Stand: September 2021

Datenverarbeitungsvertrag

Durch die Erfüllung eines Auftragsformulars im Rahmen der Vereinbarung, das auf diesen Datenverarbeitungsvertrag verweist, erklärt sich der Kunde mit diesem Datenverarbeitungsvertrag einverstanden.

1. Begriffsbestimmungen

In diesem Datenverarbeitungsvertrag haben die nachfolgenden Begriffe die ihnen unten gegebenen Bedeutungen:

1.1 „Vereinbarung” bezeichnet den Vertrag zwischen dem Kunden und Samsara, in dem die Bedingungen festgelegt werden, laut denen der Kunde auf bestimmte Lösungen von Samsara zugreift und bestimmte Dienstleistungen von Samsara in Anspruch nimmt.

 1.2 „Personenbezogene Daten des Kunden“ sind den Datenschutzgesetzen unterliegende, in den Kundendaten enthaltene personenbezogene Daten, die der Kunde Samsara bereitstellt oder zur Verfügung gestellt hat und von Samsara im Auftrag des Kunden laut der Vereinbarung verarbeitet werden; und

1.3 „Datenschutzgesetze“ sind, wie zutreffend, die EU-Datenschutzg rundverordnung (EU 2016/679) („EU DSGVO“), deren Aufnahme in die Gesetze von England und Wales, Schottland und Nordirland gemäss Artikel 3 des UK European Union (Withdrawal) Act 2018 ("UK DSGVO") und/oder das Schweizer Bundesgesetz für Datenschutz (“DSG”) (zusammen “DSGVO”) und/oder jegliche anwendbare nationale Gesetzgebung im Europäischen Wirtschaftsraum, die die DSGVO ergänzt, und/oder die Datenschutzgesetze in den USA, Kanada und Mexiko.

1.4 „Verantwortlicher“ bezeichnet die Stelle, die über die Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheidet.

1.5 „B etroffene Person“ bezeichnet die Person, die Gegenstand der personenbezogenen Daten ist.

1.6 „P ersonenbezogene Daten“ bezeichnet „personenbezogene Daten“, „personenbezogene Informationen“ oder „persönliche Informationen“ oder einen ähnlichen Begriff gemäß den Datenschutzgesetzen, aus denen die Definition dieser Begriffe hervorgeht.

1.7 „Verletzung des Schutzes personenbezogener Daten“ bezeichnet jede Sicherheitsverletzung, die Samsara dem Kunden gemäß den Datenschutzgesetzen melden muss, vorbehaltlich dieses Nachtrags.

1.8 „Verarbeitung“ bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die mit personenbezogenen Daten oder mit Gruppen von personenbezogenen Daten durchgeführt werden.

1.9 „Auftragsverarbeiter“ bezeichnet eine Stelle, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet.

1.10 „Aufsichtsbehörde“ bezeichnet eine Regierungs- oder Regulierungsbehörde, die für die Verwaltung oder Durchsetzung von Datenschutzgesetzen zuständig ist.         

1.11 In der englischen Version groß geschriebene Begriffe, die hierin nicht anderweitig definiert werden, haben die ihnen in der Vereinbarung gegebene Bedeutung.

2. Verarbeitung personenbezogener Daten des Kunden

2.1 In der Beziehung zwischen den Parteien handelt Samsara im Auftrag des Kunden als Auftragsverarbeiter der personenbezogenen Daten des Kunden. Als Auftragsverarbeiter gilt für Samsara Folgendes:

2.1.1 Samsara verarbeitet personenbezogene Daten des Kunden im Einklang mit diesem Datenverarbeitungsvertrag, Unterlagen und/oder den dokumentierten Weisungen des Kunden, wie in der Vereinbarung dargelegt, oder wie anderweitig durch das geltende Recht verlangt, dem Samsara unterliegt (die „Weisungen des Kunden”). Ist Samsara aufgrund des geltenden Rechts verpflichtet, die personenbezogenen Daten des Kunden anders als im Einklang mit den Weisungen des Kunden zu verarbeiten, wird Samsara, insofern nach dem geltenden Recht erlaubt, den Kunden vor dieser Verarbeitung über diese gesetzliche Anforderung informieren, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

2.1.2 Samsara ist nicht dafür zuständig, die Einwilligung, Befugnis, Genehmigung oder Zustimmung einzuholen, die im Rahmen der geltenden Gesetze oder Vorschriften verlangt werden könnten, oder Mitteilungen in Bezug auf die personenbezogenen Daten des Kunden zu übermitteln, damit Samsara die personenbezogenen Daten des Kunden gemäß der Vereinbarung erhalten und verarbeiten kann. Der Kunde ist alleine für die Fehlerfreiheit, Qualität und Rechtmäßigkeit der personenbezogenen Daten des Kunden, die Mittel, über die er die personenbezogenen Daten des Kunden erlangt und mit denen er sie verwendet, und die Weisungen des Kunden hinsichtlich der Verarbeitung personenbezogener Daten des Kunden verantwortlich. Der Kunde muss sicherstellen, dass seine Handlungen oder Unterlassungen, einschließlich seiner Weisungen des Kunden, nicht zur Folge haben, dass Samsara gegen geltende Gesetze oder Vorschriften verstößt. Falls Samsara der Auffassung ist, dass eine Weisung gegen die anwendbaren Datenschutzbestimmungen verstößt, informiert Samsara den Kunden unverzüglich hierüber. Samsara ist berechtigt, die Ausführung einer solchen Weisung solange auszusetzen, bis der Kunde diese Weisung bestätigt oder ändert.

3. Personal von Samsara

3.1 Samsara wird die personenbezogenen Daten des Kunden gemäß den Vertraulichkeitsbestimmungen der Vereinbarung vertraulich behandeln und vom Personal von Samsara, das Zugriff auf die personenbezogenen Daten des Kunden hat, verlangen, sämtliche personenbezogene Daten des Kunden entsprechend zu schützen. Alle Personen, die zur Verarbeitung von personenbezogenen Daten des Kunden im Auftrag des Kunden berechtigt sind, haben sich zur Vertraulichkeit verpflichtet oder unterliegen einer angemessenen gesetzlichen Verschwiegenheitspflicht. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung der Auftragsverarbeitung fort.

4. Sicherheit

4.1 Samsara wird angemessene technische und organisatorische Maßnahmen umsetzen, die so konzipiert wurden, um die personenbezogenen Daten des Kunden zu schützen und ein angemessenes Schutzniveau für personenbezogenen Daten des Kunden zu gewährleisten, wobei diese Maßnahmen den Anforderungen der Datenschutzgesetze      entsprechen müssen. Samsara implementiert zumindest die Maßnahmen, die in der im Anhang II zu den Standardvertragsklauseln befindlichen Sicherheitsbeschreibung enthalten sind. Samsara kann diese Maßnahmen gelegentlich ändern, insofern diese Änderungen das Schutzniveau der personenbezogenen Daten des Kunden insgesamt nicht wesentlich verringern.

5. Unterauftragsverarbeitung

5.1 Der Kunde genehmigt alle verbundenen Unternehmen von Samsara sowie in den Unterlagen bestimmte Dritte, als Unterauftragsverarbeiter zu fungieren (jeweils ein „Unterauftragsverarbeiter“). Samsara kann seinen Unterauftragsverarbeitern personenbezogene Daten des Kunden zur Lieferung der Produkte offenlegen, sofern Samsara seinen Unterauftragsverarbeitern im Wesentlichen ähnliche Verpflichtungen in Bezug auf Sicherheit und Vertraulichkeit der personenbezogenen Daten des Kunden auferlegt, wie sie in diesem Datenverarbeitungsvertrag dargelegt sind n, um die Anforderungen der Datenschutzgesetze zu erfüllen.

5.2 Soweit dies nach den Datenschutzgesetzen erforderlich ist, hat d er Kunde das Recht, einem von Samsara von Zeit zu Zeit mitgeteilten Wechsel des Unterauftragsverarbeiters, innerhalb von dreißig (30) Kalendertagen – bei Vorliegen wichtiger Grü nde – zu widersprechen. Widerspricht der Kunde einer solchen Änderung nicht innerhalb dieser Frist, so wird davon ausgegangen dass er dieser Änderung zustimmt. Bei Vorliegen eines wichtigen Grundes, der Samsara schriftlich mitgeteilt wird, können Kunden die der EU- und UK DSGVO unterliegen, das/die entsprechende(n) Bestellformular(e) nur in Bezug auf die betroffenen Features oder Funktionalitäten der Produkte kündigen, sofern die Parteien diese Angelegenheit nicht einvernehmlich regeln konnten (wobei jede Partei nach Treu und Glauben handelt).

5.3 Samsara bleibt für die Handlungen und Unterlassungen von Unterauftragsverarbeiter im gleichen Umfang verantwortlich, wie dies nach den Datenschutzgesetzten erforderlich ist, und zwar so, als ob die Handlungen oder Unterlassungen von Samsara selbst vorgenommen worden wären („Haftung der Unterauftragsverarbeiter“). Samsara darf Pflichten von Unterauftragsverarbeitern erneut erfüllen oder eine erneute Erfüllung bewirken, und der Kunde erkennt an und akzeptiert, dass diese erneute Erfüllung jeglichen Anspruch mindert, den der Kunde gegenüber Samsara mit H insicht auf die Haftung der Unterauftragsverarbeiter hat.

6. Anträge von betroffenen Personen

6.1 Sollte Samsara direkt Anträge von betroffenen Personen erhalten oder von Personen, die in ihrem Auftrag handeln, um ihre Rechte im Rahmen der Datenschutzgesetzte auszuüben („Anträge von betroffenen Personen“), und Samsara mithilfe der übermittelten Informationen verlässlich erkennen kann, dass dieser Antrag sich auf den Kunden und/oder die personenbezogenen Daten des Kunden bezieht, dann wird Samsara, insofern dies nicht durch geltende Gesetze verboten ist, (a) umgehend den Kunden über diesen Antrag in Kenntnis setzen; und (b) diesen Antrag nicht beantworten, es sei denn, es ist durch geltende Gesetze, denen Samsara unterliegt, hierzu verpflichtet, wobei Samsara in diesem Fall, insofern durch geltende Gesetze zulässig, den Kunden über diese gesetzliche Auflage informiert, bevor es diesen Antrag beantwortet. Samsara kann vom Kunden verlangen, dass er die tatsächlichen Kosten trägt, die durch die gemäß diesem Abschnitt geleistete Unterstützung auf der Grundlage der dann geltenden Servicepreise von Samsara entstehen.

6.2 Vorsorglich wird angemerkt, dass der Kunde als Verantwortlicher für die Beantwortung der Anträge von betroffenen Personen verantwortlich ist. Die Produkte von Samsara umfassen technische und organisatorische Maßnahmen, die unter Berücksichtigung der Art seiner Verarbeitung dem Kunden, insofern möglich, helfen sollen, seinen Pflichten, die Anträge von betroffenen Personen zu beantworten, nachzukommen.

6.3. Wenn Samsara eine Anfrage von einer Strafverfolgungs- oder Regierungsbehörde nach Kundendaten erhält, prüft Samsara deren Rechtmäßigkeit und kommt ihr nur nach, wenn und soweit Samsara sie als gültig, rechtmäßig und verbindlich erachtet (eine "behördliche Anfrage"). Soweit Samsara rechtlich dazu befugt ist, wird Samsara den Kunden und/oder, falls erforderlich, die zuständige Aufsichtsbehörde über solche behördlichen Anfragen informieren und gegebenenfalls mitteilen, ob Samsara einer solchen behördlichen Anfrage nachkommen wird. Soweit Samsara in der Lage ist, die betroffene(n) Person(en) im Rahmen der behördlichen Anfrage zu identifizieren, und vorausgesetzt, Samsara handelt in Übereinstimmung mit seinen Verpflichtungen aus der Vereinbarung und den anwendbaren Datenschutzgesetzen, kann der Kunde Samsara ausdrücklich benachrichtigen oder schriftlich ermächtigen, die betroffene(n) Person(en) über ein solche behördliche Anfrage zu benachrichtigen, um die betroffene(n) Person(en) in die Lage zu versetzen, weitere Informationen einzuholen und alle verfügbaren Rechte auszuüben. Sofern dies nicht gesetzlich verboten ist, wird Samsara angemessene Anstrengungen unternehmen, um die Maßnahmen, die Samsara im Zusammenhang mit behördlichen Anfragen ergriffen hat, zu dokumentieren und dem Kunden auf dessen angemessene Anfrage hin nachzuweisen.

7. Verletzung des Schutzes personenbezogener Daten

Samsara wird dem Kunden unverzüglich mitteilen, sobald Samsara von einer Verletzung des Schutzes personenbezogener Daten erfährt, die die personenbezogenen Daten des Kunden beeinträchtigt. Vorsorglich wird angemerkt, dass eine Verletzung des Schutzes personenbezogener Daten Folgendes nicht umfasst: (i) Handlungen oder Unterlassungen, die nicht die Sicherheit von Samsara oder eines Unterauftragsverarbeiters verletzen; oder (ii) jeglicher Zugriff auf oder jegliche Verarbeitung von personenbezogenen Daten des Kunden, der/die mit den Anw  eisungen des Kunden übereinstimmt. Auf Antrag des Kunden wird Samsara angemessene Unterstützung leisten und Zusammenarbeit anbieten, um dem Kunden bei der Erfüllung geltender Meldepflichten im Rahmen geltender Datenschutzgesetze mit Bezug auf die Verletzung des Schutzes personenbezogener Daten zu helfen. Samsaras Meldung einer Verletzung des Schutzes personenbezogener Daten oder eine Antwort hierauf kann nicht als Anerkennung einer Schuld oder Haftung mit Hinsicht auf die Leistung von Produkten durch Samsara oder, falls zutreffend, seiner Unterauftragsverarbeiter ausgelegt werden. Samsara kann vom Kunden verlangen, dass er die tatsächlichen Kosten trägt, die durch die gemäß diesem Abschnitt geleistete Unterstützung entstanden sind, und zwar auf der Grundlage der zu diesem Zeitpunkt      geltenden Servicepreise von Samsara.

8. Datenschutz-Folgenabschätzung und vorherige Konsultation

Auf Antrag des Kunden wird Samsara dem Kunden bei gemäß den Datenschutzgesetzen verlangten Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Aufsichtsbehörden angemessene Unterstützung leisten. Dies geschieht in jedem Fall lediglich in Verbindung mit der Verarbeitung personenbezogener Daten des Kunden im Rahmen der Vereinbarung durch Samsara und unter Berücksichtigung der Art der Verarbeitung und der Samsara verfügbaren Informationen. Samsara behält sich das Recht vor, für solch eine beantragte Unterstützung eine angemessene Gebühr zu erheben, insofern dies im Rahmen des geltenden Rechts zulässig ist.

9. Prüfungsrechte

9.1 Samsara kann unabhängige Drittprüfer damit beauftragen, einen „Service Organization Control 2 (Typ I oder II)“-Bericht oder einen sonstigen branchenstandardmäßigen Nachfolgebericht („Bericht“) zu erstellen. Auf schriftlichen Antrag des Kunden wird Samsara dem Kunden den neuesten Bericht bis zu einmal pro Jahr kostenfrei übermitteln. Diese Berichte sind im Rahmen der Vertraulichkeitsbestimmungen der Vereinbarung vertrauliche Informationen von Samsara. Der Kunde akzeptiert, dass die Berichte verwendet werden, um Prüfungs- oder Überwachungsanträge durch oder für den Kunden in Verbindung mit den Datenschutzgesetzen, diesem Datenverarbeitungsvertrags und/oder der Vereinbarung zu erfüllen.

9.2 Sollte ein Bericht nicht verfügbar sein, kann der Kunde mit einer Frist von 30 Tagen und bis zu einmal pro Kalenderjahr schriftlich beantragen, auf eigene Kosten eine Prüfung durchzuführen, deren Umfang, Termine, Dauer, Prüfer und Sicherheits- und/oder Vertraulichkeitskontrollen einvernehmlich zu vereinbaren sind und die sich auf die Richtlinien und Verfahren von Samsara bezieht, denen die Behandlung von personenbezogenen Daten des Kunden in Verbindung mit den Produkten unterliegt. Ziel hierbei ist es, die Einhaltung dieses Datenverarbeitungsvertrags durch Samsara zu prüfen (einschließlich des Artikel 6.3). Diese Prüfung wird so durchgeführt, dass Vertraulichkeitspflichten gegenüber den anderen Kunden von Samsara nicht gefährdet werden. Die Parteien erkennen an und vereinbaren, dass diese Richtlinien und Verfahren von Samsara und alle Ergebnisse der Überprüfung durch den Kunden gemäß den Vertraulichkeitsbestimmungen der Vereinbarung als vertrauliche Informationen von Samsara einzustufen sind.

10. Datenübertragungen

Samsara kann personenbezogene Daten des Kunden im Einklang mit diesem Datenverarbeitungsvertrag in jegliches Land oder Gebiet übertragen, wenn dies für die Erbringung der Produkte nach vernünftigem Ermessen notwendig ist. Wenn die Erbringung von Produkten im Rahmen der Vereinbarung eine Übertragung der personenbezogenen Daten des Kunden vom Kunden in der Europäischen Union, der Schweiz oder im Vereinigten Konigreich zu Samsara in ein Land umfasst, dessen Datenschutzniveau von der Europäischen Kommission nicht als angemessen angesehen wurde, erklären sich Samsara und der Kunde bereit, personenbezogene Daten des Kunden in Übereinstimmung mit dem Modul Zwei de Standardvertragsklauseln (für die Übermittlung personenbezogener Daten and Drittländer) einzuhalten und zu verarbeiten, die in der Entscheidung 2021/914/EU der EU („Standardvertragsklauseln") als Anlage hierzu (einschließlich der beigefügten Anhänge) festgelegt sind. Wenn Samsara im Rahmen der Durchführung dieses Datenverarbeitungsvertrags personenbezogene Daten an einen Unterauftragsverarbeiter überträgt, der personenbezogene Daten außerhalb der Europäischen Union, der Schweiz oder des Vereinigten Königreichs verarbeitet, stellt Samsara im Vorfeld einer solchen Übertragung sicher, dass ein Mechanismus zur Erreichung der Angemessenheit in Bezug auf diese Verarbeitung vorhanden ist, wie z.B.: (a) das Erfordernis für Samsara, Standardvertragsklauseln auszuführen oder dafür zu sorgen, dass der Dritte diese ausführt; oder (b) andere speziell genehmigte Schutzmaßnahmen für Datenübertragungen (wie unter den Datenschutzgesetzen anerkannt) und/oder eine Angemessenheitsfeststellung der Europäischen Kommission. Außerdem bleibt Samsara im Rahmen des EU-US Privacy Shield und des Swiss-US Privacy Shield zertifiziert.

10.2. Soweit der Übermittlungsmechanismus, auf den sich Samsara bei der Übermittlung extraterritorialer personenbezogener Daten von einem Kunden in der Europäischen Union, der Schweiz bzw. dem Vereinigten Königreich stützt, nach den geltenden Datenschutzgesetzen kein angemessenes Schutzniveau mehr bietet, treffen sich die Parteien unverzüglich innerhalb von 60 Tagen, nachdem Samsara von dieser Unzulänglichkeit Kenntnis erlangt hat, um einen alternativen Übermittlungsmechanismus oder alternative ergänzende Maßnahmen zu erörtern und zu vereinbaren, die im Einklang mit den einschlägigen Leitlinien in Bezug auf die Datenschutzgesetze stehen, sobald dies vernünftigerweise möglich ist. Samsara wird sich in angemessener Weise bemühen, die Wirksamkeit seiner ergänzenden Maßnahmen zu überwachen, und kann alle angemessenen Änderungen oder Anpassungen vornehmen, die es für erforderlich hält (wobei es in angemessener Weise und in gutem Glauben handelt).

10.3. Die folgenden Bestimmungen gelten für die Standardvertragsklauseln:

10.3.1. Die Standardvertragsklauseln gelten für jeden Kunden, der unter die DSGVO fällt. Für die Zwecke der Standardvertragsklauseln gilt ein solches Unternehmen als "Datenexporteur". 

10.3.2. Für die Zwecke von Klausel 8.1(a) der Standardvertragsklauseln gilt das Folgende als Anweisung des Kunden an Samsara und seine Unterauftragsverarbeiter, personenbezogene Daten zu verarbeiten: (a) die Verarbeitung in Übereinstimmung mit der Vereinbarung; (b) die vom Kunden bei der Nutzung der Produkte veranlasste Verarbeitung; und (c) die Verarbeitung zur Erfüllung anderer angemessener Anweisungen, die der Kunde von Zeit zu Zeit erteilt (z.B. per E-Mail), sofern diese Anweisungen mit den Bedingungen der Vereinbarung übereinstimmen.

10.3.3. Das Recht des Kunden auf Prüfung gemäß Klausel 8.9 der Standardvertragsklauseln kann wie in Abschnitt 9 dieses Datenverarbeitungsvertrags beschrieben ausgeübt werden.

10.3.4. Gemäß Klausel 9(a) der Standardvertragsklauseln können die verbundenen Unternehmen von Samsara als Unterauftragsverarbeiter eingesetzt werden, und Samsara bzw. die verbundenen Unternehmen können im Zusammenhang mit der Lieferung der Produkte Unterauftragsverarbeiter von Dritten beauftragen. Samsara wird dem Kunden gemäß Abschnitt 5 dieses Datenverarbeitungsvertrags die jeweils aktuelle Liste der Unterauftragsverarbeiter zur Verfügung stellen. Gemäß Klausel 9(a) der Standardvertragsklauseln kann Samsara neue Unterauftragsverarbeiter wie in Abschnitt 5.2 dieses Datenverarbeitungsvertrags beschrieben beauftragen. Die Parteien vereinbaren, dass Kopien von Unterauftragsverarbeitungsverträge, die Samsara dem Kunden gemäß Klausel 9(c) der Standardvertragsklauseln zur Verfügung stellen muss, von Samsara zuvor von allen kommerziellen Informationen oder Klauseln, die nicht mit den Standardvertragsklauseln oder deren Äquivalent in Verbindung stehen, befreit werden können; und dass solche Kopien von Samsara in einer nach eigenem Ermessen zu bestimmenden Weise nur auf Anfrage des Kunden zur Verfügung gestellt werden. Alle derartigen Verträge, die dem Kunden in Übereinstimmung mit diesem Abschnitt 10.3.4 dieses Datenverarbeitungsvertrags zur Verfügung gestellt werden, gelten als vertrauliche Informationen von Samsara. 

10.3.5. Für die Zwecke der Klauseln 8.5 und 16(d) der Standardvertragsklauseln wird Samsara seinen Verpflichtungen zur Rückgabe oder Vernichtung aller personenbezogenen Daten gemäß Abschnitt 11 dieses Datenverarbeitungsvertrags nachkommen.    

11. Zurückerlangung und Löschung personenbezogener Daten des Kunden     

Der Kunde erkennt hiermit an und akzeptiert die Funktionsweise der Produkte und die Richtlinien für das Speichern und Löschen von Daten, die Samsara dem Kunden übermittelt hat und die personenbezogenen Daten des Kunden beeinflussen können. Samsara wird es dem Kunden ermöglichen, während der Laufzeit der Vereinbarung personenbezogene Daten des Kunden auf eine Art und Weise zu löschen, die mit der Funktionsweise der Produkte übereinstimmt. Nach einer Kündigung oder dem Ablauf der Vereinbarung kann der Kunde im Einklang mit der Vereinbarung seine personenbezogenen Daten des Kunden zurückerlangen und Samsara wird die personenbezogenen Daten des Kunden unverzüglich nach diesem Zurückerlangungszeitraum von seinen Systemen löschen, es sei denn, das geltende Recht verlangt die Aufbewahrung der personenbezogenen Daten des Kunden.

12. Haftung

Alle Ansprüche, die im Rahmen dieses Datenverarbeitungsvertrages (inkl. der Standardvertragsklauseln) geltend gemacht werden, unterliegen den Servicebedingungen, einschließlich, aber nicht beschränkt auf die in den Servicebedingungen festgelegten Haftungsausschlüsse und -beschränkungen.

13. Kalifornien-spezifische Bestimmungen

Soweit sich die personenbezogenen Daten des Kunden auf in Kalifornien ansässige Personen beziehen, wird Samsara die personenbezogenen Daten des Kunden nur in dem Maße aufbewahren, verwenden, verkaufen oder anderweitig offenlegen, wie es gesetzlich vorgeschrieben ist oder wie es für die Bereitstellung und den Support der Produkte erforderlich ist, wie in der Vereinbarung dargelegt. Für die Zwecke dieses Abschnitts hat der Begriff "verkaufen" die Bedeutung, die ihm im California Consumer Privacy Act von 2018 in seiner geänderten Fassung gegeben wird.

Standardvertragsklauseln 

Modul Zwei - Übermittlung von Verantwortlichen an Auftragsverarbeiter

​​ABSCHNITT I

Klausel 1

Zweck und Anwendungsbereich

(a) Mit diesen Standardvertragsklauseln soll sichergestellt werden, dass die Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)(1) bei der Übermittlung personenbezogener Daten an ein Drittland eingehalten werden.

(b) Die Parteien:

(i) die in Anhang I.A aufgeführte(n) natürliche(n) oder juristische(n) Person(en), Behörde(n), Agentur(en) oder sonstige(n) Stelle(n) (im Folgenden „Einrichtung(en)“), die die personenbezogenen Daten übermittelt/n (im Folgenden jeweils „Datenexporteur“), und

(ii) die in Anhang I.A aufgeführte(n) Einrichtung(en) in einem Drittland, die die personenbezogenen Daten direkt oder indirekt über eine andere Einrichtung, die ebenfalls Partei dieser Klauseln ist, erhält/erhalten (im Folgenden jeweils „Datenimporteur“),

haben   sich   mit   diesen   Standardvertragsklauseln   (im   Folgenden   „Klauseln“) einverstanden erklärt.

(c) Diese Klauseln gelten für die Übermittlung personenbezogener Daten gemäß Anhang I.B.

(d) Die Anlage zu diesen Klauseln mit den darin enthaltenen Anhängen ist Bestandteil dieser Klauseln.

Klausel 2

Wirkung und Unabänderbarkeit der Klauseln

(a) Diese Klauseln enthalten geeignete Garantien, einschließlich durchsetzbarer Rechte betroffener Personen und wirksamer Rechtsbehelfe gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 sowie – in Bezug auf Datenübermittlungen von Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter – Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679, sofern diese nicht geändert werden, mit Ausnahme der Auswahl des entsprechenden Moduls oder der entsprechenden Module oder der Ergänzung oder Aktualisierung von Informationen in der Anlage. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und/oder weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu diesen Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.

(b) Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Datenexporteur gemäß der Verordnung (EU) 2016/679 unterliegt.

Klausel 3

Drittbegünstigte

(a) Betroffene Personen können diese Klauseln als Drittbegünstigte gegenüber dem Datenexporteur und/oder dem Datenimporteur geltend machen und durchsetzen, mit folgenden Ausnahmen:

(i) Klausel 1, Klausel 2, Klausel 3, Klausel 6, Klausel 7 (ii) Klausel 8.1 Buchstabe b, Klausel 8.9 Buchstaben a, c, d und e  (iii) Klausel 9 Buchstaben a, c, d und e  (iv) Klausel 12 Buchstaben a, d und f (v) Klausel 13 (vi) Klausel 15.1 Buchstaben c, d und e (vii) Klausel 16 Buchstabe e (viii) Klausel 18 Buchstaben a und b 

(b) Die Rechte betroffener Personen gemäß der Verordnung (EU) 2016/679 bleiben von Buchstabe a unberührt.

Klausel 4

Auslegung

(a) Werden in diesen Klauseln in der Verordnung (EU) 2016/679 definierte Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in dieser Verordnung.

(b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 auszulegen.

(c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die mit den in der Verordnung (EU) 2016/679 vorgesehenen Rechten und Pflichten im Widerspruch steht.

Klausel 5

Vorrang

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen von damit zusammenhängenden Vereinbarungen zwischen den Parteien, die zu dem Zeitpunkt bestehen, zu dem diese Klauseln vereinbart oder eingegangen werden, haben diese Klauseln Vorrang.

Klausel 6

Beschreibung der Datenübermittlung(en)

Die Einzelheiten der Datenübermittlung(en), insbesondere die Kategorien der übermittelten personenbezogenen Daten und der/die Zweck(e), zu dem/denen sie übermittelt werden, sind in Anhang I.B aufgeführt.

Klausel 7 – Beabsichtigt ausgelassen

ABSCHNITT II – PFLICHTEN DER PARTEIEN

Klausel 8

Datenschutzgarantien

Der Datenexporteur versichert, sich im Rahmen des Zumutbaren davon überzeugt zu haben, dass der Datenimporteur – durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen – in der Lage ist, seinen Pflichten aus diesen Klauseln nachzukommen.

8.1 Weisungen

(a) Der Datenimporteur verarbeitet die personenbezogenen Daten nur auf dokumentierte Weisung des Datenexporteurs. Der Datenexporteur kann solche Weisungen während der gesamten Vertragslaufzeit erteilen.

(b) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er diese Weisungen nicht befolgen kann.

8.2 Zweckbindung

Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den/die in Anhang I.B genannten spezifischen Zweck(e), sofern keine weiteren Weisungen des Datenexporteurs bestehen.

8.3 Transparenz

Auf Anfrage stellt der Datenexporteur der betroffenen Person eine Kopie dieser Klauseln, einschließlich der von den Parteien ausgefüllten Anlage, unentgeltlich zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich der in Anhang II beschriebenen Maßnahmen und personenbezogener Daten, notwendig ist, kann der Datenexporteur Teile des Textes der Anlage zu diesen Klauseln vor der Weitergabe einer Kopie unkenntlich machen; er legt jedoch eine aussagekräftige Zusammenfassung vor, wenn die betroffene Person andernfalls den Inhalt der Anlage nicht verstehen würde oder ihre Rechte nicht ausüben könnte. Auf Anfrage teilen die Parteien der betroffenen Person die Gründe für die Schwärzungen so weit wie möglich mit, ohne die geschwärzten Informationen offenzulegen. Diese Klausel gilt unbeschadet der Pflichten des Datenexporteurs gemäß den Artikeln 13 und 14 der Verordnung (EU) 2016/679.

8.4 Richtigkeit

Stellt der Datenimporteur fest, dass die erhaltenen personenbezogenen Daten unrichtig oder veraltet sind, unterrichtet er unverzüglich den Datenexporteur. In diesem Fall arbeitet der Datenimporteur mit dem Datenexporteur zusammen, um die Daten zu löschen oder zu berichtigen.

8.5 Dauer der Verarbeitung und Löschung oder Rückgabe der Daten

Die Daten werden vom Datenimporteur nur für die in Anhang I.B angegebene Dauer verarbeitet. Nach Wahl des Datenexporteurs löscht der Datenimporteur nach Beendigung der Erbringung der Datenverarbeitungsdienste alle im Auftrag des Datenexporteurs verarbeiteten personenbezogenen Daten und bescheinigt dem Datenexporteur, dass dies erfolgt ist, oder gibt dem Datenexporteur alle in seinem Auftrag verarbeiteten personenbezogenen Daten zurück und löscht bestehende Kopien. Bis zur Löschung oder Rückgabe der Daten stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Falls für den Datenimporteur lokale Rechtsvorschriften gelten, die ihm die Rückgabe oder Löschung der personenbezogenen Daten untersagen, sichert der Datenimporteur zu, dass er die Einhaltung dieser Klauseln auch weiterhin gewährleistet und diese Daten nur in dem Umfang und so lange verarbeitet, wie dies gemäß den betreffenden lokalen Rechtsvorschriften erforderlich ist. Dies gilt unbeschadet von Klausel 14, insbesondere der Pflicht des Datenimporteurs gemäß Klausel 14 Buchstabe e, den Datenexporteur während der Vertragslaufzeit zu benachrichtigen, wenn er Grund zu der Annahme hat, dass für ihn Rechtsvorschriften oder Gepflogenheiten gelten oder gelten werden, die nicht mit den Anforderungen in Klausel 14 Buchstabe a im Einklang stehen.

8.6 Sicherheit der Verarbeitung

(a) Der Datenimporteur und, während der Datenübermittlung, auch der Datenexporteur treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu diesen Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen die Parteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und dem/den Zweck(en) der Verarbeitung sowie den mit der Verarbeitung verbundenen Risiken für die betroffenen Personen gebührend Rechnung. Die Parteien ziehen insbesondere eine Verschlüsselung oder Pseudonymisierung, auch während der Datenübermittlung, in Betracht, wenn dadurch der Verarbeitungszweck erfüllt werden kann. Im Falle einer Pseudonymisierung verbleiben die zusätzlichen Informationen, mit denen die personenbezogenen Daten einer speziellen betroffenen Person zugeordnet werden können, soweit möglich, unter der ausschließlichen Kontrolle des Datenexporteurs. Zur Erfüllung seinen Pflichten gemäß diesem Absatz setzt der Datenimporteur mindestens die in Anhang II aufgeführten technischen und organisatorischen Maßnahmen um. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Schutzniveau bieten.

(b) Der Datenimporteur gewährt seinem Personal nur insoweit Zugang zu den personenbezogenen Daten, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Er gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(c) Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Datenimporteur gemäß diesen Klauseln ergreift der Datenimporteur geeignete Maßnahmen zur Behebung der Verletzung, darunter auch Maßnahmen zur Abmilderung ihrer nachteiligen Auswirkungen. Zudem meldet der Datenimporteur dem Datenexporteur die Verletzung unverzüglich, nachdem sie ihm bekannt wurde. Diese Meldung enthält die Kontaktdaten einer Anlaufstelle für weitere Informationen, eine Beschreibung der Art der Verletzung (soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen personenbezogenen Datensätze), die wahrscheinlichen Folgen der Verletzung und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung etwaiger nachteiliger Auswirkungen. Wenn und soweit nicht alle Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt.

(d) Unter Berücksichtigung der Art der Verarbeitung und der dem Datenimporteur zur Verfügung stehenden Informationen arbeitet der Datenimporteur mit dem Datenexporteur zusammen und unterstützt ihn dabei, seinen Pflichten gemäß der Verordnung (EU) 2016/679 nachzukommen, insbesondere die zuständige Aufsichtsbehörde und die betroffenen Personen zu benachrichtigen.

8.7 Sensible Daten

Soweit die Übermittlung personenbezogene Daten umfasst, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten“), wendet der Datenimporteur die in Anhang I.B beschriebenen speziellen Beschränkungen und/oder zusätzlichen Garantien an. 

8.8 Weiterübermittlungen

Der Datenimporteur gibt die personenbezogenen Daten nur auf dokumentierte Weisung des Datenexporteurs an Dritte weiter. Die Daten dürfen zudem nur an Dritte weitergegeben werden, die (in demselben Land wie der Datenimporteur oder in einem anderen Drittland) außerhalb der Europäischen Union(2) ansässig sind (im Folgenden „Weiterübermittlung“), sofern der Dritte im Rahmen des betreffenden Moduls an diese Klauseln gebunden ist oder sich mit der Bindung daran einverstanden erklärt oder falls

(a) die Weiterübermittlung an ein Land erfolgt, für das ein Angemessenheitsbeschluss nach Artikel 45 der Verordnung (EU) 2016/679 gilt, der die Weiterübermittlung abdeckt,

(b) der Dritte auf andere Weise geeignete Garantien gemäß Artikel 46 oder Artikel 47 der Verordnung (EU) 2016/679 im Hinblick auf die betreffende Verarbeitung gewährleistet,

(c) die Weiterübermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit bestimmten Verwaltungs-, Gerichts- oder regulatorischen Verfahren erforderlich ist oder

(d) die Weiterübermittlung erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.

Jede Weiterübermittlung erfolgt unter der Bedingung, dass der Datenimporteur alle anderen Garantien gemäß diesen Klauseln, insbesondere die Zweckbindung, einhält.

8.9 Dokumentation und Einhaltung der Klauseln

(a) Der Datenimporteur bearbeitet Anfragen des Datenexporteurs, die sich auf die Verarbeitung gemäß diesen Klauseln beziehen, umgehend und in angemessener Weise.

(b) Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können. Insbesondere führt der Datenimporteur geeignete Aufzeichnungen über die im Auftrag des Datenexporteurs durchgeführten Verarbeitungstätigkeiten.

(c) Der Datenimporteur stellt dem Datenexporteur alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in diesen Klauseln festgelegten Pflichten nachzuweisen; auf Verlangen des Datenexporteurs ermöglicht er diesem, die unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung zu prüfen, und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Datenexporteur einschlägige Zertifizierungen des Datenimporteurs berücksichtigen.

(d) Der Datenexporteur kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Datenimporteurs umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.

(e) Die Parteien stellen der zuständigen Aufsichtsbehörde die unter den Buchstaben b und c genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.

Klausel 9

Einsatz von Unterauftragsverarbeitern

(a) Der Datenimporteur besitzt die allgemeine Genehmigung des Datenexporteurs für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Der Datenimporteur unterrichtet den Datenexporteur mindestens [Zeitraum angeben] im Voraus ausdrücklich in schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern und räumt dem Datenexporteur damit ausreichend Zeit ein, um vor der Beauftragung des/der Unterauftragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können. Der Datenimporteur stellt dem Datenexporteur die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann.

(b) Beauftragt der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Datenexporteurs), so muss diese Beauftragung im Wege eines schriftlichen Vertrags erfolgen, der im Wesentlichen dieselben Datenschutzpflichten vorsieht wie diejenigen, die den Datenimporteur gemäß diesen Klauseln binden, einschließlich im Hinblick auf Rechte als Drittbegünstigte für betroffene Personen.8 Die Parteien erklären sich damit einverstanden, dass der Datenimporteur durch Einhaltung der vorliegenden Klausel seinen Pflichten gemäß Klausel 8.8 nachkommt. Der Datenimporteur stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Datenimporteur gemäß diesen Klauseln unterliegt.

(c) Der Datenimporteur stellt dem Datenexporteur auf dessen Verlangen eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, notwendig ist, kann der Datenimporteur den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.

(d) Der Datenimporteur haftet gegenüber dem Datenexporteur in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Datenimporteur geschlossenen Vertrag nachkommt. Der Datenimporteur benachrichtigt den Datenexporteur, wenn der Unterauftragsverarbeiter seinen Pflichten gemäß diesem Vertrag nicht nachkommt.

(e) Der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Datenexporteur – sollte der Datenimporteur faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sein – das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

Klausel 10

Rechte betroffener Personen

(a) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich über jeden Antrag, den er von einer betroffenen Person erhalten hat. Er beantwortet diesen Antrag nicht selbst, es sei denn, er wurde vom Datenexporteur dazu ermächtigt.

(b) Der Datenimporteur unterstützt den Datenexporteur bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679 zu beantworten. Zu diesem Zweck legen die Parteien in Anhang II unter Berücksichtigung der Art der Verarbeitung die geeigneten technischen und organisatorischen Maßnahmen, durch die Unterstützung geleistet wird, sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest.

(c) Bei der Erfüllung seiner Pflichten gemäß den Buchstaben a und b befolgt der Datenimporteur die Weisungen des Datenexporteurs.

Klausel 11

Rechtsbehelf

(a) Der Datenimporteur informiert die betroffenen Personen in transparenter und leicht zugänglicher Form mittels individueller Benachrichtigung oder auf seiner Website über eine Anlaufstelle, die befugt ist, Beschwerden zu bearbeiten. Er bearbeitet umgehend alle Beschwerden, die er von einer betroffenen Person erhält.

(b) Im Falle einer Streitigkeit zwischen einer betroffenen Person und einer der Parteien bezüglich der Einhaltung dieser Klauseln bemüht sich die betreffende Partei nach besten Kräften um eine zügige gütliche Beilegung. Die Parteien halten einander über derartige Streitigkeiten auf dem Laufenden und bemühen sich gegebenenfalls gemeinsam um deren Beilegung.

(c) Macht die betroffene Person ein Recht als Drittbegünstigte gemäß Klausel 3 geltend, erkennt der Datenimporteur die Entscheidung der betroffenen Person an,

(i) eine Beschwerde bei der Aufsichtsbehörde des Mitgliedstaats ihres gewöhnlichen Aufenthaltsorts oder ihres Arbeitsorts oder bei der zuständigen Aufsichtsbehörde gemäß Klausel 13 einzureichen,

(ii) den Streitfall an die zuständigen Gerichte im Sinne der Klausel 18 zu verweisen.

(d) Die Parteien erkennen an, dass die betroffene Person von einer Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht gemäß Artikel 80 Absatz 1 der Verordnung (EU) 2016/679 vertreten werden kann.

(e) Der Datenimporteur unterwirft sich einem nach geltendem Unionsrecht oder dem geltenden Recht eines Mitgliedstaats verbindlichen Beschluss.

(f) Der Datenimporteur erklärt sich damit einverstanden, dass die Entscheidung der betroffenen Person nicht ihre materiellen Rechte oder Verfahrensrechte berührt, Rechtsbehelfe im Einklang mit geltenden Rechtsvorschriften einzulegen.

Klausel 12

Haftung

(a) Jede Partei haftet gegenüber der/den anderen Partei(en) für Schäden, die sie der/den anderen Partei(en) durch einen Verstoß gegen diese Klauseln verursacht.

(b) Der Datenimporteur haftet gegenüber der betroffenen Person, und die betroffene Person hat Anspruch auf Schadenersatz für jeden materiellen oder immateriellen Schaden, den der Datenimporteur oder sein Unterauftragsverarbeiter der betroffenen Person verursacht, indem er deren Rechte als Drittbegünstigte gemäß diesen Klauseln verletzt.

(c) Ungeachtet von Buchstabe b haftet der Datenimporteur gegenüber der betroffenen Person, und die betroffene Person hat Anspruch auf Schadenersatz für jeden materiellen oder immateriellen Schaden, den der Datenexporteur oder der Datenimporteur (oder dessen Unterauftragsverarbeiter) der betroffenen Person verursacht, indem er deren Rechte als Drittbegünstigte gemäß diesen Klauseln verletzt. Dies gilt unbeschadet der Haftung des Datenexporteurs und, sofern der Datenexporteur ein im Auftrag eines Verantwortlichen handelnder Auftragsverarbeiter ist, unbeschadet der Haftung des Verantwortlichen gemäß der Verordnung (EU) 2016/679 oder gegebenenfalls der Verordnung (EU) 2018/1725.

(d) Die Parteien erklären sich damit einverstanden, dass der Datenexporteur, der nach Buchstabe c für durch den Datenimporteur (oder dessen Unterauftragsverarbeiter) verursachte Schäden haftet, berechtigt ist, vom Datenimporteur den Teil des Schadenersatzes zurückzufordern, der der Verantwortung des Datenimporteurs für den Schaden entspricht.

(e) Ist mehr als eine Partei für Schäden verantwortlich, die der betroffenen Person infolge eines Verstoßes gegen diese Klauseln entstanden sind, so haften alle verantwortlichen Parteien gesamtschuldnerisch, und die betroffene Person ist berechtigt, gegen jede der Parteien gerichtlich vorzugehen.

(f) Die Parteien erklären sich damit einverstanden, dass eine Partei, die nach Buchstabe e haftbar gemacht wird, berechtigt ist, von der/den anderen Partei(en) den Teil des Schadenersatzes zurückzufordern, der deren Verantwortung für den Schaden entspricht.

(g) Der Datenimporteur kann sich nicht auf das Verhalten eines Unterauftragsverarbeiters berufen, um sich seiner eigenen Haftung entziehen.

Klausel 13

Aufsicht

(a) Wenn der Datenexporteur in einem EU-Mitgliedstaat niedergelassen ist: Die Aufsichtsbehörde, die dafür verantwortlich ist, sicherzustellen, dass der Datenexporteur bei Datenübermittlungen die Verordnung (EU) 2016/679 einhält, fungiert als zuständige Aufsichtsbehörde (entsprechend der Angabe in Anhang I.C).

Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen ist, aber nach Artikel 3 Absatz 2 der Verordnung (EU) 2016/679 in den räumlichen Anwendungsbereich dieser Verordnung fällt und einen Vertreter gemäß Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 benannt hat: Die Aufsichtsbehörde des Mitgliedstaats, in dem der Vertreter nach Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 niedergelassen ist, fungiert als zuständige Aufsichtsbehörde (entsprechend der Angabe in Anhang I.C).

Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen ist, aber nach Artikel 3 Absatz 2 der Verordnung (EU) 2016/679 in den räumlichen Anwendungsbereich dieser Verordnung fällt, ohne jedoch einen Vertreter gemäß Artikel 27 Absatz 2 der Verordnung (EU) 2016/679 benennen zu müssen: Die Aufsichtsbehörde eines der Mitgliedstaaten, in denen die betroffenen Personen niedergelassen sind, deren personenbezogene Daten gemäß diesen Klauseln im Zusammenhang mit den ihnen angebotenen Waren oder Dienstleistungen übermittelt werden oder deren Verhalten beobachtet wird, fungiert als zuständige Aufsichtsbehörde (entsprechend der Angabe in Anhang I.C).

(b) Der Datenimporteur erklärt sich damit einverstanden, sich der Zuständigkeit der zuständigen Aufsichtsbehörde zu unterwerfen und bei allen Verfahren, mit denen die Einhaltung dieser Klauseln sichergestellt werden soll, mit ihr zusammenzuarbeiten. Insbesondere erklärt sich der Datenimporteur damit einverstanden, Anfragen zu beantworten, sich Prüfungen zu unterziehen und den von der Aufsichtsbehörde getroffenen Maßnahmen, darunter auch Abhilfemaßnahmen und Ausgleichsmaßnahmen, nachzukommen. Er bestätigt der Aufsichtsbehörde in schriftlicher Form, dass die erforderlichen Maßnahmen ergriffen wurden.

ABSCHNITT III – LOKALE RECHTSVORSCHRIFTEN UND PFLICHTEN IM FALLE DES ZUGANGS VON BEHÖRDEN ZU DEN DATEN

Klausel 14

Lokale Rechtsvorschriften und Gepflogenheiten, die sich auf die Einhaltung der Klauseln auswirken

(a) Die Parteien sichern zu, keinen Grund zu der Annahme zu haben, dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland, einschließlich Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die öffentlichen Behörden den Zugang zu diesen Daten gestatten, den Datenimporteur an der Erfüllung seiner Pflichten gemäß diesen Klauseln hindern. Dies basiert auf dem Verständnis, dass Rechtsvorschriften und Gepflogenheiten, die den Wesensgehalt der Grundrechte und Grundfreiheiten achten und nicht über Maßnahmen hinausgehen, die in einer demokratischen Gesellschaft notwendig und verhältnismäßig sind, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele sicherzustellen, nicht im Widerspruch zu diesen Klauseln stehen.

(b) Die Parteien erklären, dass sie hinsichtlich der Zusicherung in Buchstabe a insbesondere die folgenden Aspekte gebührend berücksichtigt haben:

(i) die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle, beabsichtigte Datenweiterleitungen, die Art des Empfängers, den Zweck der Verarbeitung, die Kategorien und das Format der übermittelten personenbezogenen Daten, den Wirtschaftszweig, in dem die Übertragung erfolgt, den Speicherort der übermittelten Daten,

(ii) die angesichts der besonderen Umstände der Übermittlung relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes (einschließlich solcher, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang von Behörden zu diesen Daten gestatten) sowie die geltenden Beschränkungen und Garantien(3),

(iii) alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß diesen Klauseln eingerichtet wurden, einschließlich Maßnahmen, die während der Übermittlung und bei der Verarbeitung personenbezogener Daten im Bestimmungsland angewandt werden.

(c) Der Datenimporteur versichert, dass er sich im Rahmen der Beurteilung nach Buchstabe b nach besten Kräften bemüht hat, dem Datenexporteur sachdienliche Informationen zur Verfügung zu stellen, und erklärt sich damit einverstanden, dass er mit dem Datenexporteur weiterhin zusammenarbeiten wird, um die Einhaltung dieser Klauseln zu gewährleisten.

(d) Die Parteien erklären sich damit einverstanden, die Beurteilung nach Buchstabe b zu dokumentieren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

(e) Der Datenimporteur erklärt sich damit einverstanden, während der Laufzeit des Vertrags den Datenexporteur unverzüglich zu benachrichtigen, wenn er nach Zustimmung zu diesen Klauseln Grund zu der Annahme hat, dass für ihn Rechtsvorschriften oder Gepflogenheiten gelten, die nicht mit den Anforderungen in Buchstabe a im Einklang stehen; hierunter fällt auch eine Änderung der Rechtsvorschriften des Drittlandes oder eine Maßnahme (z. B. ein Offenlegungsersuchen), die sich auf eine nicht mit den Anforderungen in Buchstabe a im Einklang stehende Anwendung dieser Rechtsvorschriften in der Praxis bezieht. 

(f) Nach einer Benachrichtigung gemäß Buchstabe e oder wenn der Datenexporteur anderweitig Grund zu der Annahme hat, dass der Datenimporteur seinen Pflichten gemäß diesen Klauseln nicht mehr nachkommen kann, ermittelt der Datenexporteur unverzüglich geeignete Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit), die der Datenexporteur und/oder der Datenimporteur ergreifen müssen, um Abhilfe zu schaffen. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Auffassung ist, dass keine geeigneten Garantien für eine derartige Übermittlung gewährleistet werden können, oder wenn er von der dafür zuständigen Aufsichtsbehörde dazu angewiesen wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit es um die Verarbeitung personenbezogener Daten gemäß diesen Klauseln geht. Sind mehr als zwei Parteien an dem Vertrag beteiligt, so kann der Datenexporteur von diesem Kündigungsrecht nur gegenüber der verantwortlichen Partei Gebrauch machen, sofern die Parteien nichts anderes vereinbart haben. Wird der Vertrag gemäß dieser Klausel gekündigt, finden Klausel 16 Buchstaben d und e Anwendung.

Klausel 15

Pflichten des Datenimporteurs im Falle des Zugangs von Behörden zu den Daten

15.1 Benachrichtigung

(a) Der Datenimporteur erklärt sich damit einverstanden, den Datenexporteur und, soweit möglich, die betroffene Person (gegebenenfalls mit Unterstützung des Datenexporteurs) unverzüglich zu benachrichtigen,

(i) wenn er von einer Behörde, einschließlich Justizbehörden, ein nach den Rechtsvorschriften des Bestimmungslandes rechtlich bindendes Ersuchen um Offenlegung personenbezogener Daten erhält, die gemäß diesen Klauseln übermittelt werden (diese Benachrichtigung muss Informationen über die angeforderten personenbezogenen Daten, die ersuchende Behörde, die Rechtsgrundlage des Ersuchens und die mitgeteilte Antwort enthalten), oder

(ii) wenn er Kenntnis davon erlangt, dass eine Behörde nach den Rechtsvorschriften des Bestimmungslandes direkten Zugang zu personenbezogenen Daten hat, die gemäß diesen Klauseln übermittelt wurden; diese Benachrichtigung muss alle dem Datenimporteur verfügbaren Informationen enthalten.

(b) Ist es dem Datenimporteur gemäß den Rechtsvorschriften des Bestimmungslandes untersagt, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, so erklärt sich der Datenimporteur einverstanden, sich nach besten Kräften um eine Aufhebung des Verbots zu bemühen, damit möglichst viele Informationen so schnell wie möglich mitgeteilt werden können. Der Datenimporteur verpflichtet sich, seine Anstrengungen zu dokumentieren, um diese auf Verlangen des Datenexporteurs nachweisen zu können.

(c) Soweit dies nach den Rechtsvorschriften des Bestimmungslandes zulässig ist, erklärt sich der Datenimporteur bereit, dem Datenexporteur während der Vertragslaufzeit in regelmäßigen Abständen möglichst viele sachdienliche Informationen über die eingegangenen Ersuchen zur Verfügung zu stellen (insbesondere Anzahl der Ersuchen, Art der angeforderten Daten, ersuchende Behörde(n), ob Ersuchen angefochten wurden und das Ergebnis solcher Anfechtungen usw.).

(d) Der Datenimporteur erklärt sich damit einverstanden, die Informationen gemäß den Buchstaben a bis c während der Vertragslaufzeit aufzubewahren und der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

(e) Die Buchstaben a bis c gelten unbeschadet der Pflicht des Datenimporteurs gemäß Klausel 14 Buchstabe e und Klausel 16, den Datenexporteur unverzüglich zu informieren, wenn er diese Klauseln nicht einhalten kann.

15.2 Überprüfung der Rechtmäßigkeit und Datenminimierung

(a) Der Datenimporteur erklärt sich damit einverstanden, die Rechtmäßigkeit des Offenlegungsersuchens zu überprüfen, insbesondere ob das Ersuchen im Rahmen der Befugnisse liegt, die der ersuchenden Behörde übertragen wurden, und das Ersuchen anzufechten, wenn er nach sorgfältiger Beurteilung zu dem Schluss kommt, dass hinreichende Gründe zu der Annahme bestehen, dass das Ersuchen nach den Rechtsvorschriften des Bestimmungslandes, gemäß geltenden völkerrechtlichen Verpflichtungen und nach den Grundsätzen der Völkercourtoisie rechtswidrig ist. Unter den genannten Bedingungen sind vom Datenimporteur mögliche Rechtsmittel einzulegen. Bei der Anfechtung eines Ersuchens erwirkt der Datenimporteur einstweilige Maßnahmen, um die Wirkung des Ersuchens auszusetzen, bis die zuständige Justizbehörde über dessen Begründetheit entschieden hat. Er legt die angeforderten personenbezogenen Daten erst offen, wenn dies nach den geltenden Verfahrensregeln erforderlich ist. Diese Anforderungen gelten unbeschadet der Pflichten des Datenimporteurs gemäß Klausel 14 Buchstabe e.

(b) Der Datenimporteur erklärt sich damit einverstanden, seine rechtliche Beurteilung und eine etwaige Anfechtung des Offenlegungsersuchens zu dokumentieren und diese Unterlagen dem Datenexporteur zur Verfügung zu stellen, soweit dies nach den Rechtsvorschriften des Bestimmungslandes zulässig ist. Auf Anfrage stellt er diese Unterlagen auch der zuständigen Aufsichtsbehörde zur Verfügung. 

(c) Der Datenimporteur erklärt sich damit einverstanden, bei der Beantwortung eines Offenlegungsersuchens auf der Grundlage einer vernünftigen Auslegung des Ersuchens die zulässige Mindestmenge an Informationen bereitzustellen. 

ABSCHNITT IV – SCHLUSSBESTIMMUNGEN

Klausel 16

Verstöße gegen die Klauseln und Beendigung des Vertrags

(a) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Klauseln einzuhalten.

(b) Verstößt der Datenimporteur gegen diese Klauseln oder kann er diese Klauseln nicht einhalten, setzt der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aus, bis der Verstoß beseitigt oder der Vertrag beendet ist. Dies gilt unbeschadet von Klausel 14 Buchstabe f.

(c) Der Datenexporteur ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn

(i) der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Buchstabe b ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb einer einmonatigen Aussetzung, wiederhergestellt wurde,

(ii) der Datenimporteur in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstößt oder

(iii) der Datenimporteur einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer zuständigen Aufsichtsbehörde, die seine Pflichten gemäß diesen Klauseln zum Gegenstand hat, nicht nachkommt.

In diesen Fällen unterrichtet der Datenexporteur die zuständige Aufsichtsbehörde über derartige Verstöße. Sind mehr als zwei Parteien an dem Vertrag beteiligt, so kann der Datenexporteur von diesem Kündigungsrecht nur gegenüber der verantwortlichen Partei Gebrauch machen, sofern die Parteien nichts anderes vereinbart haben.

(d) Personenbezogene Daten, die vor Beendigung des Vertrags gemäß Buchstabe c übermittelt wurden, müssen nach Wahl des Datenexporteurs unverzüglich an diesen zurückgegeben oder vollständig gelöscht werden. Dies gilt gleichermaßen für alle Kopien der Daten. Der Datenimporteur bescheinigt dem Datenexporteur die Löschung. Bis zur Löschung oder Rückgabe der Daten stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Falls für den Datenimporteur lokale Rechtsvorschriften gelten, die ihm die Rückgabe oder Löschung der übermittelten personenbezogenen Daten untersagen, sichert der Datenimporteur zu, dass er die Einhaltung dieser Klauseln auch weiterhin gewährleistet und diese Daten nur in dem Umfang und so lange verarbeitet, wie dies gemäß den betreffenden lokalen Rechtsvorschriften erforderlich ist.

(e) Jede Partei kann ihre Zustimmung widerrufen, durch diese Klauseln gebunden zu sein, wenn i) die Europäische Kommission einen Beschluss nach Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 erlässt, der sich auf die Übermittlung personenbezogener Daten bezieht, für die diese Klauseln gelten, oder ii) die Verordnung (EU) 2016/679 Teil des Rechtsrahmens des Landes wird, an das die personenbezogenen Daten übermittelt werden. Dies gilt unbeschadet anderer Verpflichtungen, die für die betreffende Verarbeitung gemäß der Verordnung (EU) 2016/679 gelten.

Klausel 17

Anwendbares Recht

Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, sofern dieses Recht Rechte als Drittbegünstigte zulässt. Die Parteien vereinbaren, dass dies das Recht der Republik Irland ist.

Klausel 18

Gerichtsstand und Zuständigkeit

  1. Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten eines EU-Mitgliedstaats beigelegt.

  2. Die Parteien vereinbaren, dass dies die Gerichte der Republik Irland sind.

  3. Eine betroffene Person kann Klage gegen den Datenexporteur und/oder den Datenimporteur auch vor den Gerichten des Mitgliedstaats erheben, in dem sie ihren gewöhnlichen Aufenthaltsort hat.

  4. Die Parteien erklären sich damit einverstanden, sich der Zuständigkeit dieser Gerichte zu unterwerfen.

ANLAGE

ANHANG I

A. LISTE DER PARTEIEN

  1. Datenexporteur(e): 

Name: Der Kunde, wie im entsprechenden Auftragsformular angegeben (ungeachtet dessen, dass es sich bei dem Kunden um eine oder mehrere juristische Personen mit Sitz außerhalb der Europäischen Union/Schweiz/des Vereinigten Königreichs handeln kann, je nachdem)

Anschrift: Wie im entsprechenden Auftragsformular angegeben

Name, Funktion und Kontaktdaten der Kontaktperson: Zu Händen vom Datenschutzbeauftragten/ der Rechtsabteilung

Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten von Belang sind: Wie in Anhang I.B angegeben

Rolle: Verantwortlicher

Datenimporteur(e): 

Name: Samsara Inc.

Anschrift: 350 Rhode Island Street, 4th Floor, South Building, San Francisco, CA 94103, USA

Name, Funktion und Kontaktdaten der Kontaktperson: legalnotices@samsara.com

Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten von Belang sind: Wie in Anhang I.B angegeben

Rolle: Auftragsverarbeiter

B. BESCHREIBUNG DER DATENÜBERMITTLUNG

Kategorien betroffener Personen, deren personenbezogene Daten übermittelt werden

Zu den betroffenen Personen zählen Personen, deren personenbezogene Daten Samsara über die Produkte von dem (oder nach Ermessen des) Kunden oder einem Mitarbeiter oder Endnutzer des Kunden übermittelt werden, zu denen unter anderem zählen: Nutzer, Mitarbeiter, Manager, Direktoren, Auftragnehmer, Agenten, Zwischenhändler, Kunden, Besucher und sonstige Personen, die von den Produkten aufgenommen werden können; deren Umfang in jedem einzelnen Fall vom Datenexporteur nach seinem alleinigen Ermessen in Abhängigkeit von seiner Nutzung der Produkte bestimmt und kontrolliert wird.

Kategorien der übermittelten personenbezogenen Daten

Personenbezogene Daten in Bezug auf Personen, die Samsara über die Produkte von dem (oder nach Ermessen des) Kunden oder einem Mitarbeiter oder Endnutzer des Kunden zukommen, zu denen unter anderem zählen: Namen, Kontaktinformationen (z. B.: Unternehmen, E-Mail-Adresse, Anschrift, Telefonnummer), ID-Daten, Verbindungsdaten, Standortdaten, Profilbilder und von den Produkten aufgenommene Bilder und Videos (z. B.: Bilder von Personen in einem Fahrzeug mit Dashcam und sonstige Informationen, mit denen Personen von diesen Bildern identifiziert werden könnten, beispielsweise Fahrzeugschein und Nummernschild, Schilder für Gebäude, Häuser oder sonstige Orientierungspunkte); deren Umfang in jedem einzelnen Fall vom Datenexporteur nach seinem alleinigen Ermessen in Abhängigkeit von seiner Nutzung der Produkte bestimmt und kontrolliert wird.

Übermittelte sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Garantien, die der Art der Daten und den verbundenen Risiken in vollem Umfang Rechnung tragen, z. B. strenge Zweckbindung, Zugangsbeschränkungen (einschließlich des Zugangs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnungen über den Zugang zu den Daten, Beschränkungen für Weiterübermittlungen oder zusätzliche Sicherheitsmaßnahmen

Der Datenexporteur kann sensible Daten an die Produkte übermitteln und/oder Samsara kann sensible Daten innerhalb der Produkte erstellen, deren Umfang vom Datenexporteur nach seinem alleinigen Ermessen in Abhängigkeit von seiner Nutzung der Produkte bestimmt und kontrolliert wird. Gegebenenfalls stimmt der Datenexporteur zu, dass er die Beschränkungen und Schutzmaßnahmen, die auf solche sensible Daten angewandt werden, einschließlich der in Anhang II des Datenverarbeitungvertrags beschriebenen Maßnahmen, überprüft und bewertet hat und dass er zu dem Schluss gekommen ist, dass diese Beschränkungen und Schutzmaßnahmen für die Einhaltung der Datenschutzgesetze ausreichend sind.

Häufigkeit der Übermittlung (z. B. ob die Daten einmalig oder kontinuierlich übermittelt werden)

Samsara wird die personenbezogene Daten des Kunden so lange verarbeiten, wie es notwendig ist, um dem Kunden die Produkte in Übereinstimmung mit der Vereinbarung und wie anderweitig durch die Vereinbarung erlaubt, zur Verfügung zu stellen, sowie für alle gesetzlich vorgeschriebenen Offenlegungen.

Art der Verarbeitung

Samsara verarbeitet die personenbezogenen Daten des Kunden zum Zwecke der Lieferung der Produkte an den Kunden gemäß und wie anderweitig erlaubt durch die Vereinbarung und zur gesetzlich vorgeschriebenen Offenlegung.

Zweck(e) der Datenübermittlung und Weiterverarbeitung

Samsara verarbeitet die personenbezogenen Daten des Kunden zum Zwecke der Lieferung der Produkte an den Kunden gemäß und wie anderweitig erlaubt durch die Vereinbarung und zur gesetzlich vorgeschriebenen Offenlegung.

Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer

Die Laufzeit der Vereinbarung zuzüglich des Zeitraums ab dem Auslaufen oder der Kündigung der Vereinbarung bis zur Löschung sämtlicher Kundendaten durch Samsara gemäß der Vereinbarung. Für bestimmte personenbezogene Daten des Kunden können bestimmte Richtlinien für das Speichern und Löschen von Daten gelten (z.B.: von Kunden im EWR verwendete Videodaten von Dashcams, die auf die gehostete Software hochgeladen werden, haben standardmäßig eine Speicherfrist von sechs Monaten und einen Zeitplan für die Löschung; der Kunde akzeptiert dies und sie können aufgrund von Auflagen des Kunden geändert werden).

Bei Datenübermittlungen an (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben.

Wie hier beschrieben. Über diesen Link können Sie sich auch für den Erhalt von Aktualisierungen zu Unterauftragsverarbeitern anmelden.

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

 Angabe der zuständigen Aufsichtsbehörde(n) gemäß Klausel 13

Wenn der Datenexporteur in einem EU-Mitgliedstaat niedergelassen ist: Die Aufsichtsbehörde, die dafür verantwortlich ist, sicherzustellen, dass der Datenexporteur bei Datenübermittlungen die Verordnung (EU) 2016/679 einhält, fungiert als zuständige Aufsichtsbehörde.

Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen ist, aber nach Artikel 3 Absatz 2 der Verordnung (EU) 2016/679 in den räumlichen Anwendungsbereich dieser Verordnung fällt und einen Vertreter gemäß Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 benannt hat: Die Aufsichtsbehörde des Mitgliedstaats, in dem der Vertreter nach Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 niedergelassen ist, fungiert als zuständige Aufsichtsbehörde.

Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen ist, aber nach Artikel 3 Absatz 2 der Verordnung (EU) 2016/679 in den räumlichen Anwendungsbereich dieser Verordnung fällt, ohne jedoch einen Vertreter gemäß Artikel 27 Absatz 2 der Verordnung (EU) 2016/679 benennen zu müssen: Die Aufsichtsbehörde eines der Mitgliedstaaten, in denen die betroffenen Personen niedergelassen sind, deren personenbezogene Daten gemäß diesen Klauseln im Zusammenhang mit den ihnen angebotenen Waren oder Dienstleistungen übermittelt werden oder deren Verhalten beobachtet wird, fungiert als zuständige Aufsichtsbehörde.

ANHANG II - TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH ZUR GEWÄHRLEISTUNG DER SICHERHEIT DER DATEN

Samsara trifft unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie die unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen die erforderlichen technischen und organisatorischen Maßnahmen, um ein dem Risiko bei der Verarbeitung personenbezogener Daten angemessenes Sicherheitsniveau zu gewährleisten, insbesondere hinsichtlich der Verarbeitung besonderer Kategorien personenbezogener Daten.

Diese Maßnahmen können die Pseudonymisierung und Verschlüsselung personenbezogener Daten einschließen, wenn dies im Hinblick auf die Zwecke der Verarbeitung möglich ist.

Im Einzelnen:

Samsara ergreift Maßnahmen, um den Zugriff auf personenbezogene Daten des Kunden auf den Kunden, seine Nutzer und befugtes Personal von Samsara und die Unterauftragsverarbeiter von Samsara zu beschränken. Darüber hinaus verfügt Samsara über Verfahren zum Schutz seiner Systeme, die die personenbezogenen Daten des Kunden enthalten oder auf diese zugreifen, vor einer Verletzung des Schutzes personenbezogener Daten. Die zugrunde liegende Infrastruktur nutzt Amazon AWS, das die Zertifizierungen ISO 27001 und SOC 1 Typ II aufweist. Es bestehen Netzwerkgeräte, einschließlich einer Firewall und sonstiger Grenzgeräte, um die Kommunikation an der externen Grenze des Netzwerks und an wichtigen internen Grenzen innerhalb des Netzwerks zu überwachen und zu kontrollieren. Diese Grenzgeräte verwenden Regelsätze, Zugriffssteuerungslisten (ACL – Access Control Lists) und Konfigurationen, um den Informationsfluss zu spezifischen Informationssystemdiensten zu sichern. Auf jeder verwalteten Schnittstelle, die den Traffic Flow verwaltet und stärkt, sind ACLs oder Traffic Flow-Richtlinien eingerichtet.

Daten sind in verteilten Datenbanken logisch getrennt, in denen für den Zugriff auf die Daten eines Mandanten in jeder Anwendungs- und Datenschicht eine Authentifizierung verlangt wird. Die logische Trennung soll die Daten mit genau einem Kunden verbinden, und erforderliche Authentifizierungsprüfungen auf Ebene der Anwendungs- und Datenschichten sollen Daten nach dem jeweiligen Kunden und den für diesen Kunden vorgesehenen Konten trennen.

Die Services verwenden eine Virtual Private Cloud, um die Ressourcen zu isolieren und die Angriffsfläche zu minimieren. Die Services sind durch IP- und portbasierte Firewalls geschützt. Der Administratorzugriff auf die Infrastruktur von Samsara ist beschränkt und wird durch AWS‘ Identitäts- und Zugriffsmanagement geprüft. „Distributed-Denial-of-Service (DDoS)“-Angriffe können durch Elastic Load Balancing und hochverfügbare DNS-Dienste abgeschwächt werden.

Wenn ein Speichergerät, das personenbezogene Daten des Kunden enthält, das Ende seiner Nutzungsdauer erreicht hat, umfassen die Verfahren einen Stilllegungsprozess, um eine Offenlegung der Daten gegenüber unbefugten Personen zu verhindern. Die in DoD 5220.22-M („National Industrial Security Program Operating Manual“) oder NIST 800-88 („Guidelines for Media Sanitization“) dargelegten Techniken werden für die Datenvernichtung als Teil des Stilllegungsprozesses verwendet. Sämtliche stillgelegte Magnetspeichergeräte werden im Einklang mit den Branchenpraktiken entmagnetisiert und physisch zerstört.

Samsara setzt Maßnahmen um, die die physische Sicherheit seiner Netzwerke, Server, Cloud- und sonstigen Informationssysteme, in denen Kundendaten gespeichert, verarbeitet oder übermittelt werden oder in denen auf sie zugegriffen wird, verbessern und die Kundendaten auf eine sichere Art und Weise, die die Anforderungen dieses Anhangs erfüllt, beibehalten sollen.

Samsara überprüft die Sicherheitsmaßnahmen der IT jährlich. Ein qualifizierter, unabhängiger Dritter führt jährlich Penetrationstests an dem System von Samsara durch, um es auf Sicherheitsrisiken zu prüfen. Samsara unterhält angemessene Verfahren, um Sicherheitsrisiken zu identifizieren, zu isolieren und zu beheben.

ANHANG III – LISTE DER UNTERAUFTRAGSVERARBEITER Der Verantwortliche hat die Inanspruchnahme der hier aufgeführten Unterauftragsverarbeiter genehmigt.

(1) Handelt es sich bei dem Datenexporteur um einen Auftragsverarbeiter, der der Verordnung (EU) 2016/679 unterliegt und der im Auftrag eines Organs oder einer Einrichtung der Union als Verantwortlicher handelt, so gewährleistet der Rückgriff auf diese Klauseln bei der Beauftragung eines anderen Auftragsverarbeiters (Unterauftragsverarbeitung), der nicht unter die Verordnung (EU) 2016/679 fällt, ebenfalls die Einhaltung von Artikel 29 Absatz 4 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39), insofern als diese Klauseln und die gemäß Artikel 29 Absatz 3 der Verordnung (EU) 2018/1725 im Vertrag oder in einem anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter festgelegten Datenschutzpflichten angeglichen sind. Dies ist insbesondere dann der Fall, wenn sich der Verantwortliche und der Auftragsverarbeiter auf die im Beschluss 2021/915 enthaltenen Standardvertragsklauseln stützen.

(2) Das Abkommen über den Europäischen Wirtschaftsraum (EWR-Abkommen) regelt die Einbeziehung der drei EWR-Staaten Island, Liechtenstein und Norwegen in den Binnenmarkt der Europäischen Union. Das Datenschutzrecht der Union, darunter die Verordnung (EU) 2016/679, ist in das EWR-Abkommen einbezogen und wurde in Anhang XI aufgenommen. Daher gilt eine Weitergabe durch den Datenimporteur an einen im EWR ansässigen Dritten nicht als Weiterübermittlung im Sinne dieser Klauseln. 

(3) Zur Ermittlung der Auswirkungen derartiger Rechtsvorschriften und Gepflogenheiten auf die Einhaltung dieser Klauseln können in die Gesamtbeurteilung verschiedene Elemente einfließen. Diese Elemente können einschlägige und dokumentierte praktische Erfahrungen im Hinblick darauf umfassen, ob es bereits früher Ersuchen um Offenlegung seitens Behörden gab, die einen hinreichend repräsentativen Zeitrahmen abdecken, oder ob es solche Ersuchen nicht gab. Dies betrifft insbesondere interne Aufzeichnungen oder sonstige Belege, die fortlaufend mit gebührender Sorgfalt erstellt und von leitender Ebene bestätigt wurden, sofern diese Informationen rechtmäßig an Dritte weitergegeben werden können. Sofern anhand dieser praktischen Erfahrungen der Schluss gezogen wird, dass dem Datenimporteur die Einhaltung dieser Klauseln nicht unmöglich ist, muss dies durch weitere relevante objektive Elemente untermauert werden; den Parteien obliegt die sorgfältige Prüfung, ob alle diese Elemente ausreichend zuverlässig und repräsentativ sind, um die getroffene Schlussfolgerung zu bekräftigen. Insbesondere müssen die Parteien berücksichtigen, ob ihre praktische Erfahrung durch öffentlich verfügbare oder anderweitig zugängliche zuverlässige Informationen über das Vorhandensein oder Nicht-Vorhandensein von Ersuchen innerhalb desselben Wirtschaftszweigs und/oder über die Anwendung der Rechtsvorschriften in der Praxis, wie Rechtsprechung und Berichte unabhängiger Aufsichtsgremien, erhärtet und nicht widerlegt wird.