Datenverarbeitungsvereinbarung – für US-Kunden

Nachfolgend finden Sie die Vereinbarung „Flexera Data Processing Amendment (DPA)“ für Services, die Flexera für US-Kunden mit EU-Tochtergesellschaften anbietet.


Lesen und unterzeichnen Sie die Vereinbarung „Flexera Data Processing Amendment“ (DPA) für Services von Flexera Software LLC für Kunden in den USA mit Tochtergesellschaften in der EU. Sie können diesen Datenverarbeitungsvertrag auch herunterladen, wenn Sie ihn lieber ausdrucken und unterzeichnen möchten.

Allgemeine Geschäftsbedingungen der Datenverarbeitung

(im weiteren Text als „Datenverarbeitungsbedingungen“ bezeichnet)
von

  1. Flexera Software LLC, 300 Park Blvd, Suite 500, Itasca, IL 60143, USA

– im weiteren Text als „Flexera“ bezeichnet –

und

  1. Flexeras Kunden, die den Vorgaben der europäischen Datenschutz-Grundverordnung (DSGVO) und/oder dem California Consumer Privacy Act (kalifornisches Gesetz zum Schutz der Privatsphäre von Verbrauchern) unterliegen, sowie Tochtergesellschaften von Verbrauchern, die der DSGVO und/oder dem California Consumer Privacy Act unterliegen und Leistungsberechtigte nach der Mastervereinbarung sind

– im weiteren Text als „Kunde“ bezeichnet –

– Flexera und der Kunde gemeinsam werden im weiteren Verlauf als „Parteien“, und individuell als „Party“ bezeichnet –

PRÄAMBEL

Flexera ist ein Softwareunternehmen, das Software as a Service („SaaS“) für Lizenzmanagement und/oder Wartungsdienste anbietet (im weiteren Verlauf als „Dienste“ bezeichnet). Das Angebot der Dienste unterliegt den Bestimmungen des Softwarelizenz- und Dienstvertrags einschließlich aller zugehörigen Dienstverträge, die zwischen den Parteien abgeschlossen wurden (zusammenfassend „Mastervereinbarung“). Soweit Flexera personenbezogene Daten im Namen des Kunden und/oder die angeschlossenen Unternehmen des Kunden („Personenbezogene Daten des Kunden“) im Rahmen der Bereitstellung von Services verarbeitet, kommen die Parteien hiermit überein, dass diese Verarbeitung den Bestimmungen der vorliegenden Serviceverarbeitungsbedingungen unterliegt.  Personenbezogene Daten des Kunden umfassen Daten sowohl des Kunden als auch der Kunden angeschlossener Unternehmen.

Die vorliegenden Datenverarbeitungsbedingungen regeln die Datenschutzpflichten der Parteien hinsichtlich der Verarbeitung der personenbezogenen Daten des Kunden unter der Mastervereinbarung. Sie sollen in zumutbaren Maße sicherstellen, dass eine derartige Datenverarbeitung nur im Namen des Kunden und gemäß seinen Anweisungen erfolgt, wobei auch stets die Vorgaben der vorliegenden Datenverarbeitungsbedingungen und der einschlägigen Datenschutzrechte einzuhalten sind.

DEFINITIONEN

Soweit im Nachstehenden nichts Gegenteiliges vermerkt ist, besitzt jeder Begriff in den vorliegenden Datenverarbeitungsbedingungen die in der Mastervereinbarung festgelegte Bedeutung. In den vorliegenden Datenverarbeitungsbedingungen gilt, soweit sich aus dem Kontext nichts Gegenteiliges ergibt, Folgendes:

Angeschlossenes Unternehmen“ ist jedes Tochterunternehmen des Kunden, das gemäß der Mastervereinbarung oder auf dieser fußenden Bestellungen Leistungsberechtigter ist.
Einschlägiges Datenschutzrecht“ ist jede Art von gesetzlicher Regelung, die die grundlegenden Rechte und Freiheiten von Personen und insbesondere ihr Recht auf eine Privatsphäre beschützt, soweit es um die Verarbeitung personenbezogener Daten geht, und hier insbesondere die DSGVO (sowie sämtliche nationalen Gesetze zur Umsetzung und Ergänzung der DSGVO) und des California Consumer Privacy Act.
CCPA“ ist das California Consumer Privacy Act, Cal Civ. Code §§ 1798.100 ff. (Kalifornisches Zivilgesetzbuch), einschließlich aller Erweiterungen sowie aller seine Implementierung regelnden Gesetzestexte, die am Tag des Wirksamwerdens der vorliegenden Datenverarbeitungsbedingungen oder zu einem späteren Zeitpunkt in Kraft treten.
Personenbezogene Daten nach CCPA“ sind die im CCPA definierten personenbezogenen Informationen, die dem CCPA unterliegen, und die Flexera im Namen des Kunden oder eines angeschlossenen Unternehmens im Zusammenhang mit der Bereitstellung von Flexera-Services verarbeitet.
Eine „Datenschutzverletzung“ liegt vor, wenn personenbezogene Daten zufällig oder rechtswidrig zerstört, geändert oder ohne Genehmigung offengelegt werden bzw. wenn sie verloren gehen oder auf sie ohne Berechtigung zugegriffen wird.
Eine „betroffene Person“ ist jede identifizierte oder identifizierbare Einzelperson oder ein entsprechendes Gerät, die oder das der Datenverarbeitung unterliegt. Zur Klarstellung sei festgehalten, dass auch „Consumers“ (Verbraucher) nach dem CCPA zu den betroffenen Personen gehören.
Ein „europäischer Staat“ sind alle dem Europäischen Wirtschaftsraum angehörigen Länder (die Mitgliedsstaaten der Europäischen Union sowie Island, Norwegen und Liechtenstein) sowie Großbritannien und die Schweiz.
Die „DSGVO“ ist die Datenschutz-Grundverordnung 2016/679 der Europäischen Union.
Personenbezogene Daten nach DSGVO“ sind die in der DSGVO definierten personenbezogenen Daten, die der DSGVO unterliegen, und die Flexera im Namen des Kunden oder eines angeschlossenen Unternehmens im Zusammenhang mit der Bereitstellung seiner Services verarbeitet, sofern der Kunde bzw. das angeschlossene Unternehmen (i) in einem europäischen Staat ansässig ist oder (ii) personenbezogene Daten betroffener Personen verarbeitet, die in einem europäischen Staat ansässig sind.
Anweisung“ steht für jede Art dokumentierter Anweisung, die der Kunde gegenüber Flexera erlässt, und mit der Flexera dazu angehalten wird, eine konkrete Handlung hinsichtlich personenbezogener Daten durchzuführen. Dies umfasst insbesondere auch das Berichtigen und Löschen personenbezogener Daten sowie das Einschränken der Verarbeitung derselben. Anweisungen sind zunächst in der Mastervereinbarung aufzuführen, und zwar unter Abschn. 3 und Anhang 1 und 2 der SVK. Sie können im weiteren Vertragszeitraum vom Kunden angepasst, ergänzt oder ersetzt werden, was separate Anweisungen in Schriftform erfordert. Darüber hinaus müssen derartige Anpassungen, Ergänzungen oder Ersetzungen im Rahmen des vereinbarten Serviceumfangs liegen. Anweisungen, die erlassen wurden, um gesetzlichen Ansprüchen gemäß einschlägigen Datenschutzrechten zu entsprechen, beispielsweise bezüglich der Berichtigung, Löschung, Beschränkung oder Übertragung personenbezogener Daten, sind grundsätzlich Teil des vereinbarten Serviceumfangs.
Personenbezogene Daten“ sind personenbezogene Daten nach DSGVO und personenbezogene Daten nach CCPA.
Verkaufen“ trägt die im CCPA definierte Bedeutung.
Standardvertragsklauseln“ oder „SVK“ sind die Standardvertragsklauseln der Europäischen Kommission für Auftragsverarbeiter personenbezogener Daten (bekanntgegeben unter Aktenzeichen K(2010) 593) oder Nachfolgeregelungen, die von der Europäischen Kommission herausgegeben werden.
Unterauftragsverarbeiter“ ist jeder von Flexera betraute Datenverarbeiter, der sich verpflichtet hat, von Flexera personenbezogene Daten des Kunden zu empfangen.
Begriffe, die im vorliegenden Abschnitt oder in den SVK verwendet werden, insbesondere „Verarbeitung“, „Verantwortlicher“ und „Auftragsverarbeiter“ haben die gleiche Bedeutung wie in Art. 4 DSGVO. Soweit die Definitionen in Art. 4 DSGVO weiter gefasst sind, als die Bestimmungen der SVK vorsehen, geht die DSGVO vor.
  1. ÄNDERUNG DER MASTERVEREINBARUNG

    1.1 Die vorliegenden Datenverarbeitungsbedingungen erweitern die Mastervereinbarung und sind ein fester Bestandteil derselben, soweit es um die Verarbeitung personenbezogener Daten geht, die vom Kunden oder einem angeschlossenen Unternehmen zur Verfügung gestellt wurden. Beide Parteien sind verpflichtet, stets ein Exemplar der vorliegenden Datenverarbeitungsbedingungen bereitzuhalten.
    1.2 Der Kunde ist berechtigt, die vorliegenden Datenverarbeitungsbedingungen im Namen der angeschlossenen Unternehmen abzuschließen, was bedeutet, dass jedes angeschlossene Unternehmen die gleichen Rechte genießt und den gleichen Pflichten unterliegt wie der Kunde, mit Ausnahme des vorliegenden Abs. 1.2.
    1.3 Abschn. 2 bis 5 der vorliegenden Datenverarbeitungsbedingungen gelten nur für Flexeras Verarbeitung personenbezogener Daten nach DSGVO für den Kunden oder ein angeschlossenes Unternehmen.
    1.4 Abschn. 6 bis 8 der vorliegenden Datenverarbeitungsbedingungen gelten nur für Flexeras Verarbeitung personenbezogener Daten nach CCPA für den Kunden oder ein angeschlossenes Unternehmen.
  1. KONKRETE BEDINGUNGEN DER VERARBEITUNG PERSONENBEZOGENER DATEN NACH DSGVO

  1. DATENVERARBEITUNG UND STANDARDVERTRAGSKLAUSELN

    2.1 Der Kunde bzw. das angeschlossene Unternehmen gilt bezüglich der personenbezogenen Daten nach DSGVO als Verantwortlicher, während Flexera diesbezüglich als Auftragsverarbeiter gilt. Dies gilt nicht wenn der Kunde bzw. ein angeschlossenes Unternehmen selbst als Auftragsverarbeiter für personenbezogene Daten nach DSGVO handelt: In diesem Fall ist Flexera nur untergeordneter Auftragsverarbeiter.
    2.2 Jegliche Art von Verarbeitung nach Abs. 3 unterliegt den vorliegenden Datenverarbeitungsbedingungen und den SVK im Anhang, wobei die SVK allen anderslautenden Regelungen der Mastervereinbarung oder der vorliegenden Datenverarbeitungsbedingungen Vorrang haben.
    2.3 Die Parteien kommen überein, dass die SVK sowohl für Flexera als Datenimporteur (dort definiert) als auch den Kunden sowie alle angeschlossenen Unternehmen mit Sitz in einem europäischen Staat als Datenexporteure (dort definiert) bindend sind, was die personenbezogenen Daten betrifft, die vom Kunden oder entsprechenden angeschlossenen Unternehmen zur Verfügung gestellt werden.
    2.4 Alle Bezugnahmen auf Artikel der Richtlinie 95/46/EG in den SVK sind als Bezugnahmen auf die geltenden und passenden Artikel der DSGVO anzusehen.
  2. VERARBEITUNGSGEGENSTAND, -DAUER, -ART UND -ZWECK SOWIE ANGABEN ZU VERARBEITUNGSTÄTIGKEITEN

    3.1 Verarbeitungsgegenstand, -dauer, -art und -zweck sind in der Mastervereinbarung, der Anlage, in Anhang 1 der SVK und im vorliegenden Abschnitt beschrieben. 1. Sofern in der Mastervereinbarung nichts Gegenteiliges angeführt ist, ist die Verarbeitung im Allgemeinen auf Folgendes beschränkt: (i) Speichern/Verarbeiten bestimmter eingeschränkter personenbezogener Daten nach DSGVO auf einem Server und individueller Zugriff auf solche Daten bei der Bereitstellung der SaaS-Services unter der Mastervereinbarung und/oder (ii) im Rahmen der Bereitstellung von Wartungsservices bei On-Premise-Lösungen. Bei der Bereitstellung von Compliance-Prüfungsdiensten ist der Zugriff auf personenbezogene Daten des Kunden jedoch auch dem Datenauswertungs- und Support-Team gestattet, wenn dies der Bereitstellung der Dienste nach der Mastervereinbarung dient. Bei Wartungen an On-Premise-Lösungen, sind Zugriff oder Verarbeitung der personenbezogenen Daten nach DSGVO nicht vorgesehen, es kann jedoch im Einzelfall nicht vollständig ausgeschlossen werden, dass ein Zugriff auf Daten erfolgt, die am Standort des Kunden gespeichert sind. Sofern Flexera mit Partnern kooperiert, die eigene Kundenbeziehungen unterhalten, und sofern diese Partner Zugriff auf die Daten ihrer Kunden benötigen (wobei diese alle Teil der personenbezogenen Daten des Kunden sind), um bei die Bereitstellung von Services zu unterstützen, ist Flexera berechtigt, diesen Partnern insoweit Zugriff auf die personenbezogenen Daten des Kunden zu gewähren, wie es für die vom Partner angestrebten Zwecke erforderlich ist.
    3.2 Die Arten der personenbezogenen Daten nach DSGVO und die Datenkategorien betroffener Personen, die durch die Verarbeitung berührt werden können, sind in der Anlage in Anhang 1 aufgeführt.
    3.3 Der Zeitraum, in dem die Bearbeitung erfolgt, muss der Geltungsdauer der vorliegenden Datenverarbeitungsbedingungen entspreche, entsprechend Abschn. 14.
  3. FLEXERAS PFLICHTEN
    4.1 Insbesondere hinsichtlich der Übertragung personenbezogener Daten nach DSGVO in Drittländer ist Flexera verpflichtet, zur Bereitstellung der Services die personenbezogenen Daten nach DSGVO nur gemäß dessen dokumentierten Anweisungen und in seinem Namen zu verarbeiten, es sei denn, das europäische Recht oder das Recht eines europäischen Staates erfordert eine andere Vorgehensweise. In letzterem Fall ist Flexera verpflichtet, den Kunden von diesen rechtlichen Erfordernissen in Kenntnis zu setzen, bevor eine Verarbeitung der Daten erfolgt, vorausgesetzt, das einschlägige Recht untersagt diese Inkenntnissetzung aufgrund eines erheblichen öffentlichen Interesses nicht (die entsprechende Klausel 5 (a) SVK bleibt von dieser Regelung unberührt).
    4.2 Flexera ist verpflichtet, alle zumutbaren Schritte zu unternehmen, um sicherzustellen, dass jede natürliche Person, der gegenüber Flexera weisungsbefugt ist, und die Zugriff auf personenbezogene Daten nach DSGVO hat, diese Daten nur nach den Anweisungen des Kunden verarbeitet, soweit dieser Verarbeitung nicht europäisches Recht bzw. das Recht eines europäischen Staates entgegensteht.
    4.3 Flexera hat sicherzustellen, dass Personen, die zur Verarbeitung personenbezogener Daten nach DSGVO berechtigt sind, sich vertraglich zu Vertraulichkeit verpflichtet haben oder ausreichenden gesetzlichen Vertraulichkeitspflichten unterliegen. Darüber hinaus muss Flexera sicherstellen, dass diese Vertraulichkeitspflichten auch nach einer Kündigung der vorliegenden Datenverarbeitungsbedingungen fortgelten.
    4.4 Flexera ist unter Berücksichtigung der Art der Datenverarbeitung und der Flexera bekannten Daten verpflichtet, den Kunden bezüglich der Erfüllung seiner Pflichten nach Art. 33 – 36 DSGVO (Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutzfolgenabschätzung, vorherige Konsultation) zu unterstützen, insbesondere durch das Bereitstellen von Informationen zu personenbezogenen Daten nach DSGVO.
    4.5 Flexera teilt dem Kunden Namen und offizielle Kontaktdetails des Datenschutzbeauftragten Flexeras mit, wenn Flexera nach geltendem Datenschutzrecht verpflichtet ist, einen Datenschutzbeauftragten zu benennen. Sofern Flexera nicht zur Benennung eines Datenschutzbeauftragten verpflichtet ist, wird Flexera nach eigenem Ermessen eine Person benennen, die für Fragen zum einschlägigen Datenschutzrecht und zur Datensicherheit im Zusammenhang mit den vorliegenden Datenverarbeitungsbedingungen zuständig ist.
    4.6 Für den Fall, dass Ansprüche auf Grundlage von Art. 82 DSGVO gegenüber dem Kunden geltend gemacht werden, ist Flexera im zumutbaren Rahmen verpflichtet, den Kunden bei seiner Verteidigung zu unterstützen, soweit der Anspruch sich auf die Verarbeitung personenbezogener Daten nach DSGVO bezieht, die von Flexera im Auftrag des Kunden durchgeführt wurde.
    4.7 Flexera wird dem Kunden alle Daten zur Verfügung stellen, die dieser benötigt, um die Einhaltung seiner Pflichten aus den vorliegenden Datenverarbeitungsbedingungen und aus Art. 28 DSGVO nachzuweisen.
    4.8 Soweit in Abschn. 11.6 nichts Anderslautendes vermerkt ist, erfolgt die Datenverarbeitung in den USA.
    4.9 Auf Anforderung des Kunden ist Flexera verpflichtet, Datenmedien und anderes vom Kunden bereitgestelltes Material gemäß den Datenschutzanforderungen zu zerstören. Alternativ kann Flexera auf Anforderung des Kunden die Datenträger und das sonstige Material dem Kunden zurücksenden oder in seinem Namen aufbewahren.
    4.10 Soweit geltendes Recht der Europäischen Union oder eines europäischen Staates kein fortgesetztes Aufbewahren der personenbezogenen Daten nach DSGVO erfordert, wird Flexera mit Abschluss der Services unter Einbeziehung des Kunden entweder alle personenbezogenen Daten des Kunden in Flexeras Besitz löschen oder dem Kunden zurückgeben.
  4. ZUGRIFFSANFORDERUNG UND RECHTE BETROFFENER PERSONEN
    5.1 Flexera ist verpflichtet, personenbezogene Daten nach DSGVO auf Anforderung des Kunden baldmöglichst, spätestens aber 30 Tage nach Eingang der Anforderung, zu berichtigen, zu löschen, den Zugriff auf sie zu beschränken oder sie zu übertragen, sofern Flexera dazu nach geltendem Recht verpflichtet ist und der Kunde die entsprechende Aufgabe nicht selbst durchführen kann, oder sofern Flexera nach den Servicebeschreibungen in der Mastervereinbarung dazu verpflichtet ist. Jede Löschung von personenbezogenen Daten nach DSGVO gemäß Abs. 1 ist dergestalt durchzuführen, dass eine Wiederherstellung dieser Daten nach zumutbarem Dafürhalten nicht möglich ist.
    5.2 Ohne die allgemeinen Regelungen von Klausel 5 (d) der SVK einzuschränken, gilt Folgendes: Wenn eine betroffene Person gegenüber Flexera Ansprüche auf Zugriff, Berichtigung, Löschung, Beschränkung des Zugriffs, Widerspruch oder Datenübertragung geltend macht, wird Flexera die betroffene Person an den Kunden verweisen.
  1. KONKRETE BEDINGUNGEN DER VERARBEITUNG PERSONENBEZOGENER DATEN NACH CCPA

  1. VERARBEITEN PERSONENBEZOGENER DATEN NACH CCPA

    6.1 Flexera handelt als „Serviceprovider“ (gemäß der Definition im CCPA) hinsichtlich der Verarbeitung der personenbezogenen Daten nach CCPA, soweit es um die Bereitstellung der Services geht.
  2. VERARBEITEN PERSONENBEZOGENER DATEN NACH CCPA

    7.1 Flexera ist nicht berechtigt, personenbezogene Daten nach CCPA für andere kommerzielle Zwecke als die konkreten Zwecke der Bereitstellung der Services zurückzubehalten, zu verwenden oder offenzulegen, es sei denn, der CCPA gestattet dies ausdrücklich.
    7.2 Die Verarbeitung von personenbezogenen Daten nach CCPA außerhalb des Umfangs dessen, was nach angemessenem Dafürhalten für die Erbringung der Services aus den vorliegenden Datenverarbeitungsbedingungen oder der Mastervereinbarung erforderlich ist, erfordert einen zuvor abzuschließenden schriftlichen Vertrag zwischen dem Kunden und Flexera mit zusätzlichen Anweisungen hinsichtlich der Verarbeitung.
  3. FLEXERAS PFLICHTEN

    8.1 Flexera ist nicht berechtigt, personenbezogene Daten nach CCPA ohne vorherige schriftliche Genehmigung seitens des Kunden gegenüber anderen Unternehmen oder sonstigen Dritten offenzulegen, herauszugeben, zu übertragen, verfügbar zu machen oder anderweitig mitzuteilen, es sei denn, eine derartige Offenlegung erfolgt gegenüber einem Unterauftragsverarbeiter für Geschäftszwecke gemäß Abs. 11. Unabhängig vom Vorgenannten kann nichts in den vorliegenden Datenverarbeitungsbedingungen Flexeras Recht einschränken, personenbezogene Daten nach CCPA offenzulegen, um geltendem Recht zu entsprechen. Gleiches gilt für den Fall, dass eine Offenlegung nach CCPA anderweitig gestattet ist.
    8.2 Flexera ist ohne vorherige schriftliche Genehmigung seitens des Kunden nicht berechtigt, personenbezogene Daten nach CCPA an andere kommerzielle Unternehmen oder sonstige Dritte zu veräußern.
    8.3 Flexera haftet jederzeit für die Einhaltung seiner Pflichten aus den vorliegenden Datenverarbeitungsbedingungen hinsichtlich der vorliegenden Datenverarbeitungsbedingungen hinsichtlich des CCPA. Entsprechend sind Handlungen oder Unterlassungen der Unterauftragsverarbeiter oder sonstiger Dritter, denen gegenüber Flexera personenbezogene Daten nach CCPA offengelegt oder denen Flexera die Verarbeitung dieser Daten ermöglicht hat, aus Sicht des Kunden mit Handlungen Flexeras gleichzusetzen.
    8.4 Geltendmachen von Rechten durch betroffene Personen nach CCPA
    8.4.1 Ab dem Datum des Wirksamwerdens des CCPA ist Flexera verpflichtet, alle einschlägigen Anforderungen des CCPA einzuhalten. Flexera ist entsprechend verpflichtet, den Kunden nach Möglichkeit dabei zu unterstützen, die ihn betreffenden Vorgaben des CCPA einzuhalten. Insbesondere muss Flexera dem Kunden die Möglichkeit einräumen, personenbezogene Daten nach CCPA betroffener Personen zu löschen, zu blockieren, auf sie zuzugreifen oder sie zu kopieren bzw. auf Anforderung des Kunden im Rahmen der zu erbringenden Services diese Informationen umgehend löschen, blockieren, auf sie zugreifen oder kopieren. Alle aus der Unterstützung des Kunden erwachsenden Kosten sind von Flexera zu tragen.
    8.4.2 Flexera muss den Kunden umgehend davon in Kenntnis setzen, wenn eine betroffene Person bei Flexera oder einem Unterauftragsverarbeiter hinsichtlich der personenbezogenen Daten nach CCPA dieser Person eine Anforderung übermittelt. Flexera darf der betroffenen Person nicht direkt antworten.
    8.5 Vor dem Inkrafttreten des CCPA ist Flexera verpflichtet, Richtlinien, Verfahren und Kontrollen umzusetzen, die es Flexera sowie seinen Vertretern und Mitarbeitern gestatten, umgehend auf Anforderungen bezüglich der Rechte nach CCPA zu reagieren. Dies gilt insbesondere für die Geltendmachung von Rechten auf Offenlegung, Löschung oder Abmeldung.
    8.6 Soweit geltendes Recht nicht vorschreibt bzw. zulässt, dass personenbezogene Daten nach CCPA bei Flexera verbleiben, ist Flexera verpflichtet, nach Abschluss der zu leistenden Services und in Absprache mit dem Kunden entweder die personenbezogenen Daten nach CCPA, die bei Flexera vorliegen, zu löschen oder an den Kunden zurückzusenden. Hinsichtlich aller sonstigen Ausführungen entsprechender personenbezogener Daten nach CCPA, die von Flexera oder Unterauftragsverarbeitern verarbeitet wurden, gilt, dass Flexera diese entweder löschen oder ihre Löschung erwirken muss.
  1. ALLGEMEINE BEDINGUNGEN DER VERARBEITUNG ALLER PERSONENBEZOGENEN DATEN

  1. Technische und organisatorische Maßnahmen zur Datensicherheit

    9.1 Die angemessenen technischen und organisatorischen Maßnahmen zur Datensicherheit, die zum Zeitpunkt der Unterfertigung der vorliegenden Datenverarbeitungsbedingungen umzusetzen sind, sind in der Anlage in Anhang 2 aufgeführt. Die in der Anlage in Anhang 2 erläuterten Maßnahmen unterliegen Veränderungen aufgrund technischer Fortschritte und Entwicklungen (die entsprechende Klausel 5 (c) SVK ist davon nicht betroffen).
    9.2 Flexera ist verpflichtet, angemessene technische und organisatorische Maßnahmen zu ergreifen, um einen dem Risiko angemessenen Sicherheitsstandard sicherzustellen, der einschlägigem Datenschutzrecht genügt. Hierbei sind sowohl der aktuelle Entwicklungsstand, Implementierungskosten sowie Art, Umfang, Kontext und Zweck der Datenverarbeitung als auch unterschiedlich stark ausfallende Risiken bzw. Auswirkungen bezüglich der Rechte und Freiheiten natürlicher Personen abzuwägen. Diese Maßnahmen können Folgendes umfassen:
    • Pseudonymisierung oder De-Identifizierung und Verschlüsselung personenbezogener Daten;
    • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
    • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.
    9.3 Zur Ermittlung eines angemessenen Sicherheitsstandards sind vor allen Dingen Art, Umfang, Kontext und Zweck der Datenverarbeitung zu berücksichtigen, aber auch die Risiken, die bei der Verarbeitung anfallen. Insbesondere zu berücksichtigen sind zufällige oder rechtswidrige Fälle von Zerstörung, Verlust, Änderung, unautorisierter Offenlegung von oder unautorisiertem Zugriff auf personenbezogene Daten, die übertragen, gespeichert oder anderweitig verarbeitet werden.
    9.4 Soweit Flexera die in der Anlage im Anhang 2 angeführten Maßnahmen signifikant ändern sollte, müssen diese Änderungen den Vorgaben von Abs. 9.2 und 9.3 genügen. Flexera ist verpflichtet, den Kunden mit einer Beschreibung entsprechender Maßnahmen, anhand derer der Kunde die Einhaltung einschlägigen Datenschutzrechts beurteilen kann, von diesen Änderungen in Kenntnis zu setzen. Der Kunde kann ab der Inkenntnissetzung innerhalb von vier (4) Wochen den Änderungen widersprechen. Der Kunde ist nur berechtigt, Änderungen zu widersprechen, sofern diese Änderungen nicht den Vorgaben von Abschn. 9.2 und 9.3 genügen. Sofern der Kunde nicht innerhalb des vorgegebenen Zeitraums widerspricht, gelten die Änderungen als von ihm angenommen. Im Falle eines Widerspruchs ist Flexera berechtigt, den Teil der Dienste vorübergehend auszusetzen, der von dem Widerspruch des Kunden betroffen ist. Dem Kunden steht in diesem Fall keine anteilige Rückerstattung der für die Dienste geleisteten Zahlungen zu, es sei denn, der Kunde kann nachweisen, dass die Pflichten nach Abschn. 9.2 und 9.3 nicht erfüllt wurden. Der Kunde ist gehalten, das Vorgehen bei Widersprüchen für sich und angeschlossene Unternehmen zu vereinheitlichen.
    9.5 Flexera ist verpflichtet, ein Managementverfahren für den Datenschutz umzusetzen, das dem geltenden Datenschutzrecht entspricht und dem regelmäßigen Testen, Bewerten und Begutachten der Effektivität der technischen und organisatorischen Maßnahmen dient, um so einen annehmbaren Grad der Sicherheit der Datenverarbeitung zu gewährleisten. Flexera wird darüber hinaus auf dem Wege von Selbst-Audits in zumutbarem Rahmen sicherstellen, dass die Verarbeitung der personenbezogenen Daten des Kunden den mit dem Kunden vereinbarten Vorgaben bzw. seinen Anweisungen entspricht.
    9.6 Flexera ist unter Berücksichtigung der Art der Datenverarbeitung verpflichtet, den Kunden durch angemessene technische und organisatorische Maßnahmen zu unterstützen, soweit es um die Erfüllung der Kundenpflicht geht, auf geltend gemachte Rechtsansprüche betroffener Personen zu reagieren. In diesem Zusammenhang ist geltendes Datenschutzrecht zu berücksichtigen, insbesondere auch durch Bereitstellen von Informationen zu personenbezogenen Daten.
    9.7 Dokumentation und Audit-Rechte
    9.7.1 Flexera ist verpflichtet, auf Anforderung und soweit nach einem allfälligen Geheimhaltungsvertrag zulässig, dem Kunden eine umfassende Dokumentation der technischen und organisatorischen Maßnahmen zur Datensicherheit zur Verfügung zu stellen, die den allgemeinen Branchenstandards entspricht. Die Effektivität der technischen und organisatorischen Sicherheitsmaßnahmen ist in jährlichem Turnus von einer unabhängigen dritten Stelle per Audit zu prüfen, wobei das Audit nach Statement on Standards for Attestation Engagements no. 16 (SSAE 16), SOC 2 Type II oder einem entsprechenden Standard zu erfolgen hat. Darüber hinaus kann Flexera nach eigenem Ermessen Compliancezertifikate zur Datensicherheit eines allgemein anerkannten Ausstellers zur Verfügung stellen, wobei dieser Aussteller von einem Datensicherheitsexperten, einer öffentlich anerkannten Auditinggesellschaft oder einem anderen Kunden Flexeras Audits unterzogen wurde.
    9.7.2 Wenn der Kunde einen berechtigten Grund zu der Annahme hat, dass Flexera die Bestimmungen der vorliegenden Datenverarbeitungsbedingungen nicht einhält, insbesondere hinsichtlich der Verpflichtung, vereinbarte technische und organisatorische Maßnahmen zur Datensicherheit umzusetzen und aufrecht zu erhalten, ist der Kunde einmal jährlich – es sei denn, es gibt konkrete Anhaltspunkte dafür, ein engeres Zeitintervall als angemessen zu betrachten – berechtigt, ein Audit von Flexera durchzuführen. Entsprechende Audits unterliegen den Vorgaben einschlägiger Geheimhaltungsverträge (die entsprechende Klausel 5 (f) SVK bleibt von dieser Regelung unberührt, soweit zutreffend). Ein entsprechendes Recht auf ein solches Audit kann ausgeübt werden, indem (i) zusätzliche Informationen angefordert werden, (ii) auf Datenbanken zugegriffen wird, die personenbezogene Daten des Kunden verarbeiten, oder (iii) indem der Standort Flexeras inspiziert wird. In allen diesen Fällen darf kein Zugriff auf die personenbezogenen Daten anderer Kunden oder die vertraulichen Informationen Flexeras eingeräumt werden. Der Kunde kann alternativ auch Dritte als Auditoren bestellen, die diese Aufgaben in seinem Auftrag entsprechend Abschn. 9.7.4 durchführen. Die Kosten solcher Audits und/oder des Bereitstellens zusätzlicher Informationen sind vom Kunden zu tragen, es sei denn, das Audit zeigt einen materiellen Verstoß Flexeras gegen die vorliegenden Datenverarbeitungsbedingungen auf.
    9.7.3 Wenn der Kunde ein Audit am Standort von Flexera durchführen möchte, muss er Flexera im zumutbaren Zeitrahmen eine entsprechende Ankündigung zukommen lassen und mit Flexera eine konkrete Übereinkunft hinsichtlich Zeitpunkt und Dauer des Audits treffen. Im Fall eines besonders gerechtfertigten Interesses kann ein solches Audit auch ohne vorherige Ankündigung erfolgen. Inspektionen haben während der üblichen Geschäftszeiten zu erfolgen und auf eine Art, die den normalen Geschäftsbetrieb nicht beeinträchtigt. Die Audit-Prüfer sind jederzeit von mindestens einem Mitarbeiter Flexeras zu begleiten. Flexera ist berechtigt, die Ergebnisse eines solchen Audits schriftlich festzuhalten und sich vom Kunden bestätigen zu lassen.
    9.7.4 Der Kunde ist nicht berechtigt, Dritte für ein Audit zu engagieren, die (i) nach angemessenem Dafürhalten von Flexera als direkte Wettbewerber angesehen werden, die (ii) wie in Klausel 5 (f) SVK festgelegt (soweit zutreffend) nicht ausreichend für ein solches Audit qualifiziert oder (iii) nicht unabhängig sind. Jegliche Audit-Drittparteien können nur eingeschaltet werden, wenn sie vor Durchführung jeglicher Art von Audits durch einen Geheimhaltungsvertrag zugunsten Flexeras oder durch gesetzliche Vorgaben zur Vertraulichkeit verpflichtet wurden.
    9.8 Benachrichtigungspflichten
    9.8.1 Flexera ist verpflichtet, den Kunden umgehend über alle von Behörden, Aufsichtskörperschaften oder Strafverfolgungsorganen (einschließlich der Aufsichtsbehörden) eingehenden Anforderungen bezüglich einer Offenlegung von personenbezogenen Daten des Kunden zu informieren, es sei denn, dies wäre anderweitig durch geltendes Recht oder eine rechtsverbindliche Anordnung der entsprechenden Behörde bzw. Körperschaft untersagt.
    9.8.2 Soweit es für personenbezogene Daten nach DSGVO einschlägig ist, muss Flexera den Kunden ohne unzumutbare Verzögerung in Schriftform (z. B. Brief, Fax oder E-Mail, zusammenfassend „Schriftform“) bezüglich aller Ereignisse nach Klausel 5 (d) SVK sowie aller folgenden Ereignisse informieren:
    • Anfragen Dritter zu personenbezogenen Daten, einschließlich solcher von Datenschutzaufsichtsbehörden. In diesem Fall ist es zulässig, betreffenden Dritten den Namen des Kunden anzugeben sowie diese Dritte über die Tatsache zu informieren, dass ihre Anfrage an den Kunden weitergeleitet wurde;
    • Bedrohungen personenbezogener Daten des Kunden, die sich bei Flexera befinden, durch Pfändung, Beschlagnahme, Insolvenz oder Schlichtungsverfahren sowie sonstige Vorfälle oder Maßnahmen Dritter. In einem solchen Fall ist Flexera verpflichtet, den entsprechenden Dritten umgehend davon in Kenntnis zu setzen, dass der Kunde der tatsächliche Inhaber und Verfügungsberechtigte hinsichtlich der personenbezogenen Daten ist.
    • Die entsprechenden Klauseln 5 (b) und (d) SVK bleiben von dieser Regelung unberührt.
    9.8.3 Zum Zweck der Einhaltung der Vorgaben von Klausel 5 (d) SVK und um dem Kunden die Einhaltung seiner eigenen Verpflichtungen aus geltendem Datenschutzrecht hinsichtlich der Meldung von Datenschutzverletzungen zu ermöglichen, ist Flexera verpflichtet, den Kunden baldmöglichst von Datenschutzverletzungen in Kenntnis setzen, sobald diese Flexera bekannt wurden. Eine entsprechende Benachrichtigung muss, soweit möglich, folgende Informationen umfassen:
    • eine Beschreibung der Art der Datenschutzverletzung zu personenbezogenen Daten, soweit möglich einschließlich der Kategorien und geschätzten Anzahl der betroffenen Personen sowie der Kategorien und geschätzten Anzahl der Datensätze mit Personenbezogenen Daten, die betroffen sind;
    • eine Beschreibung der von Flexera und/oder dem Kunden unternommenen bzw. zu unternehmenden Maßnahmen, um der Datenschutzverletzung im Zusammenhang mit personenbezogenen Daten Herr zu werden, oder, soweit erforderlich, Maßnahmen, um mögliche negative Auswirkungen der Datenschutzverletzung einzudämmen, sowie
    • alle weiteren Informationen, die Flexera zur Verfügung stehen und bekannt sind und (i) die der Kunde benötigt, um seinen Benachrichtigungspflichten nachzukommen und (ii) auf die der Kunde keine sonstige Zugriffsmöglichkeit besitzt.
    9.8.4 Flexera ist verpflichtet, den Kunden unmittelbar davon in Kenntnis zu setzen, wenn eine Anweisung des Kunden nach dem Dafürhalten von Flexera zu einem Verstoß gegen einschlägiges Datenschutzrecht führen kann. Bis zu dem Zeitpunkt, an dem der Kunde seine Anweisung entweder bestätigt oder abändert, ist Flexera berechtigt, die Umsetzung der Anweisung abzulehnen.
  2. PFLICHTEN DES KUNDEN

    10.1 Der Kunde ist verpflichtet, Flexera alle Anweisungen gemäß den vorliegenden Datenverarbeitungsbedingungen in Schriftform oder mündlich mitzuteilen (die entsprechende Klausel 4 (b) SVK bleibt von dieser Regelung unberührt). Mündliche Anweisungen müssen baldmöglichst in Schriftform bestätigt werden.
    10.2 Der Kunde ist verpflichtet, Flexera in Schriftform die Namen der Personen mitzuteilen, die berechtigt sind, Flexera Anweisungen zu erteilen. Alle Kosten, die aus der Tatsache erwachsen, dass der Kunde verabsäumt, die im vorstehenden Satz genannte Pflicht zu erfüllen, sind vom Kunden zu tragen. Unabhängig vom Vorgenannten sind Geschäftsführer sowie die Personalabteilung des Kunden berechtigt, Anweisungen zu erteilen.
    10.3 Soweit geltendes Datenschutzrecht es erfordert, muss der Kunde sicherstellen, dass er alle erforderlichen Einwilligungen entweder erhalten hat oder einholen wird und alle erforderlichen Erklärungen abgegeben hat bzw. abgeben wird, die für die Verarbeitung der personenbezogenen Daten durch Flexera gemäß der Mastervereinbarung und der vorliegenden Datenverarbeitungsbedingungen erforderlich sind.
    10.4 Der Kunde ist verpflichtet, Flexera umgehend davon in Kenntnis zu setzen, wenn eine Datenverarbeitung seitens Flexera zu einem Verstoß gegen einschlägiges Datenschutzrecht führen würde.
    10.5 Für den Fall, dass gegenüber Flexera Ansprüche auf Basis von Art. 82 DSGVO im Zusammenhang mit der Verarbeitung von personenbezogenen Daten nach DSGVO geltend gemacht werden, ist der Kunde verpflichtet, Flexera im zumutbaren Rahmen bei der Verteidigung gegenüber diesen Ansprüchen zu unterstützen, soweit der Anspruch im Zusammenhang mit der Verarbeitung personenbezogener Daten durch Flexera steht, die Flexera durchführte, um Services für den Kunden oder ein angeschlossenes Unternehmen bereitzustellen.
    10.6 Der Kunde ist verpflichtet, eine Person zu benennen, die für Fragen des geltenden Datenschutzrechts und der Datensicherheit im Zusammenhang mit den vorliegenden Datenverarbeitungsbedingungen zuständig ist.
  3. VERARBEITUNG DURCH UNTERAUFTRAGNEHMER

    11.1 Flexera ist berechtigt, Dritte für die Verarbeitungstätigkeiten gemäß den vorliegenden Datenverarbeitungsbedingungen heranzuziehen („Unterauftragnehmer“), soweit die Vorgaben des vorliegenden Abschn. 11.
    11.2 Alle Unterauftragnehmer sind verpflichtet, sich schriftlich gegenüber dem Kunden und seinen angeschlossenen Unternehmen vor Beginn der Datenverarbeitung den gleichen Datenschutzverpflichtungen zu unterwerfen, wie sie in den vorliegenden Datenverarbeitungsbedingungen dargelegt sind. Alternativ müssen sich die Unterauftragnehmer im Zusammenhang mit personenbezogenen Daten nach DSGVO verpflichten, die Bestimmungen von Art. 28 Abs. 3, 4 und 6 DSGVO einzuhalten. Die vorgenannten Sätze können durch ausdrückliche Übereinkunft abbedungen werden. Der Vertrag mit dem Unterauftragnehmer muss mindestens ein Maß an Datensicherheit gewährleisten, das dem in den vorliegenden Datenverarbeitungsbedingungen entspricht. Sofern der Unterauftragnehmer seine Datenschutzpflichten nicht erfüllt, haftet Flexera gegenüber dem Kunden vollumfänglich für die Erfüllung der Pflichten des Unterauftragnehmers. Im Zusammenhang mit personenbezogenen Daten nach DSGVO ist die entsprechende Klausel 11 SVK nicht von der vorstehenden Regelung betroffen.
    11.3 Jeder Unterauftragnehmer muss sich insbesondere verpflichten, die vereinbarten technischen und organisatorischen Sicherheitsmaßnahmen gemäß Abschn. 2 und 9.3 einzuhalten und Flexera eine Liste der von ihm umgesetzten technischen und organisatorischen Maßnahmen zur Verfügung stellen, die auf Anforderung auch dem Kunden bereitzustellen sind. Die vom Unterauftragnehmer vorgenommenen Maßnahmen können sich von denen unterscheiden, für die zwischen dem Kunden und Flexera eine Übereinkunft besteht, dürfen jedoch keinen geringeren Grad der Datensicherheit bieten, als die Maßnahmen Flexeras.
    11.4 Für den Fall, dass ein Unterauftragnehmer sich weigert, vergleichbare Datenschutzpflichten zu übernehmen, wie diejenigen, die in den vorliegenden Datenverarbeitungsbedingungen aufgeführt sind, kann dies vom Kunden genehmigt werden, wobei eine entsprechende Zustimmung des Kunden nicht aus zumutbaren Gründen unterbleiben darf.
    11.5 Flexera informiert den Kunden in Schriftform über jegliche beabsichtigte Beauftragung eines Unterauftragnehmers. Alternativ ist Flexera auch berechtigt, eine Website oder einen andersartigen Hinweis bereitzustellen, auf der bzw. in dem alle Unterauftragnehmer aufgeführt sind, die auf die personenbezogenen Daten des Kunden Zugriff haben sowie die eingeschränkten oder untergeordneten Services, die diese Unterauftragnehmer erbringen. Flexera muss den Kunden mindestens zwei (2) Wochen, bevor einem neuen Unterauftragnehmer gestattet wird, auf personenbezogene Daten zuzugreifen, davon in Kenntnis setzen und, soweit erforderlich, die vorgenannte Website bzw. den vorgenannten Hinweis entsprechend aktualisieren. Durch diese Inkenntnissetzung räumt Flexera dem Kunden die Möglichkeit ein, der geplanten Änderung innerhalb einer Frist von zwei (2) Wochen zu widersprechen. Erfolgt innerhalb dieser Frist kein Widerspruch des Kunden bezüglich der Betrauung des fraglichen Unterauftragnehmers, gilt dies konkludent als eine entsprechende Zustimmung des Kunden. Auf Anforderung des Kunden ist Flexera verpflichtet, alle erforderlichen Informationen zu übermitteln, die veranschaulichen, dass der Unterauftragnehmer den Anforderungen nach Abschn. 11.3 nachkommt. Sofern der Kunde der Datenverarbeitung durch einen Unterauftragnehmer widerspricht, hat Flexera die Option, entweder keinen Unterauftragnehmer zu nutzen oder die Mastervereinbarung mit einer Frist von zwei (2) Monaten ab Erklärung zu kündigen. Bis zur Beendigung der Mastervereinbarung ist Flexera berechtigt, den Teil der Bereitstellung der Dienste auszusetzen, der vom Widerspruch des Kunden betroffen ist. Dem Kunden steht in diesem Fall keine anteilige Rückerstattung der für die Services geleisteten Zahlungen zu, es sei denn, der Widerspruch erfolgte aus einem berechtigten Grund bezüglich der Nichtbeachtung geltenden Datenschutzrechts. Der Kunde ist gehalten, das Vorgehen bei Widersprüchen für sich und angeschlossene Unternehmen zu vereinheitlichen.
    11.6 Sofern Flexera den Pflichten aus den vorliegenden Datenverarbeitungsbedingungen entspricht, stimmt der Kunde hiermit auch im Namen seiner angeschlossenen Unternehmen dem Einsatz folgender Unterauftragnehmer zu:

    Für Dienstleistungen zur Software-Monetarisierung:

    • Akamai International B.V. Prins Bernhardplein 200, JB Amsterdam 1097, Niederlande stellt unsere Netzwerkservices zur Bereitstellung von Inhalten.
    • Akamai Technologies Inc. 150 Broadway, Cambridge, MA 02142, USA stellt unsere Netzwerkdienste zur Bereitstellung von Inhalten.
    • Flexera Software Limited, Malvern House, 14–18 Bell Street, Berkshire, SL6 1BR, England, stellt unseren Kunden professionelle Wartungsservices.

    Für Softwarelizenzierungsoptimierung:

    • Flexera Software Limited, Malvern House, 14–18 Bell Street, Berkshire, SL6 1BR, England, stellt unseren Kunden professionelle Wartungsservices.
    • GoodData Corporation, 660 3rd Street Suite 101, San Francisco, CA 94107, USA, bietet Datenanalyseservices. Für jegliche Art von Datenübertragung nutzen wir Datenverarbeitungsverträge, die die Standardvertragsklauseln der EU für Auftragsverarbeiter personenbezogener Daten enthalten.

    Für Data Platform-Services:

    • GoodData Corporation, 660 3rd Street Suite 101, San Francisco, CA 94107, USA, bietet Datenplattformservices. Für jegliche Art von Datenübertragung nutzen wir Datenverarbeitungsverträge, die die Standardvertragsklauseln der EU für Auftragsverarbeiter personenbezogener Daten enthalten.

    Für Software Vulnerability Management:

    • Secunia ApS, Mikado House, Rued Langgaards Vej 8, 4th floor, Kopenhagen, S DK-2300, Dänemark ist hauptsächlich verantwortlich für die Umsetzung von IT-Sicherheitslösungen und die Erbringung von Support- und Wartungsdiensten im Namen von Flexera verantwortlich.
    • Flexera Software Limited, Malvern House, 14–18 Bell Street, Berkshire, SL6 1BR, England, stellt unseren Kunden professionelle Wartungsservices.

    Für Cloud-Deliver-Dienste:

    • RightScale, Inc. 402 E. Gutierrez Street, Santa Barbara, CA 93101, USA. Von uns vorgenommene Datenübertragungen unterliegen einem gruppeninternen Datenverarbeitungsvertrag, der die Standardvertragsklauseln der EU für Auftragsverarbeiter personenbezogener Daten umfasst.

    Für Compliance- und Nutzungsdatenservices:

    • Revulytics Inc., 130 Turner Street, Building 2, Suite 212, Waltham, Massachusetts 02453, USA. Von uns vorgenommene Datenübertragungen unterliegen einem gruppeninternen Datenverarbeitungsvertrag, der die Standardvertragsklauseln der EU für Auftragsverarbeiter personenbezogener Daten umfasst.

    Für Hosting-Dienste:

    • Amazon Web Services, Inc., 410 Terry Avenue North, Seattle WA 98109, USA. Für jegliche Art von Datenübertragung nutzen wir Datenverarbeitungsverträge, die die Standardvertragsklauseln der EU für Auftragsverarbeiter personenbezogener Daten enthalten.

    Für Wartung:

    • Flexera Software Limited, Malvern House, 14–18 Bell Street, Berkshire, SL6 1BR, England, stellt unseren Kunden Wartungsservices.

    Für fachliche Dienste:

    • Flexera Software GmbH, Paul-Dessau-Straße 8, 22761 Hamburg, für Professional Services.
    11.7 Auf Anforderung des Kunden muss Flexera dem Kunden Informationen zu den Datenschutzpflichten des Unterauftragnehmers zur Verfügung stellen. In jedem Fall muss dies auch die Einräumung des Zugriffs auf die einschlägigen Vertragsdokumente umfassen.
    11.8 Flexera ist verpflichtet, bei Unterauftragnehmern in regelmäßigen Abständen auf Anforderung des Kunden Audits durchzuführen, dabei die Einhaltung des relevanten Datenschutzrechts sowie der dem Unterauftragnehmer auferlegten Pflichten aus dem mit diesem abgeschlossenen Datenverarbeitungsvertrag zu überprüfen. Nur im Falle eines vorliegenden berechtigten Grundes kann der Kunde Flexera anweisen, weitere Audits durchzuführen, die Flexera im zulässigen Maße auszuführen hat.
  4. HAFTUNG

    12.1 Der Kunde und Flexera haften auf Schadenersatz hinsichtlich geschädigter betroffener Personen gemäß einschlägigen Datenschutzrechten, insbesondere Art. 82 DSGVO für personenbezogene Daten nach DSGVO (externe Haftung).
    12.2 Beide Parteien sind berechtigt, von der jeweils anderen Partei den Anteil einer gezahlten Kompensation einzufordern, der dem Anteil der Verantwortlichkeit der entsprechenden Partei hinsichtlich der Ursache des fälligen Schadenersatzes entspricht (interne Haftung).
    12.3 Hinsichtlich der internen Haftung und ohne Auswirkungen auf die externe Haftung gegenüber betroffenen Personen, und sofern nicht im vorliegenden Text Gegenteiliges vermerkt ist, kommen die Parteien überein, dass Flexeras Haftung bei der Bereitstellung der Dienste bei Verstößen gegen die Bestimmungen der vorliegenden Datenverarbeitungsbedingungen den Haftungsbeschränkungen aus der Mastervereinbarung unterliegt.
    12.4 Kein angeschlossenes Unternehmen kann Nutznießer der vorliegenden Datenverarbeitungsbedingungen sein, ohne an sie gebunden zu sein oder die vorliegende Haftungsbeschränkung akzeptiert zu haben.
    12.5 Der Kunde ist verpflichtet, Flexera hinsichtlich jeglicher Art von Verlust schadlos zu halten, dessen Wert die Haftungsbeschränkungen der Mastervereinbarung überschreitet, sofern dieser Verlust Flexera im Zusammenhang mit Ansprüchen entsteht, die von angeschlossenen Unternehmen oder betroffenen Personen auf Basis ihrer Rechte geltend gemacht werden, und die aus einem behaupteten Verstoß gegen geltendes Datenschutzrecht oder die vorliegenden Datenverarbeitungsbedingungen, einschließlich der SVK in der Anlage (soweit zutreffend), erwachsen.
  5. KOSTEN FÜR ZUSÄTZLICHE DIENSTE

    Sofern die Anweisungen des Kunden zu einer Änderung oder Erweiterung der vertraglich vereinbarten Services führt oder falls Flexeras Einhaltung der eigenen Pflichten bezüglich der Unterstützung des Kunden hinsichtlich dessen gesetzlicher Pflichten eine solche Änderung oder Erweiterung nach sich zieht, ist Flexera berechtigt, angemessene Gebühren für derartige Aufgaben zu berechnen. Die Berechnung ergibt sich aus den vertraglich festgelegten Preisen für die Erbringung der Services und/oder ist dem Kunden im Voraus mitzuteilen.


  6. VERTRAGSZEITRAUM

  7. Die Bestandsdauer der vorliegenden Datenverarbeitungsbedingungen entspricht der der Mastervereinbarung. Der Vertragszeitrum beginnt und endet mit der Bereitstellung der Dienste gemäß der Mastervereinbarung, soweit nichts Gegenteiliges in den Bestimmungen der vorliegenden Datenverarbeitungsbedingungen aufgeführt ist.


  8. ÄNDERUNGEN

  9. Flexera ist berechtigt, die vorliegenden Datenverarbeitungsbedingungen zu ändern oder zu ergänzen, sofern (i) Flexera dies von einer Aufsichtsbehörde oder sonstigen Behörde bzw. Aufsichtskörperschaft auferlegt wurde, (ii) dies erforderlich ist, um geltendes Datenschutzrecht einzuhalten, (iii) dies erforderlich ist, um von der EU-Kommission festgelegte Standardvertragsklauseln der EU für Auftragsverarbeiter personenbezogener Daten umzusetzen (soweit zutreffend), oder (iv) dies erforderlich ist, um einem allgemein anerkannten Verhaltenskodex oder Zertifizierungssystem zu entsprechen, der/das nach Art. 40, 42 und 43 DSGVO oder dem geltenden Datenschutzrecht anerkannt oder zertifiziert ist. Eine derartige Änderung bzw. Ergänzung muss dem Kunden gegenüber bekanntgegeben werden. Der Kunde ist gehalten, Flexera umgehend davon in Kenntnis zu setzen, wenn er mit einer entsprechenden Änderung oder Ergänzung nicht einverstanden ist. In diesem Fall ist Flexera berechtigt, die Mastervereinbarung schriftlich mit einer Frist von zwei (2) Wochen zu kündigen. Ist der Kunde nicht mit Änderungen einverstanden und kündigt Flexera in diesem Fall den Vertrag, so steht Flexera eine anteilige Zahlung für bis zum Ende des Vertrags geleistete zu, sofern das fehlende Einverständnis des Kunden nicht darauf beruht, dass die Änderungen bzw. Ergänzungen gegen geltendes Datenschutzrecht verstoßen.


  10. SCHRIFTFORM

  11. Alle ergänzenden Verträge zu den vorliegenden Datenverarbeitungsbedingungen sowie Änderungen oder Ergänzungen derselben oder der unter den Bedingungen geleisteten Dienste einschließlich des vorliegenden Abschn. 16 bedürfen der Schriftform.


  12. GELTENDES RECHT

  13. Die vorliegenden Datenverarbeitungsbedingungen unterliegen dem Recht des Standorts, an dem der Kunde firmiert, soweit in Klausel 7 SVK nichts Gegenteiliges angegeben ist.


  14. VERSCHIEDENES

    18.1 Hinsichtlich sämtlicher Rechtsfragen, die im Zusammenhang mit der Verarbeitung personenbezogener Daten oder aus dieser erwachsen, haben die vorliegenden Datenverarbeitungsbedingungen Vorrang vor allen anderen Verträgen zwischen den Parteien.
    18.2 Für den Fall, dass eine Klausel der Mastervereinbarung gegen die DSGVO, das CCPA oder eine sonstige geltende Datenschutzrechte verstößt, verpflichten sich die Parteien, gemeinsam eine Anpassung der Mastervereinbarung in dem Maße herbeizuführen, das erforderlich ist, um eine nicht der DSGVO zuwiderlaufende Datenverarbeitung sicherzustellen.

Anlage – Standardvertragsklauseln der EU für die Auftragsverarbeitung personenbezogener Daten

Standardvertragsklauseln der EU für die Auftragsverarbeitung personenbezogener Daten

Im Sinne von Artikel 26 (2) der Richtlinie 95/46/EG hinsichtlich der Übermittlung personenbezogener Daten an für die Verarbeitung Verantwortliche in Drittländern, die kein angemessenes Datenschutzniveau gewährleisten.

Der Kunde und/oder seine angeschlossenen Unternehmen werden im Anschluss als „Datenexporteur“ bezeichnet, soweit es um personenbezogene Daten geht, die von diesen Parteien zur Verfügung gestellt werden.

Flexera wir im Anschluss als „Datenimporteur“ bezeichnet.

Die Datenexporteure und der Datenimporteur – gemeinsam die „Parteien“ (jeder für sich je eine „Partei“) – SIND ÜBEREINGEKOMMEN, folgende Vertragsklauseln (die „Klauseln“) anzunehmen, um adäquate Sicherheitsmaßnahmen hinsichtlich Datenschutz und Grundrechten bzw. -freiheiten natürlicher Personen sicherzustellen, wenn der Datenexporteur an den Datenimporteur personenbezogene Daten entsprechend Anhang 1 übermittelt.

Klausel 1

Definitionen

Im Rahmen der Klauseln gelten folgende Definitionen:

(a) Die Ausdrücke „Personenbezogene Daten“, „besondere Datenkategorien“, „Verarbeiten/Verarbeitung“, „für die Verarbeitung Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Kontrollstelle“ entsprechen den Begriffsbestimmungen der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr;
(b) der „Datenexporteur“ ist der für die Verarbeitung Verantwortliche, der die personenbezogenen Daten übermittelt;
(c) der „Datenimporteur“ ist der Auftragsverarbeiter, der sich bereit erklärt, vom Datenexporteur personenbezogene Daten entgegenzunehmen und sie nach der Übermittlung nach dessen Anweisungen und den Bestimmungen der Klauseln in dessen Auftrag zu verarbeiten und der nicht einem System eines Drittlandes unterliegt, das angemessenen Schutz im Sinne von Artikel 25 Absatz 1 der Richtlinie 95/46/EG gewährleistet;
(d) der „Unterauftragsverarbeiter“ ist der Auftragsverarbeiter, der im Auftrag des Datenimporteurs oder eines anderen Unterauftragsverarbeiters des Datenimporteurs tätig ist und sich bereit erklärt, vom Datenimporteur oder von einem anderen Unterauftragsverarbeiter des Datenimporteurs personenbezogene Daten ausschließlich zu dem Zweck entgegenzunehmen, diese nach der Übermittlung im Auftrag des Datenexporteurs nach dessen Anweisungen, den Klauseln und den Bestimmungen des schriftlichen Unterauftrags zu verarbeiten;
(e) der Begriff „anwendbares Datenschutzrecht“ bezeichnet die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten der Personen, insbesondere des Rechts auf Schutz der Privatsphäre bei der Verarbeitung personenbezogener Daten, die in dem Mitgliedstaat, in dem der Datenexporteur niedergelassen ist, auf den für die Verarbeitung Verantwortlichen anzuwenden sind;
(f) die „technischen und organisatorischen Sicherheitsmaßnahmen“ sind die Maßnahmen, die personenbezogene Daten vor der zufälligen oder unrechtmäßigen Zerstörung, dem zufälligen Verlust, der Änderung, der unberechtigten Weitergabe oder dem unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung der Daten über ein Netzwerk umfasst, und vor jeder anderen Form der unrechtmäßigen Verarbeitung schützen sollen.

Klausel 2

Einzelheiten der Übermittlung

Die Einzelheiten der Übermittlung, insbesondere die besonderen Kategorien personenbezogener Daten, sofern vorhanden, werden in Anhang 1 erläutert, der Bestandteil dieser Klauseln ist.

Klausel 3

Drittbegünstigtenklausel

1. Die betroffenen Personen können diese Klausel sowie Klausel 4 Buchstaben b bis i, Klausel 5 Buchstaben a bis e und g bis j, Klausel 6 Absätze 1 und 2, Klausel 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Datenexporteur als Drittbegünstigte geltend machen.
2. Die betroffene Person kann diese Klausel, Klausel 5 Buchstaben a bis e und g, die Klauseln 6 und 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Datenimporteur geltend machen, wenn das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht, es sei denn, ein Rechtsnachfolger hat durch einen Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in letzterem Fall kann die betroffene Person die Klauseln gegenüber dem Rechtsnachfolger als Träger sämtlicher Rechte und Pflichten des Datenexporteurs geltend machen.
3. Die betroffene Person kann diese Klausel, Klausel 5 Buchstaben a bis e und g, die Klauseln 6 und 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Unterauftragsverarbeiter geltend machen, wenn sowohl das Unternehmen des Datenexporteurs als auch das des Datenimporteurs faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind, es sei denn, ein Rechtsnachfolger hat durch einen Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in letzterem Fall kann die betroffene Person die Klauseln gegenüber dem Rechtsnachfolger als Träger sämtlicher Rechte und Pflichten des Datenexporteurs geltend machen. Eine solche Haftpflicht des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach den Klauseln beschränkt.
4. Die Parteien haben keine Einwände dagegen, dass die betroffene Person, sofern sie dies ausdrücklich wünscht und das nationale Recht dies zulässt, durch eine Vereinigung oder sonstige Einrichtung vertreten wird.

Klausel 4

Pflichten des Datenexporteurs

Der Datenexporteur erklärt sich bereit und garantiert, dass:

(a) die Verarbeitung der personenbezogenen Daten einschließlich der Übermittlung entsprechend den einschlägigen Bestimmungen des anwendbaren Datenschutzrechts durchgeführt wurde und auch weiterhin so durchgeführt wird (und gegebenenfalls den zuständigen Behörden des Mitgliedstaats mitgeteilt wurde, in dem der Datenexporteur niedergelassen ist) und nicht gegen die einschlägigen Vorschriften dieses Staates verstößt;
(b) er den Datenimporteur angewiesen hat und während der gesamten Dauer der Datenverarbeitungsdienste anweisen wird, die übermittelten personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dem anwendbaren Datenschutzrecht und den Klauseln zu verarbeiten;
(c) der Datenimporteur hinreichende Garantien bietet in Bezug auf die in Anhang 2 zu diesem Vertrag beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen;
(d) die Sicherheitsmaßnahmen unter Berücksichtigung der Anforderungen des anwendbaren Datenschutzrechts, des Standes der Technik, der bei ihrer Durchführung entstehenden Kosten, der von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten hinreichend gewährleisten, dass personenbezogene Daten vor der zufälligen oder unrechtmäßigen Zerstörung, dem zufälligem Verlust, der Änderung, der unberechtigten Weitergabe oder dem unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung der Daten über ein Netzwerk umfasst, und vor jeder anderen Form der unrechtmäßigen Verarbeitung geschützt sind;
(e) er für die Einhaltung dieser Sicherheitsmaßnahmen sorgt;
(f) die betroffene Person bei der Übermittlung besonderer Datenkategorien vor oder sobald wie möglich nach der Übermittlung davon in Kenntnis gesetzt worden ist oder gesetzt wird, dass ihre Daten in ein Drittland übermittelt werden könnten, das kein angemessenes Schutzniveau im Sinne der Richtlinie 95/46/EG bietet;
(g) er die gemäß Klausel 5 Buchstabe b sowie Klausel 8 Absatz 3 vom Datenimporteur oder von einem Unterauftragsverarbeiter erhaltene Mitteilung an die Kontrollstelle weiterleitet, wenn der Datenexporteur beschließt, die Übermittlung fortzusetzen oder die Aussetzung aufzuheben;
(h) er den betroffenen Personen auf Anfrage eine Kopie der Klauseln mit Ausnahme von Anhang 2 sowie eine allgemeine Beschreibung der Sicherheitsmaßnahmen zur Verfügung stellt; außerdem stellt er ihnen gegebenenfalls die Kopie des Vertrags über Datenverarbeitungsdienste zur Verfügung, der gemäß den Klauseln an einen Unterauftragsverarbeiter vergeben wurde, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall können solche Geschäftsinformationen herausgenommen werden;
(i) bei der Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter die Verarbeitung gemäß Klausel 11 erfolgt und die personenbezogenen Daten und die Rechte der betroffenen Person mindestens ebenso geschützt sind, wie vom Datenimporteur nach diesen Klauseln verlangt; und
(j) er für die Einhaltung der Klausel 4 Buchstaben a bis i sorgt.

Klausel 5

Pflichten des Datenimporteurs

Der Datenimporteur erklärt sich bereit und garantiert, dass:

(a) er die personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dessen Anweisungen und den vorliegenden Klauseln verarbeitet; dass er sich, falls er dies aus irgendwelchen Gründen nicht einhalten kann, bereit erklärt, den Datenexporteur unverzüglich davon in Kenntnis zu setzen, der unter diesen Umständen berechtigt ist, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten;
(b) er seines Wissens keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs und die Einhaltung seiner vertraglichen Pflichten unmöglich machen, und eine Gesetzesänderung, die sich voraussichtlich sehr nachteilig auf die Garantien und Pflichten auswirkt, die die Klauseln bieten sollen, dem Datenexporteur mitteilen wird, sobald er von einer solchen Änderung Kenntnis erhält; unter diesen Umständen ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten;
(c) er vor der Verarbeitung der übermittelten personenbezogenen Daten die in Anhang 2 beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen ergriffen hat;
(d) er den Datenexporteur unverzüglich informiert über
(i) alle rechtlich bindenden Aufforderungen einer Vollstreckungsbehörde zur Weitergabe der personenbezogenen Daten, es sei denn, dies wäre anderweitig untersagt, beispielsweise durch ein strafrechtliches Verbot zur Wahrung des Untersuchungsgeheimnisses bei strafrechtlichen Ermittlungen;
(ii) jeden zufälligen oder unberechtigten Zugang und
(iii) alle Anfragen, die direkt von den betroffenen Personen an ihn gerichtet werden, ohne diese zu beantworten, es sei denn, er wäre anderweitig dazu berechtigt;
(e) er alle Anfragen des Datenexporteurs im Zusammenhang mit der Verarbeitung der übermittelten personenbezogenen Daten durch den Datenexporteur unverzüglich und ordnungsgemäß bearbeitet und die Ratschläge der Kontrollstelle im Hinblick auf die Verarbeitung der übermittelten Daten befolgt;
(f) er auf Verlangen des Datenexporteurs seine für die Verarbeitung erforderlichen Datenverarbeitungseinrichtungen zur Prüfung der unter die Klauseln fallenden Verarbeitungstätigkeiten zur Verfügung stellt. Die Prüfung kann vom Datenexporteur oder einem vom Datenexporteur ggf. in Absprache mit der Aufsichtsbehörde ausgewählten Prüfgremium durchgeführt werden, dessen Mitglieder unabhängig sind, über die erforderlichen Qualifikationen verfügen und zur Vertraulichkeit verpflichtet sind;
(g) er den betroffenen Personen auf Anfrage eine Kopie der Klauseln und gegebenenfalls einen bestehenden Vertrag über die Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter zur Verfügung stellt, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall können solche Geschäftsinformationen herausgenommen werden; Anhang 2 wird durch eine allgemeine Beschreibung der Sicherheitsmaßnahmen ersetzt, wenn die betroffene Person vom Datenexporteur keine solche Kopie erhalten kann;
(h) er bei der Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter den Datenexporteur vorher benachrichtigt und seine vorherige schriftliche Einwilligung eingeholt hat;
(i) der Unterauftragsverarbeiter die Datenverarbeitungsdienste in Übereinstimmung mit Klausel 11 erbringt;
(j) er dem Datenexporteur unverzüglich eine Kopie des Unterauftrags über die Datenverarbeitung zuschickt, den er nach den Klauseln geschlossen hat.

Klausel 6

Haftung

1. Die Parteien vereinbaren, dass jede betroffene Person, die durch eine Verletzung der in Klausel 3 oder 11 genannten Pflichten durch eine Partei oder den Unterauftragsverarbeiter Schaden erlitten hat, berechtigt ist, vom Datenexporteur Schadenersatz für den erlittenen Schaden zu erlangen.
2. Ist die betroffene Person nicht in der Lage, gemäß Absatz 1 gegenüber dem Datenexporteur wegen Verstoßes des Datenimporteurs oder seines Unterauftragsverarbeiters gegen in den Klauseln 3 und 11 genannte Pflichten Schadenersatzansprüche geltend zu machen, weil das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist, ist der Datenimporteur damit einverstanden, dass die betroffene Person Ansprüche gegenüber ihm statt gegenüber dem Datenexporteur geltend macht, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in diesem Fall kann die betroffene Person ihre Ansprüche gegenüber dem Rechtsnachfolger geltend machen.

Der Datenimporteur kann sich seiner Haftung nicht entziehen, indem er sich auf die Verantwortung des Unterauftragsverarbeiters für einen Verstoß beruft.
3. Ist die betroffene Person nicht in der Lage, gemäß den Absätzen 1 und 2 gegenüber dem Datenexporteur oder dem Datenimporteur wegen Verstoßes des Unterauftragsverarbeiters gegen in den Klauseln 3 und 11 aufgeführte Pflichten Ansprüche geltend zu machen, weil sowohl das Unternehmen des Datenexporteurs als auch das des Datenimporteurs faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind, ist der Unterauftragsverarbeiter damit einverstanden, dass die betroffene Person im Zusammenhang mit seinen Datenverarbeitungstätigkeiten aufgrund der Klauseln gegenüber ihm statt gegenüber dem Datenexporteur oder dem Datenimporteur einen Anspruch geltend machen kann, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs oder des Datenimporteurs übernommen; in diesem Fall kann die betroffene Person ihre Ansprüche gegenüber dem Rechtsnachfolger geltend machen. Eine solche Haftung des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach diesen Klauseln beschränkt.

Klausel 7

Schlichtungsverfahren und Gerichtsstand

1. Für den Fall, dass eine betroffene Person gegenüber dem Datenimporteur Rechte als Drittbegünstigte und/oder Schadenersatzansprüche aufgrund der Vertragsklauseln geltend macht, erklärt sich der Datenimporteur bereit, die Entscheidung der betroffenen Person zu akzeptieren, und zwar entweder:
(a) die Angelegenheit in einem Schlichtungsverfahren durch eine unabhängige Person oder gegebenenfalls durch die Kontrollstelle beizulegen oder
(b) die Gerichte des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, mit dem Streitfall zu befassen.
2. Die Parteien vereinbaren, dass die Entscheidung der betroffenen Person nicht die materiellen Rechte oder Verfahrensrechte dieser Person, nach anderen Bestimmungen des nationalen oder internationalen Rechts Rechtsbehelfe einzulegen, berührt.

Klausel 8

Zusammenarbeit mit Kontrollstellen

1. Der Datenexporteur erklärt sich bereit, eine Kopie dieses Vertrags bei der Kontrollstelle zu hinterlegen, wenn diese es verlangt oder das anwendbare Datenschutzrecht es so vorsieht.
2. Die Parteien vereinbaren, dass die Kontrollstelle befugt ist, den Datenimporteur und etwaige Unterauftragsverarbeiter im gleichen Maße und unter denselben Bedingungen einer Prüfung zu unterziehen, unter denen die Kontrollstelle gemäß dem anwendbaren Datenschutzrecht auch den Datenexporteur prüfen müsste.
3. Der Datenimporteur setzt den Datenexporteur unverzüglich über Rechtsvorschriften in Kenntnis, die für ihn oder etwaige Unterauftragsverarbeiter gelten und eine Prüfung des Datenimporteurs oder von Unterauftragsverarbeitern gemäß Absatz 2 verhindern. In diesem Fall ist der Datenexporteur berechtigt, die in Klausel 5 Buchstabe b vorgesehenen Maßnahmen zu ergreifen.

Klausel 9

Anwendbares Recht

Für diese Klauseln gilt das Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.

Klausel 10

Änderung des Vertrags

Die Parteien verpflichten sich, die Klauseln nicht zu verändern. Es steht den Parteien allerdings frei, erforderlichenfalls weitere, geschäftsbezogene Klauseln aufzunehmen, sofern diese nicht im Widerspruch zu der Klausel stehen.

Klausel 11

Verarbeitung durch Unterauftragnehmer

1. Der Datenimporteur darf ohne die vorherige schriftliche Einwilligung des Datenexporteurs keinen nach den Klauseln auszuführenden Verarbeitungsauftrag dieses Datenexporteurs an einen Unterauftragnehmer vergeben. Vergibt der Datenimporteur mit Einwilligung des Datenexporteurs Unteraufträge, die den Pflichten der Klauseln unterliegen, ist dies nur im Wege einer schriftlichen Vereinbarung mit dem Unterauftragsverarbeiter möglich, die diesem die gleichen Pflichten auferlegt, die auch der Datenimporteur nach den Klauseln erfüllen muss. (Diese Anforderung kann erfüllt sein, wenn der Unterauftragsverarbeiter den Vertrag zwischen Datenexporteur und Datenimporteur, der auf den AGB des vorliegenden Vertrags aufbaut, ebenfalls unterzeichnet.) Sollte der Unterauftragsverarbeiter seinen Datenschutzpflichten nach der schriftlichen Vereinbarung nicht nachkommen, bleibt der Datenimporteur gegenüber dem Datenexporteur für die Erfüllung der Pflichten des Unterauftragsverarbeiters nach der Vereinbarung uneingeschränkt verantwortlich.
2. Die vorherige schriftliche Vereinbarung zwischen dem Datenimporteur und dem Unterauftragsverarbeiter muss gemäß Klausel 3 auch eine Drittbegünstigtenklausel für Fälle enthalten, in denen die betroffene Person nicht in der Lage ist, einen Schadenersatzanspruch gemäß Klausel 6 Absatz 1 gegenüber dem Datenexporteur oder dem Datenimporteur geltend zu machen, weil diese faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind und kein Rechtsnachfolger durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs oder des Datenimporteurs übernommen hat. Eine solche Haftpflicht des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach den Klauseln beschränkt.
3. Für Datenschutzbestimmungen im Zusammenhang mit der Vergabe von Unteraufträgen über die Datenverarbeitung gemäß Absatz 1 gilt das Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.
4. Der Datenexporteur führt ein mindestens einmal jährlich zu aktualisierendes Verzeichnis der mit Unterauftragsverarbeitern nach den Klauseln geschlossenen Vereinbarungen, die vom Datenimporteur nach Klausel 5 Buchstabe j übermittelt wurden. Das Verzeichnis wird der Kontrollstelle des Datenexporteurs bereitgestellt.

Klausel 12

Pflichten nach Beendigung der Datenverarbeitungsdienste

1. Die Parteien vereinbaren, dass der Datenimporteur und der Unterauftragsverarbeiter bei Beendigung der Datenverarbeitungsdienste je nach Wunsch des Datenexporteurs alle übermittelten personenbezogenen Daten und deren Kopien an den Datenexporteur zurückschicken oder alle personenbezogenen Daten zerstören und dem Datenexporteur bescheinigen, dass dies erfolgt ist, sofern die Gesetzgebung, der der Datenimporteur unterliegt, diesem die Rückübermittlung oder Zerstörung sämtlicher oder Teile der übermittelten personenbezogenen Daten nicht untersagt. In diesem Fall garantiert der Datenimporteur, dass er die Vertraulichkeit der übermittelten personenbezogenen Daten gewährleistet und diese Daten nicht mehr aktiv weiterverarbeitet.
2. Der Datenimporteur und der Unterauftragsverarbeiter garantieren, dass sie auf Verlangen des Datenexporteurs und/oder der Kontrollstelle ihre Datenverarbeitungseinrichtungen zur Prüfung der in Absatz 1 genannten Maßnahmen zur Verfügung stellen.

ANHANG 1 ZU DEN STANDARDVERTRAGSKLAUSELN

Datenexporteur

Die Datenexporteure sind die Anwender von Flexeras Produkten, wie in der Mastervereinbarung definiert.

Datenimporteur

Der Datenimporteur ist ein Softwareunternehmen, das Flexeras Monetarisierungs- und Sicherheitslösungen anbietet und Softwarevertreibern dabei hilft, ihre Geschäftsmodelle zu transformieren, wiederkehrende Umsätze zu erhöhen und das Open-Source-Risiko zu minimieren. Flexeras Lösungen für Software Asset Management (SAM) und Vulnerability Management reduzieren unnötige Kosten und Ungewissheit beim Kauf von Anwendungen und unterstützen Unternehmen dabei, zielgerichtet nur die benötigten Software- und Cloudservices zu erwerben, vorhandene Software zu verwalten und Risiken im Zusammenhang mit Lizenzcompliance und Sicherheit zu minimieren. Viele der Services werden als SaaS angeboten, aber manche Softwarelösungen sind auch als On-Premise-Modell mit zugehörigem Wartungsplan verfügbar.

Betroffene Personen

Mitarbeiter, Auftragnehmer, Vertreter usw. des Datenexporteurs, Mitarbeiter der Auftragnehmer, Vertreter usw. von Auftragnehmern des Datenexporteurs bzw. angeschlossenen Unternehmens sowie die Mitarbeiter von Kunden des Datenexporteurs oder angeschlossenen Unternehmens, als auch die Mitarbeiter von deren Auftragnehmern, Vertretern usw.

Bei Bereitstellung eines Wartungsplans: Jegliche Art personenbezogener Daten, die am Standort des Kunden gespeichert sind.

Datenkategorien

Namen, Benutzernamen, Benutzer-IDs, geschäftliche und persönliche Adressen, Telefonnummern, Abteilungen, E-Mail-Adressen und IP-Adressen, Computer- oder Gerätenamen, Ethernet-MAC-Adressen, Hostnamen, berechnete Benutzer, Kontonamen, Seriennummern, UUIDs virtueller Maschinen, Hardware-Dongle-IDs, Zeitzonen, Namen unter Active Directory, FQDNs, WLAN-SSIDs, Verortungsdaten.

Bei Bereitstellung eines Wartungsplans: Alle Arten betroffener Personen:

Besondere Datenkategorien (soweit zutreffend)

Die übertragenen personenbezogenen Daten betreffen die folgenden besonderen Datenkategorien (bitte angeben):

Keine.

Verarbeitungstätigkeiten

Die oben aufgeführten Daten werden ausschließlich verarbeitet, um Software-as-a-Service (SaaS) und/oder einen Wartungsplan bereitzustellen, wie in der Mastervereinbarung genauer erläutert. Genauer gesagt wird die Verarbeitung im Allgemeinen auf Folgendes beschränkt: (i) das Speichern/Verarbeiten bestimmter eingeschränkter personenbezogener Daten des Kunden auf einem Server, wobei der Zugriff im Einzelfall im Rahmen des Bereitstellens der SaaS-Services nach der Mastervereinbarung erfolgt und/oder (ii) den Einzelfallzugriff auf konkrete eingeschränkte personenbezogene Daten des Kunden, die auf den Servern des Datenexporteurs gespeichert sind, wenn Wartungsservices bei On-Premise-Lösungen nach der Mastervereinbarung erbracht werden. Bei der Bereitstellung von Complianceprüfungsservices ist der Zugriff auf personenbezogene Daten des Kunden jedoch auch dem Datenauswertungs- und Supportteam gestattet, dies der Bereitstellung der Services nach der Mastervereinbarung dient. Bei Wartungen an Standortlösungen, sind Zugriff oder Verarbeitung der personenbezogenen Daten des Kunden nicht vorgesehen, es kann jedoch im Einzelfall nicht vollständig ausgeschlossen werden, dass ein Zugriff auf Daten erfolgt, die am Standort des Kunden gespeichert sind.

ANHANG 2 ZU DEN STANDARDVERTRAGSKLAUSELN

Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, die vom Datenimporteur gemäß Klauseln 4(d) und 5(c) umgesetzt werden (oder beigefügtes Dokument/Rechtsinstitut):

Unterauftragsverarbeiter sind verpflichtet, ähnliche, jedoch nicht zwingend identische organisatorische Sicherheitsmaßnahmen umzusetzen, deren Datensicherheitsgrad jedoch nicht geringer ausfallen darf, als im vorliegenden Text dargelegt. Allfällige organisatorische Sicherheitsmaßnahmen unterliegen Änderungen aufgrund der Weiterentwicklung technischer Standards und können entsprechend angepasst werden. Auf Anforderung wird der Datenimporteur dem Datenexporteur eine Beschreibung der zum Anforderungszeitpunkt aktuellen Maßnahmen zur Verfügung stellen.

1. Pseudonymisierung und Verschlüsselung, Art. 32 Abs. 1 a DSGVO
Die Pseudonymisierung umfasst Maßnahmen, die es ermöglichen, personenbezogene Daten derart zu verarbeiten, dass diese Daten keiner konkreten betroffenen Person ohne zusätzliche Informationen zugeordnet werden können, wobei vorausgesetzt wird, dass diese zusätzlichen Informationen separat gespeichert werden und ebenfalls von angemessenen technischen und organisatorischen Maßnahmen abgesichert sind. Die Verschlüsselung umfasst Maßnahmen, um in Klartext lesbare Informationen über einen kryptografischen Vorgang in eine unleserliche Zeichenfolge umzuwandeln.
2. Die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Services im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen, Art. 32 Abs. 1 b DSGVO
Vertraulichkeit und Integrität werden durch die sichere Verarbeitung personenbezogener Daten sichergestellt, einschließlich des Schutzes vor unautorisierter oder rechtswidriger Verarbeitung und vor zufälligem Verlust, Zerstörung oder Schaden.
2.1 Vertraulichkeit
2.1.1 Physische Zugriffskontrolle

Maßnahmen, die nicht autorisierte Personen davon abhalten, Zugriff auf die Datenverarbeitungssysteme zu erhalten, auf denen die personenbezogenen Daten verarbeitet oder verwendet werden.

  • Physische Zugriffskontrollysteme
  • Definition autorisierter Personen und Handhabung sowie Dokumentation der einzelnen Autorisierungen
  • Kontrolle von Besuchern und externen Mitarbeitern
  • Überwachen aller Einrichtungen, in denen sich IT-Systeme befinden
  • Protokollierung physischer Zugriffe
2.1.2 Systemische/elektronische Zugriffskontrolle

Maßnahmen, die verhindern, dass Datenverarbeitungssysteme ohne Befugnis verwendet werden.

  • Benutzerauthentifizierung über einfache Authentifizierungsmethoden (Benutzername/Passwort)
  • Sichere Übertragung von Anmeldeinformationen in Netzwerken (mit TSL und SSL)
  • Automatische Kontensperre
  • Richtlinien zur Handhabung von Passwörtern
  • Definition nicht autorisierter Personen
  • Management der Authentifizierungsmethoden
  • Zugriffskontrolle auf die Infrastruktur, die von einem Cloud-Serviceprovider gehostet wird
2.1.3 Interne Zugriffskontrolle

Maßnahmen, die sicherstellen, dass Personen, die die Berechtigung besitzen, ein Datenverarbeitungssystem zu verwenden, nur auf Daten zugreifen können, für die sie zugriffsberechtigt sind. Die Maßnahmen stellen darüber hinaus sicher, dass personenbezogene Daten während ihrer Nutzung oder Speicherung nicht ohne Berechtigung gelesen, kopiert, geändert oder entfernt werden können.

  • Automatische und manuelle Sperren
  • Management von Zugriffsrechten
  • Management von Zugriffsrechten einschließlich Autorisierungskonzept, Umsetzung von Zugriffsbeschränkungen, Umsetzung des „Need-to-Know“-Prinzips (Kenntnis nur bei Bedarf), Management individueller Zugriffsrechte.
2.1.4 Isolierungs-/Trennungssteuerung

Maßnahmen, die sicherstellen, dass für unterschiedliche Zwecke erfasste Daten separat verarbeitet (Speicherung, Änderung, Löschung, Übertragung) werden können

  • Trennung von Netzwerken
  • Abgrenzung von Zuständigkeiten und Pflichten
  • Dokumentation von Verfahren und Anwendungen für die Trennung
2.1.5 Auftragskontrolle

Maßnahmen, die sicherstellen, dass personenbezogene Daten bei ihrer Verarbeitung im Auftrag anderer Parteien exakt nach den Anweisungen des Auftragsgebers verarbeitet werden.

  • Training und Geheimhaltungsverträge für interne und externe Mitarbeiter
2.2 Integrität
2.2.1 Datenübertragungskontrolle

Maßnahmen, die sicherstellen, dass personenbezogene Daten bei elektronischer Übertragung oder Transporten nicht ohne Autorisierung gelesen, kopiert, geändert oder entfernt werden können. Die Maßnahmen müssen darüber hinaus auch sicherstellen, dass es möglich ist, zu überprüfen und festzustellen, an welche Körperschaften die Übertragung personenbezogener Daten vorgesehen ist.

  • Sichere Übertragung zwischen Client und Server sowie auf externe Systeme dank Verschlüsselung entsprechend dem Branchenstandard
  • Sichere Verbindungen zwischen Netzwerken dank Firewalls usw.
  • Protokollierung von Datenübertragungen vom IT-System, in dem personenbezogene Daten gespeichert oder verarbeitet werden
2.2.2 Dateneingabekontrolle

Maßnahmen, die sicherstellen, dass es möglich ist, festzustellen, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, dort geändert oder aus ihnen entfernt wurden.

  • Protokollierung der Authentifizierung sowie überwachter logischer Systemzugriff
  • Protokollierung von Datenzugriffen, insbesondere hinsichtlich Zugriff auf sowie Änderung, Eingabe und Löschung von Daten
  • Dokumentation zu Dateneingabeberechtigungen und partielle Protokollierung von Eingaben mit Sicherheitsbezug.
2.3 Verfügbarkeit und Belastbarkeit der Systeme und Dienste

Verfügbarkeit umfasst Maßnahmen, die sicherstellen, dass personenbezogene Daten vor zufälliger Vernichtung oder Untergang aufgrund interner oder externer Faktoren geschützt sind. Belastbarkeit der Systeme und Dienste umfasst Maßnahmen, die sicherstellen, dass Systeme Angriffen widerstehen und ihr Betrieb nach Angriffen schnell wiederhergestellt werden können.

  • Sicherungslösung auf Magnetbandbasis
  • Umsetzung von Transportrichtlinien
  • Sicherungskonzept
  • Schutz gespeicherter Sicherungsdaten
3. Die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen, Art. 32 Abs. 1 c) DSGVO

Organisatorische Maßnahmen, die es ermöglichen, das System oder Daten im Falle eines physischen oder technischen Zwischenfalls schnell wiederherzustellen.

  • Fortbestandsplanung (Zeitvorgabe für die Wiederherstellung)
4. Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung, Art. 32 Abs. 1 d) DSGVO

Organisatorische Maßnahmen, die sicherstellen, dass eine regelmäßige Überprüfung und Evaluierung technischer und organisatorischer Maßnahmen erfolgt.

  • Testen von Notfallausrüstung
  • Dokumentation zu Schnittstellen und persönlichen Datenfelder
  • Interne Evaluierungen