{"id":3514,"date":"2024-03-07T16:27:51","date_gmt":"2024-03-07T15:27:51","guid":{"rendered":"https:\/\/dev.samesystem.eu\/data-processing-agreement-2022\/"},"modified":"2024-10-15T12:16:36","modified_gmt":"2024-10-15T10:16:36","slug":"data-processing-agreement-2022","status":"publish","type":"page","link":"https:\/\/www.samesystem.com\/de\/data-processing-agreement-2022\/","title":{"rendered":"Data Processing Agreement"},"content":{"rendered":"\t\t
\n\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t

Daten­verarbeitungs­vereinbarung<\/h1>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t
\n\n\t\t\t\t\t\t
\n\t\t\t\t\n\t\t\t\t<\/path><\/path><\/svg>\t\t\t\t<\/a>\n\t\t\t<\/div>\n\t\t\t\n\t\t\t\t\t\t
\n\n\t\t\t\t\t\t\t\t\t

\n\t\t\t\t\t\t\n\t\t\t\t\t\t\tPDF-Version herunterladen\t\t\t\t\t\t<\/a>\n\t\t\t\t\t<\/p>\n\t\t\t\t\n\t\t\t\t\n\t\t\t<\/div>\n\t\t\t\n\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t

\n\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

STANDARDVERTRAGS\u00adKLAUSELN<\/h2>

F\u00fcr die Zwecke von Artikel 28 Absatz 3 der Verordnung (EU) 2016\/679 (DSGVO)<\/p>

Der Kunde
(der „Datenverantwortliche<\/strong>„)<\/p>

und<\/p>

SameSystem A\/S
CVR-\/VAT-Nr.: 31487927
Rentemestervej 2A
2400 Kopenhagen NV
D\u00e4nemark<\/p>

(der „Datenverarbeiter<\/strong>„)<\/p>

jeder einzelne eine „Partei“; zusammen die „Parteien“<\/p>

HABEN die folgenden Vertragsklauseln (die Klauseln) VEREINBART, um die Anforderungen der DSGVO zu erf\u00fcllen und den Schutz der Rechte der betroffenen Person zu gew\u00e4hrleisten. Diese Klauseln sind Teil des Lizenzvertrags zwischen den Parteien.<\/p>

Diese Klauseln gelten f\u00fcr alle Verarbeitungen personenbezogener Daten, die vom Datenverarbeiter (einschlie\u00dflich seiner Tochtergesellschaften) im Auftrag des Datenverantwortlichen (einschlie\u00dflich seiner Tochtergesellschaften) durchgef\u00fchrt werden.<\/p>

1\u00a0 INHALTSVERZEICHNIS<\/h2>

2. Pr\u00e4ambel<\/p>

3. Die Rechte und Pflichten des Datenverantwortlichen<\/p>

4. Der Datenverarbeiter handelt gem\u00e4\u00df den Anweisungen<\/p>

5. Vertraulichkeit<\/p>

6. Sicherheit der Verarbeitung<\/p>

7. Einsatz von Unterauftragsverarbeitern<\/p>

8. \u00dcbermittlung von Daten an Drittl\u00e4nder oder internationale Organisationen<\/p>

9. Unterst\u00fctzung f\u00fcr den Datenverantwortlichen<\/p>

10. Benachrichtigung \u00fcber die Verletzung des Schutzes personenbezogener Daten<\/p>

11. L\u00f6schung und R\u00fcckgabe von Daten<\/p>

12. Audit und Inspektion<\/p>

13. Die Vereinbarung der Parteien \u00fcber andere Bedingungen<\/p>

14. Beginn und Laufzeit<\/p>

15. Kontakt<\/p>

Anhang A\u00a0 \u2013\u00a0 Informationen \u00fcber die Verarbeitung<\/p>

Anhang B\u00a0 \u2013\u00a0 Zugelassene Unterauftragsverarbeiter<\/p>

Anhang C\u00a0 \u2013\u00a0 Anweisung \u00fcber die Verwendung personenbezogener Daten<\/p>

Anhang D\u00a0 \u2013\u00a0 Die Vereinbarung der Parteien zu anderen Themen<\/p>

2\u00a0 PR\u00c4AMBEL<\/h2>

2.1<\/strong> Diese Vertragsklauseln (die Klauseln) legen die Rechte und Pflichten des Datenverantwortlichen und des Datenverarbeiters bei der Verarbeitung personenbezogener Daten im Auftrag des Datenverantwortlichen fest.<\/p>

2.2<\/strong> Die Klauseln wurden entwickelt, um die Einhaltung von Artikel 28 Absatz 3 der Verordnung (EU) 2016\/679 des Europ\u00e4ischen Parlaments und des Rates vom 27. April 2016 zum Schutz nat\u00fcrlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95\/46\/EG (Datenschutz-Grundverordnung) durch die Parteien sicherzustellen.<\/p>

2.3<\/strong> Der Datenverarbeiter erbringt die im Lizenzvertrag und in den allgemeinen Lizenzbedingungen zwischen den Parteien beschriebenen Dienstleistungen und verarbeitet zur Erf\u00fcllung des Lizenzvertrags personenbezogene Daten im Auftrag des f\u00fcr die Datenverarbeitung Verantwortlichen in \u00dcbereinstimmung mit den Klauseln.<\/p>

2.4<\/strong> Diese Vereinbarung \u00fcber die Datenverarbeitung ersetzt alle fr\u00fcheren Vereinbarungen \u00fcber die Datenverarbeitung zwischen dem Datenverarbeiter und dem f\u00fcr die Datenverarbeitung Verantwortlichen.<\/p>

2.5<\/strong> Vier Anh\u00e4nge sind den Klauseln beigef\u00fcgt und bilden einen integralen Bestandteil der Klauseln.<\/p>

2.6<\/strong> Anhang A enth\u00e4lt Einzelheiten \u00fcber die Verarbeitung personenbezogener Daten, einschlie\u00dflich des Zwecks und der Art der Verarbeitung, der Art der personenbezogenen Daten, der Kategorien der betroffenen Personen und der Dauer der Verarbeitung.<\/p>

2.7<\/strong> Anhang B enth\u00e4lt die Bedingungen des Datenverantwortlichen f\u00fcr den Einsatz von Unterauftragsverarbeitern und eine Liste der vom Datenverantwortlichen zugelassenen Unterauftragsverarbeiter.<\/p>

2.8<\/strong> Anhang C enth\u00e4lt die Anweisungen des Datenverantwortlichen in Bezug auf die Verarbeitung personenbezogener Daten, die vom Datenverarbeiter umzusetzenden Mindestsicherheitsma\u00dfnahmen und die Art und Weise, wie Audits des Datenverarbeiters und etwaiger Unterauftragsverarbeiter durchgef\u00fchrt werden sollen.<\/p>

2.9<\/strong> Anhang D enth\u00e4lt Bestimmungen f\u00fcr andere T\u00e4tigkeiten, die nicht von den Klauseln erfasst werden.<\/p>

2.10<\/strong> Die Klauseln und ihre Anh\u00e4nge sind von beiden Parteien schriftlich, auch elektronisch, aufzubewahren.<\/p>

2.11<\/strong> Die Klauseln befreien den Datenverarbeiter nicht von Verpflichtungen, denen er gem\u00e4\u00df der Allgemeinen Datenschutzverordnung (DSGVO) oder anderen Rechtsvorschriften unterliegt.<\/p>

3\u00a0 DIE RECHTE UND PFLICHTEN DES DATEN\u00adVERANTWORTLICHEN<\/h2>

3.1 <\/strong>Der Datenverantwortlichen ist daf\u00fcr verantwortlich, dass die Verarbeitung personenbezogener Daten im Einklang mit der DSGVO (siehe Artikel 24 DSGVO), den geltenden Datenschutzbestimmungen der EU oder der Mitgliedstaaten\u00b9 und den Klauseln erfolgt.<\/p>

3.2<\/strong> Der Datenverantwortlichen hat das Recht und die Pflicht, Entscheidungen \u00fcber die Zwecke und Mittel der Verarbeitung personenbezogener Daten zu treffen.<\/p>

3.3<\/strong> Der Datenverantwortlichen ist u. a. daf\u00fcr verantwortlich, dass die Verarbeitung personenbezogener Daten, mit welcher der Datenverarbeiter beauftragt wird, auf einer Rechtsgrundlage beruht.<\/p>

[1] Die in den Klauseln enthaltenen Verweise auf \u201eMitgliedstaaten\u201c sind als Verweise auf \u201eEWR-Mitgliedstaaten\u201c zu verstehen.<\/p>

4\u00a0 DER DATENVERARBEITER HANDELT GEM\u00c4SS DEN ANWEISUNGEN<\/h2>

4.1<\/strong> Der Datenverarbeiter darf personenbezogene Daten nur auf dokumentierte Weisung des Datenverantwortlichen verarbeiten, es sei denn, er ist aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen er unterliegt, dazu verpflichtet. Der Datenverantwortlichen kann w\u00e4hrend der gesamten Dauer der Verarbeitung personenbezogener Daten auch nachtr\u00e4gliche Weisungen erteilen; diese Weisungen sind jedoch stets zu dokumentieren und schriftlich, auch elektronisch, in Verbindung mit den Klauseln aufzubewahren.<\/p>

4.2<\/strong> Der Datenverarbeiter informiert den Datenverantwortlichen unverz\u00fcglich, wenn die Anweisungen des Datenverantwortlichen nach Ansicht des Datenverarbeiters gegen die DSGVO oder die geltenden Datenschutzbestimmungen der EU oder der Mitgliedstaaten versto\u00dfen.<\/p>

5\u00a0 VERTRAULICHKEIT<\/h2>

5.1<\/strong> Der Datenverarbeiter gew\u00e4hrt Zugang zu den personenbezogenen Daten, die im Auftrag des Datenverantwortlichen verarbeitet werden, nur den ihm unterstellten Personen, die sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Geheimhaltungspflicht unterliegen, und nur auf der Grundlage der Notwendigkeit der Kenntnisnahme. Die Liste der Personen, denen Zugang gew\u00e4hrt wurde, wird regelm\u00e4\u00dfig \u00fcberpr\u00fcft. Auf der Grundlage dieser \u00dcberpr\u00fcfung kann der Zugang zu personenbezogenen Daten widerrufen werden, wenn er nicht mehr erforderlich ist, und die personenbezogenen Daten sind dann f\u00fcr diese Personen nicht mehr zug\u00e4nglich.<\/p>

5.2<\/strong> Der Datenverarbeiter weist auf Verlangen des Datenverantwortlichen nach, dass die betroffenen Personen, die dem Datenverarbeiter unterstellt sind, der oben genannten Geheimhaltungspflicht unterliegen.<\/p>

6\u00a0 SICHERHEIT DER VERARBEITUNG<\/h2>

6.1<\/strong> Artikel 32 DSGVO sieht vor, dass der Datenverantwortlichen und der Datenverarbeiter unter Ber\u00fccksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umst\u00e4nde und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos f\u00fcr die Rechte und Freiheiten nat\u00fcrlicher Personen geeignete technische und organisatorische Ma\u00dfnahmen ergreifen, um ein dem Risiko angemessenes Ma\u00df an Sicherheit zu gew\u00e4hrleisten.<\/p>

Der Datenverantwortlichen bewertet die mit der Verarbeitung verbundenen Risiken f\u00fcr die Rechte und Freiheiten nat\u00fcrlicher Personen und ergreift Ma\u00dfnahmen, um diese Risiken zu mindern. Je nach Relevanz k\u00f6nnen die Ma\u00dfnahmen Folgendes umfassen:<\/p>

a. Pseudonymisierung und Verschl\u00fcsselung von personenbezogenen Daten;<\/p>

b. die F\u00e4higkeit, die st\u00e4ndige Vertraulichkeit, Integrit\u00e4t, Verf\u00fcgbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste zu gew\u00e4hrleisten;<\/p>

c. die F\u00e4higkeit, die Verf\u00fcgbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Zwischenfalls rechtzeitig wiederherzustellen;<\/p>

d. ein Verfahren zur regelm\u00e4\u00dfigen Pr\u00fcfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Ma\u00dfnahmen zur Gew\u00e4hrleistung der Sicherheit der Verarbeitung.<\/p>

6.2<\/strong> Gem\u00e4\u00df Artikel 32 DSGVO muss der Datenverarbeiter auch – unabh\u00e4ngig von dem Datenverantwortlichen – die mit der Verarbeitung verbundenen Risiken f\u00fcr die Rechte und Freiheiten nat\u00fcrlicher Personen bewerten und Ma\u00dfnahmen zur Minderung dieser Risiken ergreifen. Zu diesem Zweck stellt der Datenverantwortlichen dem Datenverarbeiter alle Informationen zur Verf\u00fcgung, die zur Ermittlung und Bewertung dieser Risiken erforderlich sind.<\/p>

6.3<\/strong> Dar\u00fcber hinaus unterst\u00fctzt der Datenverarbeiter den Datenverantwortlichen bei der Einhaltung seiner Pflichten gem\u00e4\u00df Artikel 32 DSGVO, indem er dem Datenverantwortlichen unter anderem Informationen \u00fcber die technischen und organisatorischen Ma\u00dfnahmen zur Verf\u00fcgung stellt, die der Datenverarbeiter gem\u00e4\u00df Artikel 32 DSGVO bereits umgesetzt hat, sowie alle anderen Informationen, die der Datenverantwortlichen ben\u00f6tigt, um seinen Pflichten gem\u00e4\u00df Artikel 32 DSGVO nachzukommen.<\/p>

Erfordert die weitere Minderung der festgestellten Risiken nach Einsch\u00e4tzung des Datenverantwortlichen zus\u00e4tzliche, vom Datenverarbeiter zu ergreifende Ma\u00dfnahmen, die \u00fcber die, die der Datenverarbeiter gem\u00e4\u00df Artikel 32 DSGVO bereits ergriffen hat, hinausgehen, so f\u00fchrt der Datenverantwortlichen diese zus\u00e4tzlichen Ma\u00dfnahmen in Anhang C auf.<\/p>

7\u00a0 EINSATZ VON UNTERAUFTRAGS\u00adVERARBEITERN<\/h2>

7.1<\/strong> Der Datenverarbeiter muss die in Artikel 28 Abs\u00e4tze 2 und 4 DSGVO genannten Anforderungen erf\u00fcllen, um einen anderen Datenverarbeiter (einen Unterauftragsverarbeiter) zu beauftragen.<\/p>

7.2<\/strong> Der Datenverarbeiter darf daher ohne vorherige allgemeine schriftliche Genehmigung des Datenverantwortlichen keinen anderen Verarbeiter (Unterauftragsverarbeiter) mit der Erf\u00fcllung der Klauseln beauftragen.<\/p>

7.3<\/strong> Der Datenverantwortliche erteilt dem Datenverarbeiter die allgemeine Genehmigung f\u00fcr die Beauftragung von Unterauftragsverarbeitern. Der Datenverarbeiter unterrichtet den Datenverantwortlichen mindestens 30 Tage im Voraus schriftlich \u00fcber alle beabsichtigten \u00c4nderungen in Bezug auf das Hinzuf\u00fcgen oder den Austausch von Unterauftragsverarbeitern, so dass der Datenverantwortliche die M\u00f6glichkeit hat, vor der Beauftragung des\/der betreffenden Unterauftragsverarbeiter(s) Einw\u00e4nde gegen diese \u00c4nderungen zu erheben. L\u00e4ngere Vorank\u00fcndigungsfristen f\u00fcr bestimmte Unterauftragsverarbeitungsdienste k\u00f6nnen in Anlage B angegeben werden. Die Liste der vom Datenverantwortlichen bereits genehmigten Unterauftragsverarbeiter findet sich in Anhang B.<\/p>

7.4<\/strong> Beauftragt der Datenverarbeiter einen Unterauftragsverarbeiter mit der Durchf\u00fchrung bestimmter Verarbeitungst\u00e4tigkeiten im Auftrag des Datenverantwortlichen, so werden diesem Unterauftragsverarbeiter durch einen Vertrag oder einen anderen Rechtsakt nach EU-Recht oder dem Recht eines Mitgliedstaats dieselben Datenschutzverpflichtungen auferlegt, wie sie in den Klauseln festgelegt sind, insbesondere die Bereitstellung ausreichender Garantien f\u00fcr die Umsetzung geeigneter technischer und organisatorischer Ma\u00dfnahmen in einer Weise, dass die Verarbeitung den Anforderungen der Klauseln und der DSGVO entspricht.<\/p>

Der Datenverarbeiter ist daher daf\u00fcr verantwortlich, vom Unterauftragsverarbeiter einzufordern, zumindest die Verpflichtungen einzuhalten, denen der Datenverarbeiter gem\u00e4\u00df den Klauseln und der DSGVO unterliegt.<\/p>

7.5<\/strong> Eine Kopie eines solchen Unterauftragsverarbeitungsvertrags und sp\u00e4tere \u00c4nderungen sind – auf Verlangen des Datenverantwortlichen – dem f\u00fcr Datenverantwortlichen vorzulegen, so dass der Datenverantwortliche die M\u00f6glichkeit hat, sicherzustellen, dass dem Unterauftragsverarbeiter dieselben Datenschutzpflichten auferlegt werden, wie sie in den Klauseln festgelegt sind. Klauseln zu gesch\u00e4ftsbezogenen Fragen, die den datenschutzrechtlichen Inhalt der Unterauftragsverarbeitungsvereinbarung nicht ber\u00fchren, m\u00fcssen dem Datenverantwortlichen nicht vorgelegt werden.<\/p>

7.6<\/strong> Kommt der Unterauftragsverarbeiter seinen Datenschutzverpflichtungen nicht nach, so bleibt der Datenverarbeiter gegen\u00fcber dem Datenverantwortlichen in Bezug auf die Erf\u00fcllung der Verpflichtungen des Unterauftragsverarbeiters in vollem Umfang haftbar. Dies ber\u00fchrt nicht die Rechte der betroffenen Personen nach der Datenschutz-Grundverordnung – insbesondere die in den Artikeln 79 und 82 der Datenschutz-Grundverordnung vorgesehenen – gegen\u00fcber dem Datenverantwortlichen und dem Datenverarbeiter, einschlie\u00dflich des Unterauftragsverarbeiters.<\/p>

8\u00a0 \u00dcBERMITTLUNG VON DATEN AN DRITTL\u00c4NDER ODER INTERNATIONALE ORGANISATIONEN<\/h2>

8.1<\/strong> Jegliche \u00dcbermittlung personenbezogener Daten an Drittl\u00e4nder oder internationale Organisationen durch den Datenverarbeiter darf nur auf der Grundlage dokumentierter Anweisungen des Datenverantwortlichen erfolgen und muss stets im Einklang mit Kapitel V der Datenschutz-Grundverordnung stehen.<\/p>

8.2<\/strong> Ist die \u00dcbermittlung von Daten an Drittl\u00e4nder oder internationale Organisationen, mit welcher der Datenverarbeiter nicht vom Datenverantwortlichen beauftragt wurde, nach dem Recht der EU oder eines Mitgliedstaats, dem der Datenverarbeiter unterliegt, erforderlich, so unterrichtet der Datenverarbeiter den Datenverantwortlichen vor der Verarbeitung \u00fcber diese rechtliche Anforderung, es sei denn, das betreffende Recht verbietet eine solche Unterrichtung aus wichtigen Gr\u00fcnden des \u00f6ffentlichen Interesses.<\/p>

8.3<\/strong> Ohne dokumentierte Anweisungen des Datenverantwortlichen kann der Datenverarbeiter daher im Rahmen der Klauseln nicht:<\/p>

a. personenbezogene Daten an einen Datenverantwortlichen oder einen Datenverarbeiter in einem Drittland oder in einer internationalen Organisation \u00fcbermitteln<\/p>

b. die Verarbeitung personenbezogener Daten an einen Unterauftragsverarbeiter in einem Drittland \u00fcbertragen<\/p>

c. die Verarbeitung der personenbezogenen Daten durch den Datenverarbeiter in einem Drittland veranlassen<\/p>

8.4<\/strong> Die Anweisungen des Datenverantwortlichen f\u00fcr die \u00dcbermittlung personenbezogener Daten in ein Drittland, gegebenenfalls einschlie\u00dflich des \u00dcbermittlungsinstruments gem\u00e4\u00df Kapitel V DSGVO, auf das sie sich st\u00fctzen, sind in Anhang C.6 aufgef\u00fchrt.<\/p>

8.5<\/strong> Die Klauseln sind nicht mit den Standard-Datenschutzklauseln im Sinne von Artikel 46 Absatz 2 Buchstaben c und d DSGVO zu verwechseln, und die Klauseln k\u00f6nnen von den Parteien nicht als \u00dcbermittlungsinstrument gem\u00e4\u00df Kapitel V der DSGVO herangezogen werden.<\/p>

9\u00a0 UNTERST\u00dcTZUNG F\u00dcR DEN DATEN\u00adVERANTWORTLICHEN<\/h2>

9.1<\/strong> Unter Ber\u00fccksichtigung der Art der Verarbeitung unterst\u00fctzt der Datenverarbeiter den Datenverantwortlichen durch geeignete technische und organisatorische Ma\u00dfnahmen, soweit dies m\u00f6glich ist, bei der Erf\u00fcllung der Verpflichtungen des Datenverantwortlichen zur Beantwortung von Antr\u00e4gen auf Aus\u00fcbung der Rechte der betroffenen Person gem\u00e4\u00df Kapitel III DSGVO.<\/p>

Dies bedeutet, dass der Datenverarbeiter den Datenverantwortlichen, soweit dies m\u00f6glich ist, unterst\u00fctzen muss bei der Einhaltung der Vorschriften in Bezug auf:<\/p>

a. das Recht, bei der Erhebung personenbezogener Daten der betroffenen Person informiert zu werden<\/p>

b. das Recht, informiert zu werden, wenn personenbezogene Daten nicht von der betroffenen Person erhalten worden sind<\/p>

c. das Recht auf Auskunft durch die betroffene Person<\/p>

d. das Recht auf Berichtigung<\/p>

e. das Recht auf L\u00f6schung („das Recht auf Vergessenwerden“)<\/p>

f. das Recht auf Einschr\u00e4nkung der Verarbeitung<\/p>

g. Meldepflicht zur Berichtigung oder L\u00f6schung personenbezogener Daten oder zur Einschr\u00e4nkung der Verarbeitung<\/p>

h. das Recht auf Daten\u00fcbertragbarkeit<\/p>

i. das Recht auf Widerspruch<\/p>

j. das Recht, keiner Entscheidung unterworfen zu werden, die ausschlie\u00dflich auf einer automatisierten Verarbeitung, einschlie\u00dflich Profiling, beruht<\/p>

9.2<\/strong> Zus\u00e4tzlich zu der Verpflichtung des Datenverarbeiters, den Datenverantwortlichen gem\u00e4\u00df Ziffer 6.3. zu unterst\u00fctzen, muss der Datenverarbeiter den Datenverantwortlichen unter Ber\u00fccksichtigung der Art der Verarbeitung und der ihm zur Verf\u00fcgung stehenden Informationen unterst\u00fctzen bei der Einhaltung der Vorschriften in Bezug auf:<\/p>

a. Die Verpflichtung des Datenverantwortlichen, die Verletzung des Schutzes personenbezogener Daten unverz\u00fcglich und nach M\u00f6glichkeit sp\u00e4testens 72 Stunden, nachdem er davon Kenntnis erlangt hat, der zust\u00e4ndigen Aufsichtsbeh\u00f6rde, der d\u00e4nischen Datenschutzbeh\u00f6rde (Datatilsynet), zu melden, es sei denn, die Verletzung des Schutzes personenbezogener Daten wird wahrscheinlich nicht zu einem Risiko f\u00fcr die Rechte und Freiheiten nat\u00fcrlicher Personen f\u00fchren;<\/p>

b. die Verpflichtung des Datenverantwortlichen, der betroffenen Person die Verletzung des Schutzes personenbezogener Daten unverz\u00fcglich mitzuteilen, wenn die Verletzung des Schutzes personenbezogener Daten wahrscheinlich zu einem hohen Risiko f\u00fcr die Rechte und Freiheiten nat\u00fcrlicher Personen f\u00fchrt;<\/p>

c. die Verpflichtung des Datenverantwortlichen, eine Bewertung der Auswirkungen der geplanten Verarbeitungen auf den Schutz personenbezogener Daten vorzunehmen (Datenschutz-Folgenabsch\u00e4tzung);<\/p>

d. die Verpflichtung des Datenverantwortlichen, die zust\u00e4ndige Aufsichtsbeh\u00f6rde, die d\u00e4nische Datenschutzbeh\u00f6rde (Datatilsynet), vor der Verarbeitung zu konsultieren, wenn aus einer Datenschutz-Folgenabsch\u00e4tzung hervorgeht, dass die Verarbeitung ein hohes Risiko mit sich bringen w\u00fcrde, wenn der Datenverantwortliche keine Ma\u00dfnahmen zur Risikominderung ergreift.<\/p>

9.3<\/strong> Die Parteien legen in Anlage C die geeigneten technischen und organisatorischen Ma\u00dfnahmen fest, mit denen der Datenverarbeiter den Datenverantwortlichen zu unterst\u00fctzen hat, sowie den Umfang und das Ausma\u00df der erforderlichen Unterst\u00fctzung. Dies gilt f\u00fcr die in den Ziffern 9.1. und 9.2. vorgesehenen Verpflichtungen.<\/p>

10\u00a0 BENACHRICHTIGUNG \u00dcBER DIE VERLETZUNG DES SCHUTZES PERSONENBEZOGENER DATEN<\/h2>

10.1<\/strong> Im Falle einer Verletzung des Schutzes personenbezogener Daten benachrichtigt der Datenverarbeiter den Datenverantwortlichen ohne unangemessene Verz\u00f6gerung, nachdem er davon Kenntnis erlangt hat.<\/p>

10.2<\/strong> Die Benachrichtigung des Datenverarbeiters an den Datenverantwortlichen erfolgt nach M\u00f6glichkeit innerhalb von 24 Stunden, nachdem der Datenverarbeiter von der Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt hat, damit der Datenverantwortliche seiner Verpflichtung nachkommen kann, die Verletzung des Schutzes personenbezogener Daten der zust\u00e4ndigen Aufsichtsbeh\u00f6rde zu melden, vgl. Artikel 33 DSGVO.<\/p>

10.3<\/strong> Gem\u00e4\u00df Klausel 9 Absatz 2 Buchstabe a unterst\u00fctzt der Datenverarbeiter den Datenverantwortlichen bei der Meldung der Verletzung des Schutzes personenbezogener Daten an die zust\u00e4ndige Aufsichtsbeh\u00f6rde, was bedeutet, dass der Datenverarbeiter bei der Beschaffung der nachstehend aufgef\u00fchrten Informationen behilflich ist, die gem\u00e4\u00df Artikel 33 Absatz 3 DSGVO in der Meldung des Datenverantwortlichen an die zust\u00e4ndige Aufsichtsbeh\u00f6rde angegeben werden m\u00fcssen:<\/p>

a. die Art der personenbezogenen Daten, einschlie\u00dflich, soweit m\u00f6glich, die Kategorien und die ungef\u00e4hre Anzahl der betroffenen Personen sowie die Kategorien und die ungef\u00e4hre Anzahl der betroffenen personenbezogenen Datens\u00e4tze;<\/p>

b. die voraussichtlichen Folgen der Verletzung des Schutzes personenbezogener Daten;<\/p>

c. die Ma\u00dfnahmen, die der Datenverantwortliche ergriffen hat oder zu ergreifen gedenkt, um die Verletzung des Schutzes personenbezogener Daten zu beheben, gegebenenfalls einschlie\u00dflich Ma\u00dfnahmen zur Abschw\u00e4chung m\u00f6glicher nachteiliger Auswirkungen.<\/p>

10.4<\/strong> Die Parteien legen in Anhang C alle Angaben fest, die der Datenverarbeiter bei der Unterst\u00fctzung des Datenverantwortlichen bei der Meldung einer Verletzung des Schutzes personenbezogener Daten an die zust\u00e4ndige Aufsichtsbeh\u00f6rde zu machen hat.<\/p>

11\u00a0 L\u00d6SCHUNG UND R\u00dcCKGABE VON DATEN<\/h2>

11.1<\/strong> Bei Beendigung der Erbringung von Dienstleistungen im Bereich der Verarbeitung personenbezogener Daten ist der Datenverarbeiter verpflichtet, alle im Auftrag des Datenverantwortlichen verarbeiteten personenbezogenen Daten zu l\u00f6schen und\/oder zur\u00fcckzugeben und dem Datenverantwortlichen zu best\u00e4tigen, dass er dies getan hat, es sei denn, das Unionsrecht oder das Recht der Mitgliedstaaten schreibt die Speicherung der personenbezogenen Daten vor.<\/p>

12\u00a0 AUDIT UND INSPEKTION<\/h2>

12.1<\/strong> Der Datenverarbeiter stellt dem Datenverantwortlichen alle Informationen zur Verf\u00fcgung, die erforderlich sind, um die Einhaltung der in Artikel 28 und in den Klauseln festgelegten Verpflichtungen nachzuweisen, und er gestattet Audits, einschlie\u00dflich Inspektionen, die von dem Datenverantwortlichen oder einem anderen von dem Datenverantwortlichen beauftragten Pr\u00fcfer durchgef\u00fchrt werden, und leistet seinen Beitrag dazu.<\/p>

12.2<\/strong> Die Verfahren f\u00fcr Audits, einschlie\u00dflich Inspektionen, des Datenverarbeiters und der Unterauftragsverarbeiter durch den Datenverantwortlichen sind in den Anh\u00e4ngen C.7. und C.8. aufgef\u00fchrt.<\/p>

12.3<\/strong> Der Datenverarbeiter ist verpflichtet, den Aufsichtsbeh\u00f6rden, die gem\u00e4\u00df den geltenden Rechtsvorschriften Zugang zu den Einrichtungen des Datenverantwortlichen und des Datenverarbeiters haben, oder den im Namen dieser Aufsichtsbeh\u00f6rden handelnden Vertretern gegen Vorlage eines entsprechenden Ausweises Zugang zu den physischen Einrichtungen des Datenverarbeiters zu gew\u00e4hren.<\/p>

13\u00a0 DIE VEREINBARUNG DER PARTEIEN \u00dcBER ANDERE BEDINGUNGEN<\/h2>

13.1<\/strong> Die Parteien k\u00f6nnen weitere Klauseln \u00fcber die Erbringung des Dienstes zur Verarbeitung personenbezogener Daten vereinbaren, in denen z. B. die Haftung geregelt ist, sofern sie nicht direkt oder indirekt im Widerspruch zu den Klauseln stehen oder die Grundrechte und -freiheiten der betroffenen Person und den durch die DSGVO gew\u00e4hrten Schutz beeintr\u00e4chtigen.<\/p>

14\u00a0 BEGINN UND LAUFZEIT<\/h2>

14.1<\/strong> Die Klauseln treten mit dem Datum der Unterzeichnung der Lizenzvereinbarung durch beide Parteien in Kraft.<\/p>

14.2<\/strong> Beide Parteien haben das Recht, eine Neuverhandlung der Klauseln zu verlangen, wenn Gesetzes\u00e4nderungen oder die Unzweckm\u00e4\u00dfigkeit der Klauseln Anlass zu einer solchen Neuverhandlung geben sollten.<\/p>

14.3<\/strong> Die Klauseln gelten f\u00fcr die Dauer der Erbringung von Dienstleistungen zur Verarbeitung personenbezogener Daten. F\u00fcr die Dauer der Erbringung von Dienstleistungen zur Verarbeitung personenbezogener Daten k\u00f6nnen die Klauseln nicht gek\u00fcndigt werden, es sei denn, die Parteien haben andere Klauseln f\u00fcr die Erbringung von Dienstleistungen zur Verarbeitung personenbezogener Daten vereinbart.<\/p>

14.4<\/strong> Wird die Erbringung von Dienstleistungen zur Verarbeitung personenbezogener Daten beendet und werden die personenbezogenen Daten gem\u00e4\u00df Klausel 11.1. und Anhang C.4. gel\u00f6scht oder an den Datenverantwortlichen zur\u00fcckgegeben, k\u00f6nnen die Klauseln von beiden Parteien durch schriftliche Mitteilung gek\u00fcndigt werden.<\/p>

15\u00a0 KONTAKT<\/h2>

15.1<\/strong> Der f\u00fcr die Datenverarbeitung Verantwortliche kann den Datenverarbeiter kontaktieren unter: dataprivacy@samesystem.com<\/a> f\u00fcr alle allgemeinen Anfragen zu diesen Klauseln sowie im Falle von Datenverst\u00f6\u00dfen.<\/p>

ANHANG A\u00a0 \u2013\u00a0 INFORMATIONEN \u00dcBER DIE VERARBEITUNG<\/h2>

A.1. Der Zweck der Verarbeitung personenbezogener Daten durch den Datenverarbeiter im Auftrag des Datenverantwortlichen ist:<\/h3>

Dass der Datenverantwortliche das Online-Workforce-Management-System von SameSystem (SameSystem) einsetzen kann, um Informationen \u00fcber seine Mitarbeiter zu sammeln und zu verarbeiten und seine Mitarbeiter zu verwalten.<\/p>

A.2. Die Verarbeitung personenbezogener Daten durch den Datenverarbeiter im Auftrag des Datenverantwortlichen bezieht sich haupts\u00e4chlich auf (die Art der Verarbeitung):<\/h3>

Der Datenverarbeiter stellt dem Datenverantwortlichen SameSystem zur Verf\u00fcgung und speichert im Auftrag des Datenverantwortlichen personenbezogene Daten \u00fcber die Mitarbeiter des Datenverantwortlichen auf den Servern des Datenverarbeiters und des zugelassenen Unterauftragsverarbeiters.<\/p>

A.3. Die Verarbeitung umfasst die folgenden Arten personenbezogener Daten \u00fcber betroffene Personen:<\/h3>