Zweck der Verarbeitung sowie das Risiko unterschiedlicher Eintrittswahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen berücksichtigt, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten. Die von Sophos getroffenen Maßnahmen umfassen insbesondere die in Anlage 2 dieser Datenschutzvereinbarung beschriebenen Maßnahmen.

 4.5. Verletzung des Schutzes personenbezogener Daten. Sobald Sophos das Vorliegen einer Verletzung des Schutzes personenbezogener Daten bestätigt, wird Sophos den Kunden unverzüglich informieren und alle zeitnahen Informationen und die erforderliche Unterstützung bereitstellen, die der Kunde vernünftigerweise benötigt, damit er (und, falls der Kunde ein Managed Service Provider oder OEM ist, sein Verantwortlicher) seinen Meldepflichten im Zusammenhang mit Datenschutzverletzungen gemäß den geltenden Datenschutzgesetzen (und in Übereinstimmung mit den darin festgelegten Fristen) nachkommen kann. Sophos wird darüber hinaus alle Maßnahmen ergreifen, die vernünftigerweise erforderlich sind, um die Auswirkungen der Verletzung des Schutzes personenbezogener Daten zu beheben oder abzumildern, und den Kunden über die Entwicklungen im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten auf dem Laufenden halten.

 4.6. Dienstende. Nach Beendigung der Leistungserbringung oder auf schriftliche Anfrage des Kunden löscht Sophos die personenbezogenen Daten des Verantwortlichen innerhalb einer angemessenen Frist nach Beendigung der Leistungserbringung bzw. nach Eingang der Anfrage, es sei denn, dies ist nach geltendem Recht oder aufgrund gerichtlicher oder behördlicher Auflagen erforderlich. Sofern Sophos verpflichtet ist, personenbezogene Daten des Verantwortlichen aufzubewahren, wird Sophos Maßnahmen ergreifen, um die fortgesetzte Vertraulichkeit und Sicherheit dieser personenbezogenen Daten während der gesamten Aufbewahrungsdauer zu gewährleisten.

5. PRÜFRECHTE DES KUNDEN

5.1. Der Kunde bestätigt, dass Sophos regelmäßig von unabhängigen Drittprüfern anhand der SSAE 18 SOC 2-Standards geprüft wird. Auf begründete Anfrage stellt Sophos dem Kunden eine Kopie seines SOC-2-Prüfberichts zur Verfügung. Dieser Bericht unterliegt als vertrauliche Information von Sophos den Vertraulichkeitsbestimmungen des Hauptvertrags. Sophos wird auch auf angemessene schriftliche Prüfungsfragen des Kunden antworten, vorausgesetzt, der Kunde macht von diesem Recht nicht mehr als einmal pro Jahr Gebrauch.

5.2. Wenn der Kunde der begründeten Ansicht ist, dass die gemäß Abschnitt 5.1 bereitgestellten Unterlagen nicht ausreichen, um die Einhaltung dieser Datenverarbeitungsvereinbarung durch Sophos nachzuweisen, kann der Kunde schriftlich verlangen, dass Sophos ihm alle Informationen zur Verfügung stellt, die vernünftigerweise erforderlich sind, um die Einhaltung der in dieser Datenverarbeitungsvereinbarung festgelegten Verpflichtungen nachzuweisen und Audits, einschließlich Inspektionen, durch den Kunden oder den vom Kunden beauftragten unabhängigen Drittprüfer zu ermöglichen und dazu beizutragen, vorbehaltlich der folgenden Bestimmungen:

1. Vor der Beantragung einer Überprüfung oder eines Audits gemäß diesem Abschnitt 5.2 wird der Kunde die in Abschnitt 5.1 beschriebenen relevanten Sophos-Drittanbieterzertifizierungen und -Audits berücksichtigen;
2. Der Kunde wird Sophos mindestens 30 Tage im Voraus über eine Anfrage zur Durchführung eines Audits oder einer Inspektion gemäß diesem Abschnitt 5.2 informieren, indem er den vorgeschlagenen Umfang, die Dauer und den Starttermin des Audits angibt; 
3. Wird die Prüfung von einem externen Prüfer durchgeführt, so muss dieser externe Prüfer ein angesehener und etablierter Fachmann oder ein etabliertes Unternehmen sein, angemessenen Vertraulichkeitsverpflichtungen unterliegen und darf kein Konkurrent von Sophos sein;
4. Der Kunde wird (und stellt sicher, dass seine Prüfer dies ebenfalls tun) eine solche Prüfung oder Inspektion während der normalen Geschäftszeiten von Sophos durchführen, wobei die Geschäftstätigkeit so wenig wie möglich beeinträchtigt werden darf;
5. Eine Prüfung oder Inspektion wird höchstens einmal jährlich durchgeführt, es sei denn, dies ist durch eine Aufsichtsbehörde oder geltende Datenschutzgesetze vorgeschrieben; 
6. Der Kunde (bzw. gegebenenfalls dessen Wirtschaftsprüfer) hat keinen Zugriff auf andere Sophos-Kunden (und deren Informationen);
7. Sofern die Prüfung oder Inspektion nicht ergibt, dass Sophos seinen wesentlichen Verpflichtungen aus diesem DPA nicht nachgekommen ist, erstattet der Kunde Sophos die angemessenen Kosten und Auslagen, die Sophos entstanden sind, einschließlich aller Gebühren für den Zeitaufwand von Sophos, seinen Mitarbeitern und seinen professionellen Beratern;
8. Der Kunde ist verpflichtet, Sophos eine Kopie jedes Prüfberichts zur Verfügung zu stellen, der im Zusammenhang mit einer gemäß diesem Abschnitt 5.2 durchgeführten Prüfung erstellt wurde, es sei denn, dies ist nach geltendem Recht untersagt;
9. Die im Rahmen des Audits oder der Inspektion gewonnenen Erkenntnisse sind als vertrauliche Informationen von Sophos zu betrachten.

6. Unterprozessoren

6.1. Sophos ist grundsätzlich berechtigt , die unter https://www.sophos.com/en-us/legal/sub-processor („Unterprozessorliste“) aufgeführten Unterauftragnehmer sowie verbundene Unternehmen von Sophos einzusetzen. Sophos kann weitere Unterauftragnehmer (jeweils ein „Neuer Unterauftragnehmer“) gemäß den in diesem Abschnitt 6 festgelegten Bedingungen einsetzen.

6.2. Sophos wird den Kunden über jede geplante Hinzufügung neuer Unterauftragnehmer informieren, indem die Einzelheiten dieser Hinzufügung in der Unterauftragnehmerliste veröffentlicht und dem Kunden per E-Mail mitgeteilt werden.

6.3. Widerspricht der Kunde der Ernennung eines neuen Unterauftragnehmers durch Sophos (aus vernünftigen Gründen im Zusammenhang mit dem Schutz personenbezogener Daten des Verantwortlichen) nicht innerhalb von 30 Tagen nach dieser Benachrichtigung schriftlich, so gilt die Ernennung des neuen Unterauftragnehmers durch den Kunden als genehmigt. Wenn der Kunde Einspruch erhebt, werden die Parteien angemessene Anstrengungen unternehmen, innerhalb der folgenden dreißig (30) Tage eine alternative Vereinbarung zu treffen. Sollten die Parteien innerhalb der genannten Frist keine Einigung erzielen, kann der Kunde den von dem neuen Unterauftragnehmer betroffenen Teil der Dienstleistungen kündigen, indem er Sophos dreißig (30) Tage im Voraus schriftlich benachrichtigt. Sophos wird dann eine anteilige Rückerstattung oder Gutschrift aller im Voraus bezahlten Gebühren für den nach der Kündigung verbleibenden Zeitraum veranlassen.

6.4. Sophos wird den Unterauftragnehmern Datenschutzbestimmungen auferlegen, die im Wesentlichen den in dieser Vereinbarung über die Auftragsverarbeitung (DPA) festgelegten Anforderungen entsprechen. Sophos bleibt für die Erfüllung der Verpflichtungen jedes Unterauftragnehmers vollumfänglich haftbar.

6.5. Sofern die Einbindung von Unterauftragnehmern eine eingeschränkte Übermittlung personenbezogener Daten des Verantwortlichen erfordert, wird Sophos geeignete Übermittlungsmechanismen implementieren und aufrechterhalten, um die Einhaltung der geltenden Datenschutzgesetze zu gewährleisten.

7.  INTERNATIONALE DATENÜBERMITTLUNG

7.1. Bestimmte Produkte ermöglichen es dem Kunden, den Ort der Speicherung der personenbezogenen Daten des Verantwortlichen für diese Produkte auszuwählen, einschließlich Rechenzentren, die sich außerhalb des Zuständigkeitsbereichs befinden können, in dem die Daten ihren Ursprung haben. Diese Standorte können (a) den Europäischen Wirtschaftsraum, (b) das Vereinigte Königreich, (c) die Vereinigten Staaten von Amerika oder einen anderen im Hauptvertrag festgelegten Standort („Zentraler Lagerort“) umfassen. Bei diesen Produkten erfolgt die Auswahl durch den Kunden zum Zeitpunkt der Produktinstallation, der Kontoerstellung oder der ersten Verwendung des jeweiligen Produkts. Sobald der Kunde den zentralen Lagerort ausgewählt hat, kann dieser zu einem späteren Zeitpunkt nicht mehr geändert werden.

7.2. Der Kunde erklärt sich hiermit einverstanden, dass Sophos, unabhängig vom gewählten zentralen Speicherort (sofern relevant), personenbezogene Daten des Verantwortlichen international übermitteln darf, vorbehaltlich der Einhaltung der geltenden Datenschutzgesetze und der Bestimmungen dieser Datenverarbeitungsvereinbarung. Sofern es sich um eine eingeschränkte Übermittlung handelt, implementiert und pflegt Sophos geeignete Übermittlungsmechanismen, wie z. B. Standardvertragsklauseln, um die Einhaltung der europäischen Datenschutzgesetze zu gewährleisten.

7.3. Soweit eingeschränkte Übertragungen vom Kunden an Sophoserfolgen :

1. Die Standardvertragsklauseln werden hiermit ausdrücklich durch Bezugnahme einbezogen und sind Bestandteil dieser Datenverarbeitungsvereinbarung; und
2. Für die Zwecke der Standardvertragsklauseln:
   1. Bezüglich der personenbezogenen Daten des Verantwortlichen ist der Kunde der Datenexporteur und Sophos der Datenimporteur und Auftragsverarbeiter. 
   2. Ist der Kunde der Verantwortliche, so gilt Modul 2 der Standardvertragsklauseln, vorbehaltlich der Bestimmungen in Anlage 3. Ist der Kunde ein Auftragsverarbeiter, der im Auftrag des Verantwortlichen handelt, so gilt Modul 3 der Standardvertragsklauseln vorbehaltlich der Bestimmungen in Anlage 3. 
   3. Die Unterzeichnung und Datierung des Hauptvertrags durch die Parteien gilt als Unterzeichnung und Datierung der Standardvertragsklauseln.

8. DAUER

8.1. Diese DPA tritt in Kraft mit (a) der Unterzeichnung des Hauptvertrags durch beide Parteien oder (b) dem Zeitpunkt, an dem der Hauptvertrag wirksam wird, falls dieser später liegt, und bleibt bis zum früheren der folgenden Zeitpunkte gültig: (i) dem Ablauf des Anspruchs des Kunden auf Nutzung und Empfang der Dienstleistungen, wie im Hauptvertrag oder in einer zugehörigen Lizenzberechtigung angegeben; und (ii) der Beendigung des Hauptvertrags.

9. ANDERE BESTIMMUNGEN

9.1. Änderungen dieser Datenschutzvereinbarung sind nur gültig, wenn sie schriftlich erfolgen und von jeder Partei oder in deren Namen unterzeichnet werden.

9.2. Die Haftung von Sophos gegenüber dem Kunden im Zusammenhang mit Problemen, die sich aus oder im Zusammenhang mit dieser DPA ergeben, ist in keinem Fall höher als die im Hauptvertrag festgelegten Haftungsbeschränkungen von Sophos. Die im Hauptvertrag festgelegten Haftungsbeschränkungen von Sophos gelten in ihrer Gesamtheit sowohl für den Hauptvertrag als auch für diese DPA, sodass für den Hauptvertrag und diese DPA ein einheitliches Haftungsbeschränkungssystem gilt.

9.3. Diese Datenschutzvereinbarung (mit Ausnahme der Standardvertragsklauseln) unterliegt dem Recht von England und Wales und ist nach diesem auszulegen, ohne Berücksichtigung kollisionsrechtlicher Grundsätze. Soweit dies nach geltendem Recht zulässig ist, sind die Gerichte Englands ausschließlich zuständig für die Entscheidung über alle Streitigkeiten oder Ansprüche, die sich aus, im Rahmen oder im Zusammenhang mit dieser Datenschutzvereinbarung ergeben.

9.4. Der Hauptvertrag, diese Datenverarbeitungsvereinbarung und die im Hauptvertrag und dieser Datenverarbeitungsvereinbarung ausdrücklich genannten Dokumente bilden die gesamte Vereinbarung zwischen den Parteien in Bezug auf personenbezogene Daten, die von Sophos im Zusammenhang mit dem Hauptvertrag erhoben, verarbeitet und genutzt werden, und ersetzen alle vorherigen Vereinbarungen, Absprachen und Übereinkünfte zwischen den Parteien in Bezug auf diesen Gegenstand.

9.5. Im Falle eines Widerspruchs zwischen den Bestimmungen dieser DPA und den Bestimmungen etwaiger zwischen den Parteien abgeschlossener SCCs haben die Bestimmungen der jeweiligen SCCs (einschließlich etwaiger Anhänge) Vorrang. 

10. GESETZESÄNDERUNGEN

10.1. Sollte aufgrund einer Änderung der geltenden Datenschutzgesetze eine Anpassung dieser Datenverarbeitungsvereinbarung erforderlich sein, kann jede Partei die andere Partei schriftlich über diese Änderung informieren. Die Parteien werden alle notwendigen Änderungen dieser Vereinbarung zur Datenverarbeitung, um solchen Änderungen Rechnung zu tragen, in gutem Glauben erörtern und aushandeln. Die Parteien werden ihre Zustimmung oder Genehmigung zur Änderung dieser DPA gemäß diesem Abschnitt 10 oder auf andere Weise nicht unbillig verweigern. 

 

Ausstellungsliste 

Anlage 1: DETAILS ZUR VERARBEITUNG 

Anlage 2: TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN 

Anlage 3: ZUSÄTZLICHE BEDINGUNGEN FÜR BESCHRÄNKTE ÜBERTRAGUNGEN

Anlage (zu Anlage 3): Anhang zu den SCCs (Modul 2/Modul 3): Controller-zu-Prozessor/ Prozessor-zu-Prozessor 

 

 

Anlage 1

 

BESCHREIBUNG DER VERARBEITUNG

 

In Anlage 1 wird die Datenverarbeitung beschrieben, die Sophos als Auftragsverarbeiter im Auftrag des Kunden durchführt.

(a) Gegenstand der Verarbeitung 

Sophos bietet Dienstleistungen an, die darauf ausgelegt sind, Sicherheitsbedrohungen innerhalb oder gegen Systeme, Netzwerke, Geräte, Dateien und andere vom Kunden zur Verfügung gestellte Daten zu erkennen, zu verhindern und zu verwalten bzw. Sophos dabei zu unterstützen, diese Bedrohungen zu erkennen, zu verhindern und zu verwalten. Der Inhalt aller in diesen Systemen, Netzwerken, Geräten, Dateien und sonstigen Daten gespeicherten Informationen wird ausschließlich vom Kunden bestimmt.

(b) Art und Zweck der Verarbeitungsvorgänge

• Die Dienstleistungen werden im Rahmen und gemäß der Vereinbarung erbracht.
• Die personenbezogenen Daten des Verantwortlichen unterliegen folgenden grundlegenden Verarbeitungstätigkeiten:
  Jegliche Vorgänge oder Vorgangsreihen, die im Zusammenhang mit personenbezogenen Daten oder Datensätzen personenbezogener Daten im Rahmen der Erbringung der Dienstleistungen durchgeführt werden, wie z. B. Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Änderung, Abruf, Abfrage, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder sonstige Bereitstellung, Abgleich oder Verknüpfung, Einschränkung, Löschung oder Vernichtung.
  

(c) Dauer der Verarbeitungsvorgänge:

Die personenbezogenen Daten des Verantwortlichen werden für die Dauer des Hauptvertrags und gemäß den Bestimmungen dieser Datenverarbeitungsvereinbarung verarbeitet .

(d) Betroffene Personen

Der Verantwortliche für die Verarbeitung personenbezogener Daten betrifft folgende Kategorien von betroffenen Personen:

• Personal und Endbenutzer des Controllers  
• Andere betroffene Personen, deren personenbezogene Daten im Auftrag des Verantwortlichen im Zusammenhang mit den Dienstleistungen verarbeitet werden

(e) Arten von personenbezogenen Daten

Die personenbezogenen Daten des Verantwortlichen betreffen folgende Kategorien von Daten:

• Benutzernamen und andere Kennungen
• Netzwerk- und Netzwerkaktivitätsinformationen 
• Weitere Informationen, die im Zusammenhang mit den Diensten übermittelt oder verarbeitet werden können.

(f) Besondere Datenkategorien (falls zutreffend)

Die personenbezogenen Daten des Verantwortlichen betreffen folgende besondere Kategorien von Daten:

Der Inhalt aller in Sophos-Systemen, Netzwerken, Geräten, Dateien und anderen Daten gespeicherten Informationen wird ausschließlich vom Kunden bestimmt. Sofern nicht anders angegeben, sind die Dienste von Sophos nicht für die Verarbeitung besonderer Kategorien von Daten ausgelegt. 

Anlage 2

TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN

 

 

Diese Übersicht zur Informationssicherheit gilt für die Sophos-Unternehmenskontrollen zum Schutz personenbezogener Daten des Verantwortlichen.

 

Sicherheitspraktiken und -richtlinien

Sophos verpflichtet sich, physische, technische, administrative oder organisatorische Sicherheitsvorkehrungen zum Schutz der personenbezogenen Daten des Verantwortlichen vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Zugriff oder Veränderung der Daten des Verantwortlichen, die sich im Besitz oder unter der Kontrolle von Sophos befinden, zu treffen.  Sophos wird Richtlinien und Standards zum Schutz personenbezogener Daten von Verantwortlichen pflegen, die auf branchenüblichen Rahmenwerken basieren, und einheitliche Sicherheits- und Datenschutzstandards für die Geschäftstätigkeit von Sophos festlegen.  

 

Organisationssicherheit

Es liegt in der Verantwortung jedes Einzelnen innerhalb der Organisation, diese Praktiken und Standards einzuhalten. Um die Einhaltung dieser Praktiken und Standards durch die Unternehmen zu erleichtern, erfüllt die Informationssicherheit folgende Funktion:

1. Strategie und Einhaltung von Richtlinien/Standards und Vorschriften, Sensibilisierung und Schulung, Risikobewertung und -management, Management der vertraglichen Sicherheitsanforderungen, Anwendungs- und Infrastrukturberatung, Qualitätssicherungstests und Steuerung der Sicherheitsausrichtung des Unternehmens;
2. Sicherheitstests, Design und Implementierung von Sicherheitslösungen zur Ermöglichung der Einführung von Sicherheitskontrollen in der gesamten Umgebung;
3. Sicherheitsbetrieb der implementierten Sicherheitslösungen, der Umgebung und der Anlagen sowie Management der Maßnahmen zur Reaktion auf Sicherheitsvorfälle;

Personensicherheit

Im Rahmen des Einstellungsverfahrens und vorbehaltlich der geltenden Gesetze durchlaufen die Mitarbeiter bei der Einstellung einen Überprüfungsprozess. Die jährliche Compliance-Schulung von Sophos beinhaltet die Verpflichtung für Mitarbeiter, einen Online-Kurs zu absolvieren, der Informationssicherheit und Datenschutz abdeckt. Das Sicherheitsbewusstseinsprogramm kann auch Materialien bereitstellen, die speziell auf bestimmte Arbeitsfunktionen zugeschnitten sind.

 

Physische und umweltbezogene Sicherheit

Sophos trifft Vorkehrungen, um sicherzustellen, dass alle Systeme, die personenbezogene Daten des Verantwortlichen hosten, in einer physisch sicheren Umgebung betrieben werden, um unbefugten physischen Zugriff zu verhindern, und dass die Zugangsbeschränkungen an physischen Standorten, die personenbezogene Daten des Verantwortlichen enthalten, wie z. B. Gebäude, Computeranlagen und Datenspeichereinrichtungen, so konzipiert und implementiert sind, dass nur autorisierte Personen Zugang erhalten und jeder unbefugte Zugriff erkannt wird, einschließlich, aber nicht beschränkt auf Zugangskontrollen mit Ausweisen, Zugangsbeschränkungen für sensible Bereiche, Anlagenalarme sowie Besucherregistrierung und -protokolle.

 

Kommunikations- und Betriebsmanagement

Sophos steuert Änderungen an seiner Infrastruktur, seinen Systemen und Anwendungen durch ein formelles Änderungsmanagementprogramm, das die Integrität und Sicherheit der personenbezogenen Daten des Verantwortlichen gewährleisten soll. Zu den Kontrollmaßnahmen gehören Tests, eine Analyse der Auswirkungen auf das Geschäft und gegebenenfalls die Genehmigung durch das Management. Für Sicherheits- und Datenschutzvorfälle existieren Verfahren zur Reaktion auf Sicherheitsvorfälle, die die Analyse des Vorfalls, die Eindämmung, die Reaktion, die Behebung, die Berichterstattung und die Rückkehr zum Normalbetrieb umfassen können.

Zum Schutz vor Cyberangriffen können je nach Risiko zusätzliche Kontrollmaßnahmen implementiert werden. Zu diesen Kontrollmaßnahmen gehören unter anderem Informationssicherheitsrichtlinien und -standards, eingeschränkter Zugriff, Multifaktor-Authentifizierung, festgelegte Entwicklungs- und Testumgebungen, Malware-Erkennung, Scannen von E-Mail- und Web-Traffic, Managed Detection and Response, Protokollierung und Alarmierung bei wichtigen Ereignissen, Informationsverarbeitungsverfahren basierend auf dem Datentyp sowie Scannen von System- und Anwendungsschwachstellen.

Zugangskontrollen

Sophos unterhält angemessene Sicherheitsmaßnahmen und -verfahren, um sicherzustellen, dass der Zugriff auf alle Systeme, die personenbezogene Daten des Verantwortlichen hosten, durch den Einsatz von Zugriffskontrollsystemen geschützt wird, die jede Person, die Zugriff benötigt, eindeutig identifizieren, den Zugriff nur autorisierten Personen gewähren und auf der Grundlage des Prinzips der minimalen Berechtigungen verhindern, dass unbefugte Personen Zugriff auf personenbezogene Daten des Verantwortlichen erhalten, den Umfang des jeder autorisierten Person gewährten Zugriffs angemessen einschränken und kontrollieren und alle relevanten Zugriffsereignisse protokollieren.

Kontrolle der Subunternehmer

Sophos ist dafür verantwortlich, sicherzustellen, dass seine Unterauftragnehmer, die personenbezogene Daten des Verantwortlichen verarbeiten, Datensicherheitsprogramme unterhalten, die mindestens so streng sind wie die eigenen Programme von Sophos in Bezug auf die jeweilige Dienstleistung, für die der Unterauftragnehmer tätig ist, und in Übereinstimmung mit allgemein anerkannten Branchenstandards und -praktiken. Sophos wird ein Risikomanagementprogramm unterhalten, das sich auf die Identifizierung, Bewertung und Validierung der Sicherheitskontrollen eines Anbieters konzentriert.

Systementwicklung und -wartung

Öffentlich gemeldete Sicherheitslücken von Drittanbietern werden auf ihre Anwendbarkeit in der Sophos-Umgebung geprüft. Ausgehend von den Risiken für das Geschäft und die Kunden von Sophos gibt es vorab festgelegte Zeitrahmen für die Behebung der Mängel. Darüber hinaus werden Schwachstellenscans und -bewertungen sowohl bei neuen und wichtigen Anwendungen als auch bei der Infrastruktur auf Basis des Risikos durchgeführt. Code-Reviews und Scanner werden in der Entwicklungsumgebung vor der Produktionsfreigabe eingesetzt, um proaktiv auf Basis des Risikos Programmierfehler zu erkennen. Diese Prozesse ermöglichen die proaktive Identifizierung von Schwachstellen sowie die Einhaltung von Vorschriften.

 

Einhaltung

Die Abteilungen für Informationssicherheit, Recht, Datenschutz und Compliance arbeiten daran, regionale Gesetze und Vorschriften zu ermitteln, die für Sophos gelten. Diese Anforderungen umfassen Bereiche wie das geistige Eigentum des Unternehmens und unserer Kunden, Softwarelizenzen, den Schutz personenbezogener Daten von Mitarbeitern und Kunden, Datenschutz- und Datenverarbeitungsverfahren, grenzüberschreitende Datenübertragung, Finanz- und Betriebsverfahren, regulatorische Exportkontrollen im Technologiebereich sowie forensische Anforderungen. Mechanismen wie das Informationssicherheitsprogramm, interne und externe Audits/Bewertungen, die Konsultation interner und externer Rechtsberater, die Bewertung interner Kontrollen, interne Penetrationstests und Schwachstellenanalysen, das Vertragsmanagement, die Sensibilisierung für Sicherheitsthemen, die Sicherheitsberatung, die Überprüfung von Richtlinienausnahmen und das Risikomanagement tragen gemeinsam dazu bei, die Einhaltung dieser Anforderungen zu gewährleisten.

Anlage 3

ZUSÄTZLICHE BEDINGUNGEN FÜR BESCHRÄNKTE ÜBERTRAGUNGEN 

Diese Anlage 3 enthält zusätzliche Bestimmungen für beschränkte Übertragungen sowie die Informationen, die zur Vervollständigung der Anhänge (Anlagen I – III) zu den entsprechenden Standardvertragsklauseln erforderlich sind.

1. Ist der Kunde ein Verantwortlicher in Bezug auf die personenbezogenen Daten des Verantwortlichen, so findet Modul 2 der Standardvertragsklauseln Anwendung, vorbehaltlich der Bestimmungen dieses Anhangs 3.
2. Ist der Kunde ein Auftragsverarbeiter, der im Auftrag eines Verantwortlichen hinsichtlich der personenbezogenen Daten des Verantwortlichen handelt, so findet Modul 3 der Standardvertragsklauseln Anwendung, vorbehaltlich der Bestimmungen dieses Anhangs 3.
3. Für die Zwecke der EU-Standardvertragsklauseln:
   • 3.1. Klausel 7: Die optionale Docking-Klausel findet keine Anwendung;
   • 3.2. Klausel 9(a): Option 2 (Allgemeine Genehmigung) findet Anwendung, und der Datenimporteur hat den Datenexporteur mindestens 30 Tage im Voraus schriftlich über alle beabsichtigten Änderungen zu informieren.
   • 3.3. Klausel 11: Die optionale Formulierung findet keine Anwendung.
   • 3.4. Klausel 17: Die EU-Standardvertragsklauseln unterliegen dem Recht der Republik Irland.
   • 3.5. Klausel 18: Streitigkeiten werden vor den Gerichten der Republik Irland entschieden;
   • 3.6. Der Anhang zu den EU-Standardvertragsklauseln wird mit den Informationen aus dem Anhang zu dieser Anlage 3 ausgefüllt.
4. Für die Zwecke des britischen Zusatzabkommens gilt Folgendes:
   • 4.1. Die Einzelheiten der für Tabelle 1 relevanten Parteien sind in Anhang I der Anlage zu dieser Anlage 3 aufgeführt;
   • 4.2. Für die Zwecke von Tabelle 2 wird der britische Nachtrag den EU-Standardvertragsklauseln mit den oben genannten Optionen und Zeiträumen beigefügt; 
   • 4.3. Die in Tabelle 3 aufgeführten Informationen im Anhang sind mit den Informationen aus Anhang I und Anhang II der Anlage zu diesem Dokument 3 zu ergänzen.
5. Für die Zwecke der schweizerischen Standardvertragsklauseln (SCCs) gelten die EU-Standardvertragsklauseln wie folgt: 
   • 5.1. Alle Verweise in den EU-Standardvertragsklauseln auf die DSGVO sind als Verweise auf die schweizerische Datenschutzbehörde auszulegen;
   • 5.2. Verweise auf „EU“, „Union“, „Mitgliedstaat“ und „Mitgliedstaatsrecht“ sind jeweils als Verweise auf die Schweiz und das Schweizer Recht auszulegen; 
   • 5.3. Verweise auf die „zuständige Aufsichtsbehörde“ und die „zuständigen Gerichte“ sind als Verweise auf den EDITOR und die zuständigen Gerichte in der Schweiz auszulegen;
   • 5.4. Die entsprechenden Anhänge der Schweizer Standardvertragsklauseln sind mit den Informationen aus dem Anhang zu dieser Anlage 3 zu füllen.

 

Anlage zu Anlage 3 

ANHANG ZUM SCCS

MODUL 2 oder MODUL 3 (je nach Anwendbarkeit)

 

ANHANG I 

A. Liste der Parteien 

1. Datenexporteur(e):

 

Unterschrift und Datum des Datenexporteurs: Datum und Unterschrift gemäß Hauptvertrag

 

2. Datenimporteur(e):

 

 

Unterschrift und Datum des Datenimporteurs: Datum und Unterschrift gemäß Hauptvertrag

 

B. BESCHREIBUNG DER ÜBERTRAGUNG 

• 1.1. Kategorien von betroffenen Personen, deren personenbezogene Daten übertragen werdenDie
  Wie in Anlage 1 dargestellt.
• 1.2. Kategorien der übermittelten personenbezogenen DatenDie
  Wie aus Anlage 1 hervorgeht.

Sensible Daten werden (falls zutreffend) übermittelt und unterliegen Beschränkungen oder Schutzmaßnahmen, die die Art der Daten und die damit verbundenen Risiken umfassend berücksichtigen, wie beispielsweise eine strikte Zweckbindung, Zugriffsbeschränkungen (einschließlich Zugriff nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), die Protokollierung des Datenzugriffs, Beschränkungen für die Weitergabe oder zusätzliche Sicherheitsmaßnahmen.

Wie in Anlage 1 dargestellt. Falls sensible Daten übertragen werden, beachten Sie bitte die in Anlage 2 aufgeführten geltenden Einschränkungen.

Die Häufigkeit der Übertragung (z. B. ob die Daten einmalig oder kontinuierlich übertragen werden).

Kontinuierlich.

Art der Verarbeitung

Wie in Anlage 1 dargestellt.

Zweck(e) der Datenübermittlung und Weiterverarbeitung

Wie in Anlage 1 dargestellt.

Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien zur Bestimmung dieses Zeitraums

Wie in Anlage 1 dargestellt.

Bei Übermittlungen an (Unter-)Auftragsverarbeiter sind außerdem Gegenstand, Art und Dauer der Verarbeitung anzugeben.

Wie in Anlage 1 dargestellt.

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE 

Die zuständige Aufsichtsbehörde ist die Aufsichtsbehörde des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, oder eine nach der DSGVO anderweitig bestimmte Aufsichtsbehörde.

ANHANG II – TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MASSNAHMEN ZUR GEWÄHRLEISTUNG DER DATENSICHERHEIT

Wie in Anlage 2 zum DPA dargelegt. 

ANHANG III – LISTE DER UNTERAUFTRAGNEHMERN 

Nicht anwendbar, da die Parteien eine allgemeine Genehmigung zur Nutzung von Unterauftragnehmern vereinbart haben.

 

Datum der Überarbeitung: 10. Dezember 2025