Datenverarbeitungsvertrag – EU-Kunden

Nachfolgend finden Sie den Vertrag „Flexera Data Processing Amendment (DPA)“ für Services, die Flexera für EU-Kunden anbietet.


Lesen und unterzeichnen Sie den Vertrag „Flexera Data Processing Amendment“ (DPA) für Services von Flexera Software Limited für EU-Kunden. Sie können diesen Datenverarbeitungsvertrag auch herunterladen, wenn Sie ihn lieber ausdrucken und unterzeichnen möchten.

Allgemeine Geschäftsbedingungen der Datenverarbeitung

(im weiteren Text als „Datenverarbeitungsbedingungen“ bezeichnet)
von

  1. Flexera Software Limited, Malvern House, 14-18 Bell Street,
    Maidenhead, Berkshire SL6 1BR, Großbritannien

– im weiteren Text als „Flexera“ bezeichnet –

und

  1. Flexeras Kunden, die den Vorgaben der europäischen Datenschutz-Grundverordnung (DGSVO) unterliegen, sowie Tochtergesellschaften, die der DGSVO unterliegen und Leistungsberechtigte nach der Mastervereinbarung sind

– im weiteren Text als „Kunde“ bezeichnet –

– Flexera und der Kunde gemeinsam werden im weiteren Verlauf als „Parteien“, und individuell als „Party“ bezeichnet –

PRÄAMBEL

Flexera ist ein Softwareunternehmen, das Software as a Service („SaaS“) für Lizenzmanagement und/oder Wartungsdienste anbietet (im weiteren Verlauf als „Dienste“ bezeichnet). Das Angebot der Dienste unterliegt den Bestimmungen des Softwarelizenz- und Dienstvertrags einschließlich aller zugehörigen Dienstverträge, die zwischen den Parteien abgeschlossen wurden (zusammenfassend „Mastervereinbarung“). Im Rahmen der bereitgestellten Dienste wird Flexera personenbezogene Daten entsprechend den Bestimmungen von Art. 4 Nr. 1 und 2 der Datenschutz-Grundverordnung (Verordnung 2016/679 – „DSGVO“) des Kunden und angeschlossener Unternehmen des Kunden in der Europäischen Union bzw. dem Europäischen Wirtschaftsraum verarbeiten („personenbezogene Daten des Kunden“).

Die vorliegenden Datenverarbeitungsbedingungen regeln die Datenschutzpflichten der Parteien hinsichtlich der Verarbeitung der personenbezogenen Daten des Kunden unter der Mastervereinbarung. Sie sollen in zumutbaren Maße sicherstellen, dass eine derartige Datenverarbeitung nur im Namen des Kunden und gemäß seinen Anweisungen erfolgt, wobei auch stets die Vorgaben der Art. 28 und 29 DSGVO einzuhalten sind.

DEFINITIONEN

Angeschlossenes Unternehmen“ ist jedes Tochterunternehmen des Kunden, das gemäß der Mastervereinbarung oder auf dieser fußenden Bestellungen Leistungsberechtigter ist.
Geltendes Recht“ ist die Gesamtheit aller Rechtsnormen, Gesetze und Verordnungen, die für die Leistungserbringung beider Parteien im Rahmen der Datenverarbeitungsbedingungen einschlägig sind. Dies umfasst insbesondere auch solche Rechtsnormen, Gesetze und Verordnungen, die sich auf die Verarbeitung personenbezogener Daten auswirken. Im engeren Sinne sind dies die DSGVO und alle nationalen Gesetze, die rechtmäßig die geltenden Regeln zur Verarbeitung personenbezogener Daten ändern.
Ein „europäischer Staat“ sind alle dem Europäischen Wirtschaftsraum angehörigen Länder (die Mitgliedsstaaten der Europäischen Union sowie Island, Norwegen und Liechtenstein) sowie Großbritannien und die Schweiz.
Anweisung“ steht für jede Art dokumentierter Anweisung, die der Kunde gegenüber Flexera erlässt, und mit der Flexera dazu angehalten wird, eine konkrete Handlung hinsichtlich personenbezogener Daten durchzuführen. Dies umfasst insbesondere auch das Berichtigen und Löschen personenbezogener Daten sowie das Einschränken der Verarbeitung derselben. Anweisungen sind zunächst in der Mastervereinbarung aufzuführen, und zwar unter Abschn. 2 und Anhang A. Sie können im weiteren Vertragszeitraum vom Kunden angepasst, ergänzt oder ersetzt werden, was separate Anweisungen in Schriftform erfordert. Darüber hinaus müssen derartige Anpassungen, Ergänzungen oder Ersetzungen im Rahmen des vereinbarten Dienstumfangs liegen. Anweisungen, die erlassen wurden, um gesetzlichen Ansprüchen gemäß der DSGVO zu entsprechen, beispielsweise bezüglich der Berichtigung, Löschung, Beschränkung oder Übertragung personenbezogener Daten, sind grundsätzlich Teil des vereinbarten Dienstumfangs.
In den vorliegenden Datenverarbeitungsbedingungen verwendete, jedoch nicht definierte Begriffe wie „personenbezogene Daten“, „Verletzung des Schutzes personenbezogener Daten“, „Verarbeitung“, „Verantwortlicher“, „Auftragsverarbeiter“ und „betroffene Person“ haben die gleiche Bedeutung wie in Art. 4 DSGVO.
  1. ÄNDERUNG DER MASTERVEREINBARUNG

    1.1 Die vorliegenden Datenverarbeitungsbedingungen ergänzen die Mastervereinbarung und bilden einen festen Bestandteil derselben, soweit es um die Verarbeitung personenbezogener Daten des Kunden geht, die vom Kunden oder einem angeschlossenen Unternehmen überlassen wurden, wenn der Kunde bzw. das angeschlossene Unternehmen (i) seinen Sitz in einem europäischen Staat hat oder (ii) personenbezogene Daten betroffener Personen verarbeitet, die ihren Wohnsitz in einem europäischen Staat haben. Beide Parteien sind verpflichtet, stets ein Exemplar der vorliegenden Bedingungen zur eigenen Verfügung bereitzuhalten.
    1.2 Der Kunde bzw. das angeschlossene Unternehmen gilt bezüglich der personenbezogenen Daten als Verantwortlicher während Flexera diesbezüglich als Auftragsverarbeiter gilt. Dies gilt nicht, wenn der Kunde bzw. ein angeschlossenes Unternehmen selbst als Auftragsverarbeiter handelt: In diesem Fall ist Flexera nur untergeordneter Auftragsverarbeiter.
  2. VERARBEITUNGSGEGENSTAND, -DAUER, -ART UND -ZWECK SOWIE ANGABEN ZU VERARBEITUNGSTÄTIGKEITEN

    2.1 Gegenstand, Dauer, Art und Zweck der Datenverarbeitung sind unter Abschn. 2 und in der Mastervereinbarung erläutert. Sofern in der Mastervereinbarung nichts Gegenteiliges angeführt ist, ist die Verarbeitung im Allgemeinen auf Folgendes beschränkt: (i) Speichern/Verarbeiten bestimmter eingeschränkter personenbezogener Daten des Kunden auf einem Server und individueller Zugriff auf solche Daten bei der Bereitstellung der SaaS-Dienste unter der Mastervereinbarung und/oder (ii) im Rahmen der Bereitstellung von Wartungsdiensten bei Standortlösungen. Bei der Bereitstellung von Compliance-Prüfungsdiensten ist der Zugriff auf personenbezogene Daten des Kunden jedoch auch dem Datenauswertungs- und Support-Team gestattet, wenn dies der Bereitstellung der Dienste nach der Mastervereinbarung dient. Bei Wartungen an Standortlösungen, sind Zugriff oder Verarbeitung der personenbezogenen Daten des Kunden nicht vorgesehen, es kann jedoch im Einzelfall nicht vollständig ausgeschlossen werden, dass ein Zugriff auf Daten erfolgt, die am Standort des Kunden gespeichert sind. Sofern Flexera mit Partnern kooperiert, die eigene Kundenbeziehungen unterhalten, und sofern diese Partner Zugriff auf die Daten ihrer Kunden benötigen (wobei diese alle Teil der personenbezogenen Daten des Kunden sind), um bei die Bereitstellung von Diensten zu unterstützen, ist Flexera berechtigt, diesen Partnern insoweit Zugriff auf die personenbezogenen Daten des Kunden zu gewähren, wie es für die vom Partner angestrebten Zwecke erforderlich ist.
    2.2 Die folgenden Arten personenbezogener Daten und Kategorien betroffener Personen können von der Verarbeitung betroffen sein:
    • Kategorien betroffener Personen: Mitarbeiter, Auftragsnehmer, Vertreter usw. des Kunden oder angeschlossenen Unternehmens, Mitarbeiter der Auftragsnehmer, Vertreter usw. von Auftragsnehmern des Kunden bzw. angeschlossenen Unternehmens sowie die Mitarbeiter von Kunden des Kunden oder angeschlossenen Unternehmens, als auch die Mitarbeiter von deren Auftragsnehmern, Vertretern usw.
    • Arten personenbezogener Daten: Namen, Benutzernamen, Benutzer-IDs, geschäftliche und persönliche Adressen, Telefonnummern, Abteilungen, E-Mail-Adressen und IP-Adressen, Computer- oder Gerätenamen, Ethernet-MAC-Adressen, Hostnamen, berechnete Benutzer, Kontonamen, Seriennummern, UUIDs virtueller Maschinen, Hardware-Dongle-IDs, Zeitzonen, Namen unter Active Directory, FQDNs, WLAN-SSIDs, Verortungsdaten.
    • Spezielle Kategorien personenbezogener Daten: Keine.

    Wenn Wartungsdienste bereitgestellt werden, kann sich dies auf folgende Arten von personenbezogenen Daten und Kategorien betroffener Personen auswirken:

    • Jegliche Art personenbezogener Daten, die am Standort des Kunden gespeichert sind und die sich auf eine beliebige Kategorie betroffener Personen beziehen.
    2.3 Der Zeitraum, in dem die Bearbeitung erfolgt, muss der Geltungsdauer der vorliegenden Datenverarbeitungsbedingungen entspreche, entsprechend Abschn. 8.
  3. FLEXERAS PFLICHTEN
    3.1 Insbesondere hinsichtlich der Übertragung personenbezogener Daten in Drittländer ist Flexera verpflichtet, zur Bereitstellung der Dienste die personenbezogenen Daten des Kunden nur gemäß dessen dokumentierten Anweisungen und in seinem Namen verarbeiten, es sei denn, dem europäisches Recht oder das recht eines europäischen Staates erfordert eine andere Vorgehensweise. In letzterem Fall ist Flexera verpflichtet, den Kunden von diesen rechtlichen Erfordernissen in Kenntnis zu setzen, bevor eine Verarbeitung der Daten erfolgt, vorausgesetzt, das einschlägige Recht untersagt diese Inkenntnissetzung aufgrund eines erheblichen öffentlichen Interesses nicht. Sofern Flexera gehalten ist, eine Verarbeitung der personenbezogenen Daten des Kunden anders zu handhaben, als angewiesen, um geltendes Recht Großbritannien einzuhalten, ist Flexera verpflichtet, den Kunden über diese rechtliche Vorgabe in Kenntnis zu setzen. Gleichzeitig muss Flexera dem Kunden die Möglichkeit einräumen, die vorliegenden Datenverarbeitungsbedingungen fristlos zu kündigen, sofern die nach britischem Recht erfolgende Verarbeitung den Anforderungen der DSGVO zuwiderläuft. Flexera ist jedoch berechtigt, vertraglich zustehende Zahlungsleistungen anteilig bis zum Fälligkeitszeitpunkt der Kündigung anteilig einzufordern.
    3.2 Flexera ist verpflichtet, alle zumutbaren Schritte zu unternehmen, um sicherzustellen, dass jede natürliche Person, der gegenüber Flexera weisungsbefugt ist, und die Zugriff auf personenbezogene Daten hat, diese Daten nur nach den Anweisungen des Kunden verarbeitet, soweit dieser Verarbeitung nicht europäisches Recht bzw. das Recht eines europäischen Staates entgegensteht. Die Bestimmungen in Abschn. 3.1, Satz 2 und 3 gelten entsprechend.
    3.3 Flexera hat sicherzustellen, dass Personen, die zur Verarbeitung personenbezogener Daten berechtigt sind, sich vertraglich zu Vertraulichkeit verpflichtet haben oder ausreichenden gesetzlichen Vertraulichkeitspflichten unterliegen. Darüber hinaus muss Flexera sicherstellen, dass diese Vertraulichkeitspflichten auch nach einer Kündigung der vorliegenden Datenverarbeitungsbedingungen fortgelten.
    3.4 Technische und organisatorische Maßnahmen zur Datensicherheit
    3.4.1 Die angemessenen technischen und organisatorischen Maßnahmen zur Datensicherheit, die zum Zeitpunkt der Unterfertigung der vorliegenden Datenverarbeitungsbedingungen umzusetzen sind, sind in Anhang A aufgeführt. Die in Anhang A erläuterten Maßnahmen unterliegen Veränderungen aufgrund technischer Fortschritte und Entwicklungen.
    3.4.2 Flexera ist verpflichtet, angemessene technische und organisatorische Maßnahmen zu ergreifen, um einen dem Risiko angemessenen Sicherheitsstandard sicherzustellen, der Art. 32 DSGVO genügt. Hierbei sind sowohl der aktuelle Entwicklungsstand, Implementierungskosten sowie Art, Umfang, Kontext und Zweck der Datenverarbeitung als auch unterschiedlich stark ausfallende Risiken bzw. Auswirkungen bezüglich der Rechte und Freiheiten natürlicher Personen abzuwägen. Dies kann je nach Einschlägigkeit, folgende Aspekte umfassen:
    • Pseudonymisierung und Verschlüsselung personenbezogener Daten;
    • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
    • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.
    3.4.3 Zur Ermittlung eines angemessenen Sicherheitsstandards sind vor allen Dingen Art, Umfang, Kontext und Zweck der Datenverarbeitung zu berücksichtigen, aber auch die Risiken, die bei der Verarbeitung anfallen. Insbesondere zu berücksichtigen sind zufällige oder rechtswidrige Fälle von Zerstörung, Untergang, Änderung, unautorisierter Offenlegung von oder unautorisiertem Zugriff auf personenbezogene Daten, die übertragen, gespeichert oder anderweitig verarbeitet werden.
    3.4.4 Soweit Flexera die in Anhang A angeführten Maßnahmen signifikant ändern sollte, müssen diese Änderungen den Vorgaben von Abschn. 3.4.2 und 3.4.3 genügen. Flexera ist verpflichtet, den Kunden mit einer Beschreibung entsprechender Maßnahmen, anhand derer der Kunde die Einhaltung von Art. 32 DSGVO beurteilen kann, von diesen Änderungen in Kenntnis zu setzen. Der Kunde kann ab der Inkenntnissetzung innerhalb von vier (4) Wochen den Änderungen widersprechen. Der Kunde ist nur berechtigt, Änderungen zu widersprechen, sofern diese Änderungen nicht den Vorgaben von Abschn. 3.4.2 und 3.4.3 genügen. Sofern der Kunde nicht innerhalb des vorgegebenen Zeitraums widerspricht, gelten die Änderungen als von ihm angenommen. Im Falle eines Widerspruchs ist Flexera berechtigt, den Teil der Dienste vorübergehend auszusetzen, der von dem Widerspruch des Kunden betroffen ist. Dem Kunden steht in diesem Fall keine anteilige Rückerstattung der für die Dienste geleisteten Zahlungen zu, es sei denn, der Kunde kann nachweisen, dass die Pflichten nach Abschn. 3.4.2 und 3.4.3 nicht erfüllt wurden.
    3.4.5 Flexera ist verpflichtet, ein Managementverfahren für den Datenschutz umzusetzen, das Art. 32 Abs. 1 d) DSGVO entspricht, und dem regelmäßigen Testen, Bewerten und Begutachten der Effektivität der technischen und organisatorischen Maßnahmen dient, um so einen annehmbaren Grad der Sicherheit der Datenverarbeitung zu gewährleisten. Flexera wird darüber hinaus auf dem Wege von Selbst-Audits in zumutbarem Rahmen sicherstellen, dass die Verarbeitung der personenbezogenen Daten des Kunden den mit dem Kunden vereinbarten Vorgaben bzw. seinen Anweisungen entspricht.
    3.5 Flexera ist unter Berücksichtigung der Art der Datenverarbeitung verpflichtet, den Kunden durch angemessene technische und organisatorische Maßnahmen zu unterstützen, soweit es um die Erfüllung der Kundenpflicht geht, auf geltend gemachte Rechtsansprüche betroffener Personen zu reagieren. In diesem Zusammenhang ist geltendes Recht zu berücksichtigen, insbesondere Art. 15–18 sowie 21 DSGVO.
    3.6 Flexera ist unter Berücksichtigung der Art der Datenverarbeitung und der Flexera bekannten Informationen verpflichtet, den Kunden bezüglich der Erfüllung seiner Pflichten nach Art. 33–36 DSGVO (Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgenabschätzung, vorherige Konsultation) zu unterstützen, insbesondere durch das Bereitstellen von Informationen zu personenbezogenen Daten des Kunden.
    3.7 Dokumentation und Audit-Rechte
    3.7.1 Flexera ist verpflichtet, auf Anforderung und soweit nach einem allfälligen Geheimhaltungsvertrag zulässig, dem Kunden eine umfassende Dokumentation der technischen und organisatorischen Maßnahmen zur Datensicherheit zur Verfügung zu stellen, die den allgemeinen Branchenstandards entspricht. Die Effektivität der technischen und organisatorischen Sicherheitsmaßnahmen ist in jährlichem Turnus von einer unabhängigen dritten Stelle per Audit zu prüfen, wobei das Audit nach Statement on Standards for Attestation Engagements no. 16 (SSAE 16), SOC 2 Type II oder einem entsprechenden Standard zu erfolgen hat. Darüber hinaus kann Flexera nach eigenem Ermessen Compliance-Zertifikate zur Datensicherheit eines allgemein anerkannten Ausstellers zur Verfügung stellen, wobei dieser Aussteller von einem Datensicherheitsexperten, einer öffentlich anerkannten Auditing-Gesellschaft oder einem anderen Kunden Flexeras Audits unterzogen wurde.
    3.7.2 Wenn der Kunde einen berechtigten Grund zu der Annahme hat, dass Flexera die Bestimmungen der vorliegenden Datenverarbeitungsbedingungen nicht einhält, insbesondere hinsichtlich der Verpflichtung, vereinbarte technische und organisatorische Maßnahmen zur Datensicherheit umzusetzen und aufrecht zu erhalten, ist der Kunde einmal jährlich – es sei denn, es gibt konkrete Anhaltspunkte dafür, ein engeres Zeitintervall als angemessen zu betrachten – berechtigt, ein Audit von Flexera durchzuführen. Entsprechende Audits unterliegen den Vorgaben einschlägiger Geheimhaltungsverträge. Ein entsprechendes Recht auf ein solches Audit kann ausgeübt werden, indem (i) zusätzliche Informationen angefordert werden, (ii) auf Datenbanken zugegriffen wird, die personenbezogene Daten des Kunden verarbeiten oder, (iii) indem der Standort Flexeras inspiziert wird. In allen diesen Fällen darf kein Zugriff auf die personenbezogenen Daten anderer Kunden oder die vertraulichen Informationen Flexeras eingeräumt werden. Der Kunde kann alternativ auch Dritte als Auditoren bestellen, die diese Aufgaben in seinem Auftrag entsprechend Abschn. 3.7.4 durchführen. Die Kosten solcher Audits und/oder des Bereitstellens zusätzlicher Informationen sind vom Kunden zu tragen, es sei denn, das Audit zeigt einen materiellen Verstoß Flexeras gegen die vorliegenden Datenverarbeitungsbedingungen auf.
    3.7.3 Wenn der Kunde ein Audit am Standort von Flexera durchführen möchte, muss er Flexera im zumutbaren Zeitrahmen eine entsprechende Ankündigung zukommen lassen und mit Flexera eine konkrete Übereinkunft hinsichtlich Zeitpunkt und Dauer des Audits treffen. Im Fall eines besonders gerechtfertigten Interesses kann ein solches Audit auch ohne vorherige Ankündigung erfolgen. Inspektionen haben während der üblichen Geschäftszeiten zu erfolgen und auf eine Art, die den normalen Geschäftsbetrieb nicht beeinträchtigt. Die Audit-Prüfer sind jederzeit von mindestens einem Mitarbeiter Flexeras zu begleiten. Flexera ist berechtigt, die Ergebnisse eines solchen Audits schriftlich festzuhalten und sich vom Kunden bestätigen zu lassen.
    3.7.4 Der Kunde ist nicht berechtigt, Dritte für ein Audit zu engagieren, die (i) nach angemessenem Dafürhalten von Flexera als direkte Wettbewerber anzusehen, (ii) nicht ausreichend für ein solches Audit qualifiziert oder (iii) nicht unabhängig sind. Jegliche Audit-Drittparteien können nur eingeschaltet werden, wenn sie vor Durchführung jeglicher Art von Audits durch einen Geheimhaltungsvertrag zugunsten Flexeras oder durch gesetzliche Vorgaben zur Vertraulichkeit verpflichtet wurden.
    3.8 Benachrichtigungspflichten
    3.8.1 Flexera ist verpflichtet, Kunden in zeitlich zumutbarem Rahmen in schriftlicher Form (z. B. Brief, Fax oder E-Mail, „Schriftform“) über folgende Ereignisse in Kenntnis zu setzen:
    • Anfragen Dritter zu personenbezogenen Daten, einschließlich solcher von Datenschutz-Kontrollstellen und betroffenen Personen. In diesem Fall ist es zulässig, betreffenden Dritten den Namen des Kunden anzugeben sowie diese Dritte über die Tatsache zu informieren, dass ihre Anfrage an den Kunden weitergeleitet wurde.
    • Bedrohungen personenbezogener Daten des Kunden, die sich bei Flexera befinden, durch Pfändung, Beschlagnahme, Insolvenz oder Schlichtungsverfahren sowie sonstige Vorfälle oder Maßnahmen Dritter. In einem solchen Fall ist Flexera verpflichtet, den entsprechenden Dritten umgehend davon in Kenntnis zu setzen, dass der Kunde der tatsächliche Inhaber und Verfügungsberechtigte hinsichtlich der personenbezogenen Daten ist.
    3.8.2 Um sicherzustellen, dass der Kunde seinen eigenen Benachrichtigungspflichten bezüglich Datenschutzverletzungen nach Art. 33 Abs. 1 und Art. 34 Abs. 1 DSGVO nachkommen kann, muss Flexera den Kunden baldmöglichst von Datenschutzverletzungen in Kenntnis setzen, sobald diese Flexera bekannt wurden. Eine entsprechende Benachrichtigung muss, soweit möglich, folgende Informationen umfassen:
    • eine Beschreibung der Art der Datenschutzverletzung zu personenbezogenen Daten, soweit möglich einschließlich der Kategorien und geschätzten Anzahl der betroffenen Personen sowie der Kategorien und geschätzten Anzahl der Datensätze mit Personenbezogenen Daten, die betroffen sind;
    • eine Beschreibung der von Flexera und/oder dem Kunden unternommenen bzw. zu unternehmenden Maßnahmen, um der Datenschutzverletzung im Zusammenhang mit personenbezogenen Daten Herr zu werden oder, soweit erforderlich, Maßnahmen, um mögliche negative Auswirkungen der Datenschutzverletzung einzudämmen sowie
    • alle weiteren Informationen, die Flexera zur Verfügung stehen und bekannt sind und (i) die der Kunde benötigt, um seinen Benachrichtigungspflichten nachzukommen und (ii) auf die der Kunde keine sonstige Zugriffsmöglichkeit besitzt.
    3.8.3 Flexera ist verpflichtet, den Kunden unmittelbar davon in Kenntnis zu setzen, wenn eine Anweisung des Kunden nach dem Dafürhalten von Flexera zu einem Verstoß gegen die DSGVO oder sonstige einschlägige Datenschutzgesetze der Europäischen Union oder eines europäischen Staates führen kann. Bis zu dem Zeitpunkt, an dem der Kunde seine Anweisung entweder bestätigt oder abändert, ist Flexera berechtigt, die Umsetzung der Anweisung abzulehnen.
    3.9 Berichtigung, Löschung, Beschränkung
    3.9.1 Flexera ist verpflichtet, personenbezogene Daten des Kunden auf Anforderung des Kunden baldmöglichst, spätestens aber 30 Tage nach Eingang der Anforderung, zu berichtigen, zu löschen, den Zugriff auf sie zu beschränken oder sie zu übertragen, sofern Flexera dazu nach geltendem Recht verpflichtet ist und der Kunde die entsprechende Aufgabe nicht selbst durchführen kann, oder sofern Flexera nach den Dienstbeschreibungen in der Mastervereinbarung dazu verpflichtet ist. Jede Löschung von personenbezogenen Daten des Kunden gemäß Abschn. 3.9 ist dergestalt durchzuführen, dass eine Wiederherstellung dieser Daten nach zumutbarem Dafürhalten nicht möglich ist.
    3.9.2 Auf Anforderung des Kunden ist Flexera verpflichtet, Datenmedien und anderes vom Kunden bereitgestelltes Material gemäß den Datenschutzanforderungen zu zerstören. Alternativ kann Flexera auf Anforderung des Kunden die Datenträger und das sonstige Material dem Kunden zurücksenden oder in seinem Namen aufbewahren.
    3.9.3 Soweit geltendes Recht der Europäischen Union oder eines europäischen Staates keine fortgesetzte Aufbewahren der personenbezogenen Daten erfordert, wird Flexera mit Abschluss der Dienste unter Einbeziehung des Kunden entweder alle personenbezogenen Daten des Kunden in Flexeras Besitz löschen oder dem Kunden zurückgeben. Die Bestimmungen in Abschn. 3.1, Satz 2 und 3 gelten entsprechend.
    3.9.4 Wenn eine betroffene Person gegenüber Flexera Ansprüche auf Zugriff, Berichtigung, Löschung, Beschränkung des Zugriffs, Widerspruch oder Datenübertragung geltend macht, wird Flexera die betroffene Person an den Kunden verweisen.
    3.10 Flexera teilt dem Kunden Namen und offizielle Kontaktdetails des Datenschutzbeauftragten Flexeras mit, wenn Flexera nach geltendem Recht verpflichtet ist, einen Datenschutzbeauftragten zu benennen. Sofern Flexera nicht zur Benennung eines Datenschutzbeauftragten verpflichtet ist, wird Flexera nach eigenem Ermessen eine Person benennen, die für Fragen zum einschlägigen Datenschutzrecht und zur Datensicherheit im Zusammenhang mit den vorliegenden Datenverarbeitungsbedingungen zuständig ist.
    3.11 Für den Fall, dass Ansprüche auf Grundlage von Art. 82 DSGVO gegenüber dem Kunden geltend gemacht werden, ist Flexera im zumutbaren Rahmen verpflichtet, den Kunden bei seiner Verteidigung zu unterstützen, soweit der Anspruch sich auf die Verarbeitung personenbezogener Daten bezieht, die von Flexera im Auftrag des Kunden durchgeführt wurde.
    3.12 Flexera wird dem Kunden alle Informationen zur Verfügung stellen, die dieser benötigt, um die Einhaltung seiner Pflichten aus den vorliegenden Datenverarbeitungsbedingungen und aus Art. 28 DSGVO nachzuweisen.
    3.13 Auf Anforderung ist Flexera nach Art. 30 DSGVO verpflichtet, Kontrollstellen Aufzeichnungen seiner Verarbeitungstätigkeit auszuhändigen.
    3.14 Soweit in Abschn. 5 nichts Anderslautendes vermerkt ist, erfolgt die Datenverarbeitung in Großbritannien oder Ländern der Europäischen Union.
  4. PFLICHTEN DES KUNDEN
    4.1 Der Kunde ist verpflichtet, Flexera alle Anweisungen gemäß den vorliegenden Datenverarbeitungsbedingungen in Schriftform oder verbal mitzuteilen. Mündliche Anweisungen müssen baldmöglichst in Schriftform bestätigt werden.
    4.2 Der Kunde ist verpflichtet, Flexera in Schriftform die Namen der Personen mitzuteilen, die berechtigt sind, Flexera Anweisungen zu erteilen. Alle Kosten, die aus der Tatsache erwachsen, dass der Kunde verabsäumt, die im vorstehenden Satz genannte Pflicht zu erfüllen, sind vom Kunden zu tragen. Unabhängig vom Vorgenannten sind Geschäftsführer sowie die Personalabteilung des Kunden berechtigt, Anweisungen zu erteilen.
    4.3 Der Kunde ist verpflichtet, Flexera umgehend davon in Kenntnis zu setzen, wenn eine Datenverarbeitung seitens Flexera zu einem Verstoß gegen einschlägige Datenschutzvorschriften führen würde.
    4.4 Für den Fall, dass gegenüber Flexera Ansprüche auf Basis von Art. 82 DSGVO geltend gemacht werden, ist der Kunde verpflichtet, Flexera im zumutbaren Rahmen bei der Verteidigung gegenüber diesen Ansprüchen zu unterstützen, soweit der Anspruch im Zusammenhang mit der Verarbeitung personenbezogener Daten durch Flexera steht, die Flexera durchführte, um Dienste für den Kunden oder ein angeschlossenes Unternehmen bereitzustellen.
    4.5 Der Kunde ist verpflichtet, eine Person zu benennen, die für Fragen des geltenden Datenschutzrechts und der Datensicherheit im Zusammenhang mit den vorliegenden Datenverarbeitungsbedingungen zuständig ist.
  5. VERARBEITUNG DURCH UNTERAUFTRAGNEHMER
    5.1 Flexera ist berechtigt, Dritte für die Verarbeitungstätigkeiten gemäß den vorliegenden Datenverarbeitungsbedingungen heranzuziehen („Unterauftragnehmer“), soweit die Vorgaben des vorliegenden Abschn. 5.
    5.2 Alle Unterauftragnehmer sind verpflichtet, sich schriftlich gegenüber dem Kunden und seinen angeschlossenen Unternehmen vor Beginn der Datenverarbeitung den gleichen Datenschutzverpflichtungen zu unterwerfen, wie sie in den vorliegenden Datenverarbeitungsbedingungen dargelegt sind. Alternativ müssen sich die Unterauftragnehmer verpflichten, die Bestimmungen von Art. 28 Abs. 3, 4 und 6 DSGVO einzuhalten. Beide vorgenannten Sätze können durch ausdrückliche Übereinkunft abbedungen werden. Der Vertrag mit dem Unterauftragnehmer muss mindestens ein Maß an Datensicherheit gewährleisten, das dem in den vorliegenden Datenverarbeitungsbedingungen entspricht. Sofern der Unterauftragnehmer seine Datenschutzpflichten nicht erfüllt, haftet Flexera gegenüber dem Kunden vollumfänglich für die Erfüllung der Pflichten des Unterauftragnehmers.
    5.3 Jeder Unterauftragnehmer muss sich insbesondere verpflichten, die vereinbarten technischen und organisatorischen Sicherheitsmaßnahmen gemäß Abschn. 4.2 und 3.4.3 einzuhalten und Flexera eine Liste der von ihm umgesetzten technischen und organisatorischen Maßnahmen zur Verfügung stellen, die auf Anforderung auch dem Kunden bereitzustellen sind. Die vom Unterauftragnehmer vorgenommenen Maßnahmen können sich von denen unterscheiden, für die zwischen dem Kunden und Flexera eine Übereinkunft besteht, dürfen jedoch keinen geringeren Grad der Datensicherheit bieten, als die Maßnahmen Flexeras.
    5.4 Für den Fall, dass der Unterauftragnehmer seinen Sitz außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums befindet und auch kein Land/Gebiet ist, das nach Art. 45 DSGVO einen angemessenen Grad des Datenschutzes gewährleistet, ist Flexera verpflichtet, einen Datenverarbeitungsvertrag mit dem Unterauftragnehmer abzuschließen, der auf den Standardvertragsklauseln der EU für Auftragsverarbeiter personenbezogener Daten (bekanntgegeben unter Aktenzeichen K(2010) 593) oder anderen Standarddatenschutzklauseln für Auftragsverarbeiter basiert, die nach Art. 46 Abs. 2 (c) DSGVO in diesem Zusammenhang zulässig sind. Flexera ist darüber hinaus auch berechtigt, einen Vertrag nach Standardvertragsklauseln oder sonstigen vergleichbaren Standardklauseln zum Datenschutz im Namen des Kunden und zu seinen Gunsten abzuschließen. Der Kunde autorisiert Flexera hiermit, in Flexeras Namen entsprechende Verträge abzuschließen.
    5.5 Für den Fall, dass ein Unterauftragnehmer sich weigert, vergleichbare Datenschutzpflichten zu übernehmen, wie diejenigen, die in den vorliegenden Datenverarbeitungsbedingungen aufgeführt sind, kann dies vom Kunden genehmigt werden, wobei eine entsprechende Zustimmung des Kunden nicht aus zumutbaren Gründen unterbleiben darf.
    5.6 Flexera informiert den Kunden in Schriftform über jegliche beabsichtigte Beauftragung eines Unterauftragnehmers. Alternativ ist Flexera auch berechtigt, eine Website oder einen andersartigen Hinweis bereitzustellen, auf der bzw. in dem alle Unterauftragnehmer aufgeführt sind, die auf die personenbezogenen Daten des Kunden Zugriff haben sowie die eingeschränkten oder untergeordneten Dienste, die diese Unterauftragnehmer erbringen. Flexera muss den Kunden mindestens zwei (2) Wochen, bevor einem neuen Unterauftragnehmer gestattet wird, auf personenbezogene Daten zuzugreifen, davon in Kenntnis setzen und, soweit erforderlich, die vorgenannte Website bzw. den vorgenannten Hinweis entsprechend aktualisieren. Durch diese Inkenntnissetzung räumt Flexera dem Kunden die Möglichkeit ein, der geplanten Änderung innerhalb einer Frist von zwei (2) Wochen zu widersprechen. Erfolgt innerhalb dieser Frist kein Widerspruch des Kunden bezüglich der Betrauung des fraglichen Unterauftragnehmers, gilt dies konkludent als eine entsprechende Zustimmung des Kunden. Auf Anforderung des Kunden ist Flexera verpflichtet, alle erforderlichen Informationen zu übermitteln, die veranschaulichen, dass der Unterauftragnehmer den Anforderungen nach Abschn. 3 nachkommt. Sofern der Kunde der Datenverarbeitung durch einen Unterauftragnehmer widerspricht, hat Flexera die Option, entweder keinen Unterauftragnehmer zu nutzen oder die Mastervereinbarung mit einer Frist von zwei (2) Monaten ab Erklärung zu kündigen. Bis zur Beendigung der Mastervereinbarung ist Flexera berechtigt, den Teil der Bereitstellung der Dienste auszusetzen, der vom Widerspruch des Kunden betroffen ist. Dem Kunden steht in diesem Fall keine anteilige Rückerstattung der für die Dienste geleisteten Zahlungen zu, es sei denn, der Widerspruch erfolgte aus einem berechtigtem Grund bezüglich der Nichtbeachtung geltenden Datenschutzrechts.
    5.7 Der Kunde stimmt hiermit auch im Namen seiner angeschlossenen Unternehmen dem Einsatz folgender Unterauftragnehmer zu:

    Für alle Dienste im Zusammenhang mit den Produkten der Typen Spider und Columbus:

    Für fachliche Dienste:

    • Flexera Software GmbH, Paul-Dessau-Straße 822761 Hamburg, Germany.

    Für Dienste verschiedenster Art:

    • Spider Lifecycle Managementsysteme GmbH, Paul-Dessau-Straße 8, 22761 Hamburg, Deutschland;
    • Flexera Software LLC, 300 Park Blvd, Suite 500, Itasca, IL 60143, USA. Von uns vorgenommene Datenübertragungen unterliegen einem gruppeninternen Datenverarbeitungsvertrag, der auf den Standardvertragsklauseln der EU für Auftragsverarbeiter personenbezogener Daten fußt.
    • Flexera Software Limited, Malvern House, 14-18 Bell Street, Berkshire, SL6 1BR, Großbritannien;
    • Brainware Solutions AG, Sumpfstrasse 15, 6312 Steinhausen, Schweiz.

    Für alle anderen Produkte und Dienste von Flexera:

    Für Dienstleistungen zur Software-Monetarisierung:

    • Akamai International B.V. Prins Bernhardplein 200, JB Amsterdam 1097, Niederlande stellt unsere Netzwerkdienste zur Bereitstellung von Inhalten;
    • Akamai Technologies Inc. 150 Broadway, Cambridge, MA 02142, USA stellt unsere Netzwerkdienste zur Bereitstellung von Inhalten.

    Für Dienste zur Optimierung von Softwarelizenzen und Datenplattform-Dienstleistungen:

    • GoodData Corporation, 660 3rd Street Suite 101, San Francisco, CA 94107, USA führt Datenanalysedienste sowie Datenplattform-Dienstleistungen durch. Für jegliche Art von Datenübertragung nutzen wir Datenverarbeitungsverträge, die die Standardvertragsklauseln der EU für Auftragsverarbeiter personenbezogener Daten enthalten.

    Für Software Vulnerability Management:

    • Secunia ApS, Mikado House, Rued Langgaards Vej 8, 4th floor, Kopenhagen, S DK-2300, Dänemark ist hauptsächlich verantwortlich für die Umsetzung von IT-Sicherheitslösungen und die Erbringung von Support- und Wartungsdiensten im Namen von Flexera verantwortlich.

    Für Cloud-Deliver-Dienste:

    • RightScale, Inc. 402 E. Gutierrez Street, Santa Barbara, CA 93101, USA. Von uns vorgenommene Datenübertragungen unterliegen einem gruppeninternen Datenverarbeitungsvertrag, der die Standardvertragsklauseln der EU für Auftragsverarbeiter personenbezogener Daten umfasst.

    Für Produktnutzungsanalysen:

    • Revulytics Inc., 130 Turner Street, Building 2, Suite 212, Waltham, Massachusetts 02453, USA. Von uns vorgenommene Datenübertragungen unterliegen einem gruppeninternen Datenverarbeitungsvertrag, der die Standardvertragsklauseln der EU für Auftragsverarbeiter personenbezogener Daten umfasst.

    Für Hosting-Dienste:

    • Amazon Web Services, Inc., 410 Terry Avenue North, Seattle WA 98109, USA. Für jegliche Art von Datenübertragung nutzen wir Datenverarbeitungsverträge, die die Standardvertragsklauseln der EU für Auftragsverarbeiter personenbezogener Daten enthalten.

    Für fachliche Dienste:

    • Flexera Software GmbH, Paul-Dessau-Straße 822761 Hamburg, Deutschland;

    Für Dienste verschiedenster Art:

    • Flexera Software LLC, 300 Park Blvd, Suite 500, Itasca, IL 60143, USA. Von uns vorgenommene Datenübertragungen unterliegen einem gruppeninternen Datenverarbeitungsvertrag, der die Standardvertragsklauseln der EU für Auftragsverarbeiter personenbezogener Daten umfasst.
    5.8 Auf Anforderung des Kunden muss Flexera dem Kunden Informationen zu den Datenschutzpflichten des Unterauftragnehmers zur Verfügung stellen. In jedem Fall muss dies auch die Einräumung des Zugriffs auf die einschlägigen Vertragsdokumente umfassen.
    5.9 Flexera ist verpflichtet, bei Unterauftragnehmern in regelmäßigen Abständen auf Anforderung des Kunden Audits durchzuführen, dabei die Einhaltung des relevanten Datenschutzrechts sowie der dem Unterauftragnehmer auferlegten Pflichten aus dem mit diesem abgeschlossenen Datenverarbeitungsvertrag zu überprüfen. Nur im Falle eines vorliegenden berechtigten Grundes kann der Kunde Flexera anweisen, weitere Audits durchzuführen, die Flexera im zulässigen Maße auszuführen hat.
  6. HAFTUNG
    6.1 Der Kunde und Flexera haften auf Schadenersatz hinsichtlich geschädigter betroffener Personen gemäß Art. 82 DSGVO (externe Haftung).
    6.2 Beide Parteien sind berechtigt, von der jeweils anderen Partei den Anteil einer gezahlten Kompensation einzufordern, der dem Anteil der Verantwortlichkeit der entsprechenden Partei hinsichtlich der Ursache des fälligen Schadenersatzes entspricht (interne Haftung).
    6.3 Hinsichtlich der internen Haftung und ohne Auswirkungen auf die externe Haftung gegenüber betroffenen Personen, und sofern nicht im vorliegenden Text Gegenteiliges vermerkt ist, kommen die Parteien überein, dass Flexeras Haftung bei der Bereitstellung der Dienste bei Verstößen gegen die Bestimmungen der vorliegenden Datenverarbeitungsbedingungen den Haftungsbeschränkungen aus der Mastervereinbarung unterliegt.
    6.4 Kein angeschlossenes Unternehmen kann Nutznießer der vorliegenden Datenverarbeitungsbedingungen sein, ohne an sie gebunden zu sein oder die vorliegende Haftungsbeschränkung akzeptiert zu haben.
    6.5 Der Kunde ist verpflichtet, Flexera hinsichtlich jeglicher Art von Verlust schadlos zu halten, dessen Wert die Haftungsbeschränkungen der Mastervereinbarung überschreitet, sofern dieser Verlust Flexera im Zusammenhang mit Ansprüchen entsteht, die von angeschlossenen Unternehmen oder betroffenen Personen auf Basis ihrer Rechte geltend gemacht werden, und die aus einem behaupteten Verstoß gegen die DSGVO oder die vorliegenden Datenverarbeitungsbedingungen erwachsen.
  7. KOSTEN FÜR ZUSÄTZLICHE DIENSTE

    Sofern die Anweisungen des Kunden zu einer Änderung oder Erweiterung der vertraglich vereinbarten Dienste führt, oder falls Flexeras Einhaltung seiner Pflichten aus Abschn. 3.6, 3.9 oder 3.11 bezüglich der Unterstützung des Kunden hinsichtlich dessen gesetzlicher Pflichten eine solche Änderung oder Erweiterung nach sich zieht, ist Flexera berechtigt, angemessene Gebühren für derartige Aufgaben zu berechnen. Die Berechnung ergibt sich aus den vertraglich festgelegten Preisen für die Erbringung der Dienste und/oder ist dem Kunden im Voraus mitzuteilen.


  8. VERTRAGSZEITRAUM

    Die Bestandsdauer der vorliegenden Datenverarbeitungsbedingungen entspricht der der Mastervereinbarung. Der Vertragszeitrum beginnt und endet mit der Bereitstellung der Dienste gemäß der Mastervereinbarung, soweit nichts Gegenteiliges in den Bestimmungen der vorliegenden Datenverarbeitungsbedingungen aufgeführt ist.


  9. ÄNDERUNGEN

    Flexera ist berechtigt, die vorliegenden Datenverarbeitungsbedingungen zu ändern oder zu ergänzen, sofern (i) Flexera dies von einer Kontrollstelle oder sonstigen Behörde bzw. Aufsichtskörperschaft auferlegt wurde, (ii) dies erforderlich ist, um geltendes Recht einzuhalten, (iii) dies erforderlich ist, um von der EU-Kommission festgelegte Standardvertragsklauseln der EU für Auftragsverarbeiter personenbezogener Daten umzusetzen, oder (iv) dies erforderlich ist, um einem allgemein anerkannten Verhaltenskodex oder Zertifizierungssystem zu entsprechen, der nach Art. 40, 42 und 43 DSGVO anerkannt oder zertifiziert ist. Eine derartige Änderung bzw. Ergänzung muss dem Kunden gegenüber bekanntgegeben werden. Der Kunde ist gehalten, Flexera umgehend davon in Kenntnis zu setzen, wenn er mit einer entsprechenden Änderung oder Ergänzung nicht einverstanden ist. In diesem Fall ist Flexera berechtigt, die Mastervereinbarung schriftlich mit einer Frist von zwei (2) Wochen zu kündigen. Ist der Kunde nicht mit Änderungen einverstanden und kündigt Flexera in diesem Fall den Vertrag, so steht Flexera eine anteilige Zahlung für bis zum Ende des Vertrags geleistete zu, sofern das fehlende Einverständnis des Kunden nicht darauf beruht, dass die Änderungen bzw. Ergänzungen gegen geltendes Datenschutzrecht verstoßen.


  10. BREXIT-REGELUNGEN
    10.1 Sofern der Austrittsvertrag zwischen Großbritannien und der Europäischen Union abläuft, ohne dass Großbritannien von der Europäischen Kommission als Drittland anerkannt wird, das ein angemessenes Maß an Datenschutz gewährleistet, gelten die dem vorliegenden Text als Anhang B beiliegenden Standardvertragsklauseln („SVK“) zusätzlich zu den vorliegenden Datenverarbeitungsbedingungen für das Vertragsverhältnis zwischen Flexera und dem Kunden. In diesem Fall gilt Flexera als Datenimporteur und der Kunde als Datenexporteur. Die zusätzlichen Informationen, die nach Anhang 1 SVK bereitgestellt werden, gelten über Verweis auf Abschn. 2.1 bis 2.2 und die Mastervereinbarung als Teil des vorliegenden Vertrags. Anhang B der vorliegenden Datenverarbeitungsbedingungen ist als Umsetzung von Anhang 2 SVK zu sehen. Abschn. 6.2 bis 6.5 gelten entsprechend für die SVK. Soweit die Definitionen in Art. 4 DSGVO weiter gefasst sind, als die Bestimmungen der SVK vorsehen, geht die DSGVO vor.
    10.2 Flexera und der Kunde werden die vorliegenden Datenverarbeitungsbedingungen anpassen, sofern derartige Anpassungen erforderlich werden, um gesetzlichen Datenschutzvorgaben Großbritanniens zu entsprechen. Für den Fall, dass derartige erforderlichen Anpassungen den Anforderungen der DSGVO zuwiderlaufen sollten, sind beide Parteien berechtigt, die Mastervereinbarung sowie die vorliegenden Bedingungen umgehend zu kündigen. Flexera ist jedoch berechtigt, vertraglich zustehende Zahlungsleistungen anteilig bis zum Fälligkeitszeitpunkt der Kündigung anteilig einzufordern.
  11. SCHRIFTFORM

    Alle ergänzenden Verträge zu den vorliegenden Datenverarbeitungsbedingungen sowie Änderungen oder Ergänzungen derselben oder der unter den Bedingungen geleisteten Dienste einschließlich des vorliegenden Abschn. 11 bedürfen der Schriftform.


  12. GELTENDES RECHT

    Die vorliegenden Datenverarbeitungsbedingungen unterliegen dem Recht des Standorts, an dem der Kunde firmiert, soweit in den SVK nichts Gegenteiliges angegeben ist.


  13. VERSCHIEDENES
    13.1 Hinsichtlich sämtlicher Rechtsfragen, die im Zusammenhang mit der Verarbeitung personenbezogener Daten oder aus dieser erwachsen, gehen die vorliegenden Datenverarbeitungsbedingungen allen anderen Verträgen zwischen den Parteien vor.
    13.2 Für den Fall, dass eine Klausel der Mastervereinbarung gegen die DSGVO oder sonstiges geltendes Recht verstößt, verpflichten sich die Parteien, gemeinsam eine Anpassung der Mastervereinbarung in dem Maße herbeizuführen, das erforderlich ist, um eine nicht der DSGVO zuwiderlaufende Datenverarbeitung sicherzustellen.

Anhang A – Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen

Unterauftragsverarbeiter sind verpflichtet, ähnliche, jedoch nicht zwingend identische organisatorische Sicherheitsmaßnahmen umzusetzen, deren Datensicherheitsgrad jedoch nicht geringer ausfallen darf, als im vorliegenden Text dargelegt. Allfällige organisatorische Sicherheitsmaßnahmen unterliegen Änderungen aufgrund der Weiterentwicklung technischer Standards und können entsprechend angepasst werden. Auf Anforderung wird Flexera dem Kunden eine Beschreibung der zum Anforderungszeitpunkt aktuellen Maßnahmen zur Verfügung stellen.

1. Pseudonymisierung und Verschlüsselung, Art. 32 Abs. 1 a) DSGVO

Die Pseudonymisierung umfasst Maßnahmen, die es ermöglichen, personenbezogene Daten derart zu verarbeiten, dass diese Daten keiner konkreten betroffenen Person ohne zusätzliche Informationen zugeordnet werden können, wobei vorausgesetzt wird, dass diese zusätzlichen Informationen separat gespeichert werden und ebenfalls von angemessenen technischen und organisatorischen Maßnahmen abgesichert sind. Die Verschlüsselung umfasst Maßnahmen, um in Klartext lesbare Informationen über einen kryptografischen Vorgang in eine unleserliche Zeichenfolge umzuwandeln.

  • Gespeicherte Daten werden nach Bedarf verschlüsselt, einschließlich allfälliger Sicherungskopien dieser Daten.
2. Die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen, Art. 32 Abs. 1 b) DSGVO

Vertraulichkeit und Integrität werden durch die sichere Verarbeitung personenbezogener Daten sichergestellt, einschließlich des Schutzes vor unautorisierter oder rechtswidriger Verarbeitung und vor zufälligem Verlust, Untergang oder Schaden.

2.1 Vertraulichkeit
2.1.1 Physische Zugriffskontrolle

Maßnahmen, die nicht autorisierte Personen davon abhalten, Zugriff auf die Datenverarbeitungssysteme zu erhalten, auf denen die personenbezogenen Daten verarbeitet oder verwendet werden.

  • Physische Zugriffskontrollysteme
  • Definition autorisierter Personen und Handhabung sowie Dokumentation der einzelnen Autorisierungen
  • Kontrolle von Besuchern und externen Mitarbeitern
  • Überwachen aller Einrichtungen, in denen sich IT-Systeme befinden
  • Protokollierung physischer Zugriffe
2.1.2 Systemische/elektronische Zugriffskontrolle

Maßnahmen, die verhindern, dass Datenverarbeitungssysteme ohne Befugnis verwendet werden.

  • Benutzerauthentifizierung über einfache Authentifizierungsmethoden (Benutzername/Passwort)
  • Sichere Übertragung von Anmeldeinformationen in Netzwerken (mit TSL und SSL)
  • Automatische Kontensperre
  • Richtlinien zur Handhabung von Passwörtern
  • Definition nicht autorisierter Personen
  • Management der Authentifizierungsmethoden
  • Zugriffskontrolle auf die Infrastruktur, die von einem Cloud-Serviceprovider gehostet wird
2.1.3 Interne Zugriffskontrolle

Maßnahmen, die sicherstellen, dass Personen, die die Berechtigung besitzen, ein Datenverarbeitungssystem zu verwenden, nur auf Daten zugreifen können, für die sie zugriffsberechtigt sind. Die Maßnahmen stellen darüber hinaus sicher, dass personenbezogene Daten während ihrer Nutzung oder Speicherung nicht ohne Berechtigung gelesen, kopiert, geändert oder entfernt werden können.

  • Automatische und manuelle Sperren
  • Management von Zugriffsrechten
  • Management von Zugriffsrechten einschließlich Autorisierungskonzept, Umsetzung von Zugriffsbeschränkungen, Umsetzung des „Need-to-Know“-Prinzips (Kenntnis nur bei Bedarf), Management individueller Zugriffsrechte.
2.1.4 Isolierungs-/Trennungssteuerung

Maßnahmen, die sicherstellen, dass für unterschiedliche Zwecke erfasste Daten separat verarbeitet (Speicherung, Änderung, Löschung, Übertragung) werden können

  • Trennung von Netzwerken
  • Abgrenzung von Zuständigkeiten und Pflichten
  • Dokumentation von Verfahren und Anwendungen für die Trennung
2.1.5 Auftragskontrolle

Maßnahmen, die sicherstellen, dass personenbezogene Daten bei ihrer Verarbeitung im Auftrag anderer Parteien exakt nach den Anweisungen des Auftragsgebers verarbeitet werden.

  • Training und Geheimhaltungsverträge für interne und externe Mitarbeiter
2.2 Integrität
2.2.1 Datenübertragungskontrolle

Maßnahmen, die sicherstellen, dass personenbezogene Daten bei elektronischer Übertragung oder Transporten nicht ohne Autorisierung gelesen, kopiert, geändert oder entfernt werden können. Die Maßnahmen müssen darüber hinaus auch sicherstellen, dass es möglich ist, zu überprüfen und festzustellen, an welche Körperschaften die Übertragung personenbezogener Daten vorgesehen ist.

  • Sichere Übertragung zwischen Client und Server sowie auf externe Systeme dank Verschlüsselung entsprechend dem Branchenstandard
  • Sichere Verbindungen zwischen Netzwerken dank Firewalls usw.
  • Protokollierung von Datenübertragungen vom IT-System, in dem personenbezogene Daten gespeichert oder verarbeitet werden
2.2.2 Dateneingabekontrolle

Maßnahmen, die sicherstellen, dass es möglich ist, festzustellen, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, dort geändert oder aus ihnen entfernt wurden.

  • Protokollierung der Authentifizierung sowie überwachter logischer Systemzugriff
  • Protokollierung von Datenzugriffen, insbesondere hinsichtlich Zugriff auf sowie Änderung, Eingabe und Löschung von Daten
  • Dokumentation zu Dateneingabeberechtigungen und partielle Protokollierung von Eingaben mit Sicherheitsbezug.
2.3 Verfügbarkeit und Belastbarkeit der Systeme und Dienste

Verfügbarkeit umfasst Maßnahmen, die sicherstellen, dass personenbezogene Daten vor zufälliger Vernichtung oder Untergang aufgrund interner oder externer Faktoren geschützt sind. Belastbarkeit der Systeme und Dienste umfasst Maßnahmen, die sicherstellen, dass Systeme Angriffen widerstehen und ihr Betrieb nach Angriffen schnell wiederhergestellt werden können.

  • Sicherungslösung auf Magnetbandbasis
  • Umsetzung von Transportrichtlinien
  • Sicherungskonzept
  • Schutz gespeicherter Sicherungsdaten
3. Die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen, Art. 32 Abs. 1 c) DSGVO

Organisatorische Maßnahmen, die es ermöglichen, das System oder Daten im Falle eines physischen oder technischen Zwischenfalls schnell wiederherzustellen.

  • Fortbestandsplanung (Zeitvorgabe für die Wiederherstellung)
4. Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung, Art. 32 Abs. 1 d) DSGVO

Organisatorische Maßnahmen, die sicherstellen, dass eine regelmäßige Überprüfung und Evaluierung technischer und organisatorischer Maßnahmen erfolgt.

  • Testen von Notfallausrüstung
  • Dokumentation zu Schnittstellen und persönlichen Datenfelder
  • Interne Evaluierungen

Anhang B – Standardvertragsklauseln der EU für die Auftragsverarbeitung personenbezogener Daten

Standardvertragsklauseln der EU für die Auftragsverarbeitung personenbezogener Daten

Im Sinne von Artikel 26 (2) der Richtlinie 95/46/EG hinsichtlich der Übermittlung personenbezogener Daten an für die Verarbeitung Verantwortliche in Drittländern, die kein angemessenes Datenschutzniveau gewährleisten.

Der Kunde und/oder seine angeschlossenen Unternehmen werden im Anschluss als „Datenexporteur“ bezeichnet, soweit es um personenbezogene Daten geht, die von diesen Parteien zur Verfügung gestellt werden.

Flexera wir im Anschluss als „Datenimporteur“ bezeichnet.

Die Datenexporteure und der Datenimporteur – gemeinsam die „Parteien“ (jeder für sich je eine „Partei“) – SIND ÜBEREINGEKOMMEN, folgende Vertragsklauseln (die „Klauseln“) anzunehmen, um adäquate Sicherheitsmaßnahmen hinsichtlich Datenschutz und Grundrechten bzw. -freiheiten natürlicher Personen sicherzustellen, wenn der Datenexporteur an den Datenimporteur personenbezogene Daten entsprechend Anhang 1 übermittelt.

Klausel 1

Definitionen

 

Im Rahmen der Klauseln gelten folgende Definitionen:

(a) Die Ausdrücke „Personenbezogene Daten“, „besondere Datenkategorien“, „Verarbeiten/Verarbeitung“, „für die Verarbeitung Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Kontrollstelle“ entsprechen den Begriffsbestimmungen der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr;
(b) der „Datenexporteur“ ist der für die Verarbeitung Verantwortliche, der die personenbezogenen Daten übermittelt;
(c) der „Datenimporteur“ ist der Auftragsverarbeiter, der sich bereit erklärt, vom Datenexporteur personenbezogene Daten entgegenzunehmen und sie nach der Übermittlung nach dessen Anweisungen und den Bestimmungen der Klauseln in dessen Auftrag zu verarbeiten und der nicht einem System eines Drittlandes unterliegt, das angemessenen Schutz im Sinne von Artikel 25 Absatz 1 der Richtlinie 95/46/EG gewährleistet;
(d) der „Unterauftragsverarbeiter“ ist der Auftragsverarbeiter, der im Auftrag des Datenimporteurs oder eines anderen Unterauftragsverarbeiters des Datenimporteurs tätig ist und sich bereit erklärt, vom Datenimporteur oder von einem anderen Unterauftragsverarbeiter des Datenimporteurs personenbezogene Daten ausschließlich zu dem Zweck entgegenzunehmen, diese nach der Übermittlung im Auftrag des Datenexporteurs nach dessen Anweisungen, den Klauseln und den Bestimmungen des schriftlichen Unterauftrags zu verarbeiten;
(e) der Begriff „anwendbares Datenschutzrecht“ bezeichnet die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten der Personen, insbesondere des Rechts auf Schutz der Privatsphäre bei der Verarbeitung personenbezogener Daten, die in dem Mitgliedstaat, in dem der Datenexporteur niedergelassen ist, auf den für die Verarbeitung Verantwortlichen anzuwenden sind;
(f) die „technischen und organisatorischen Sicherheitsmaßnahmen“ sind die Maßnahmen, die personenbezogene Daten vor der zufälligen oder unrechtmäßigen Zerstörung, dem zufälligen Verlust, der Änderung, der unberechtigten Weitergabe oder dem unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung der Daten über ein Netzwerk umfasst, und vor jeder anderen Form der unrechtmäßigen Verarbeitung schützen sollen.

Klausel 2

Einzelheiten der Übermittlung

Die Einzelheiten der Übermittlung, insbesondere die besonderen Kategorien personenbezogener Daten, sofern vorhanden, werden in Anhang 1 erläutert, der Bestandteil dieser Klauseln ist.

Klausel 3

Drittbegünstigtenklausel

1. Die betroffenen Personen können diese Klausel sowie Klausel 4 Buchstaben b bis i, Klausel 5 Buchstaben a bis e und g bis j, Klausel 6 Absätze 1 und 2, Klausel 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Datenexporteur als Drittbegünstigte geltend machen.
2. Die betroffene Person kann diese Klausel, Klausel 5 Buchstaben a bis e und g, die Klauseln 6 und 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Datenimporteur geltend machen, wenn das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht, es sei denn, ein Rechtsnachfolger hat durch einen Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in letzterem Fall kann die betroffene Person die Klauseln gegenüber dem Rechtsnachfolger als Träger sämtlicher Rechte und Pflichten des Datenexporteurs geltend machen.
3. Die betroffene Person kann diese Klausel, Klausel 5 Buchstaben a bis e und g, die Klauseln 6 und 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Unterauftragsverarbeiter geltend machen, wenn sowohl das Unternehmen des Datenexporteurs als auch das des Datenimporteurs faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind, es sei denn, ein Rechtsnachfolger hat durch einen Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in letzterem Fall kann die betroffene Person die Klauseln gegenüber dem Rechtsnachfolger als Träger sämtlicher Rechte und Pflichten des Datenexporteurs geltend machen. Eine solche Haftpflicht des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach den Klauseln beschränkt.
4. Die Parteien haben keine Einwände dagegen, dass die betroffene Person, sofern sie dies ausdrücklich wünscht und das nationale Recht dies zulässt, durch eine Vereinigung oder sonstige Einrichtung vertreten wird.

Klausel 4

Pflichten des Datenexporteurs

Der Datenexporteur erklärt sich bereit und garantiert, dass:

(a) die Verarbeitung der personenbezogenen Daten einschließlich der Übermittlung entsprechend den einschlägigen Bestimmungen des anwendbaren Datenschutzrechts durchgeführt wurde und auch weiterhin so durchgeführt wird (und gegebenenfalls den zuständigen Behörden des Mitgliedstaats mitgeteilt wurde, in dem der Datenexporteur niedergelassen ist) und nicht gegen die einschlägigen Vorschriften dieses Staates verstößt;
(b) er den Datenimporteur angewiesen hat und während der gesamten Dauer der Datenverarbeitungsdienste anweisen wird, die übermittelten personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dem anwendbaren Datenschutzrecht und den Klauseln zu verarbeiten;
(c) der Datenimporteur hinreichende Garantien bietet in Bezug auf die in Anhang 2 zu diesem Vertrag beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen;
(d) die Sicherheitsmaßnahmen unter Berücksichtigung der Anforderungen des anwendbaren Datenschutzrechts, des Standes der Technik, der bei ihrer Durchführung entstehenden Kosten, der von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten hinreichend gewährleisten, dass personenbezogene Daten vor der zufälligen oder unrechtmäßigen Zerstörung, dem zufälligem Verlust, der Änderung, der unberechtigten Weitergabe oder dem unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung der Daten über ein Netzwerk umfasst, und vor jeder anderen Form der unrechtmäßigen Verarbeitung geschützt sind;
(e) er für die Einhaltung dieser Sicherheitsmaßnahmen sorgt;
(f) die betroffene Person bei der Übermittlung besonderer Datenkategorien vor oder sobald wie möglich nach der Übermittlung davon in Kenntnis gesetzt worden ist oder gesetzt wird, dass ihre Daten in ein Drittland übermittelt werden könnten, das kein angemessenes Schutzniveau im Sinne der Richtlinie 95/46/EG bietet;
(g) er die gemäß Klausel 5 Buchstabe b sowie Klausel 8 Absatz 3 vom Datenimporteur oder von einem Unterauftragsverarbeiter erhaltene Mitteilung an die Kontrollstelle weiterleitet, wenn der Datenexporteur beschließt, die Übermittlung fortzusetzen oder die Aussetzung aufzuheben;
(h) er den betroffenen Personen auf Anfrage eine Kopie der Klauseln mit Ausnahme von Anhang 2 sowie eine allgemeine Beschreibung der Sicherheitsmaßnahmen zur Verfügung stellt; außerdem stellt er ihnen gegebenenfalls die Kopie des Vertrags über Datenverarbeitungsdienste zur Verfügung, der gemäß den Klauseln an einen Unterauftragsverarbeiter vergeben wurde, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall können solche Geschäftsinformationen herausgenommen werden;
(i) bei der Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter die Verarbeitung gemäß Klausel 11 erfolgt und die personenbezogenen Daten und die Rechte der betroffenen Person mindestens ebenso geschützt sind, wie vom Datenimporteur nach diesen Klauseln verlangt; und
(j) er für die Einhaltung der Klausel 4 Buchstaben a bis i sorgt.

Klausel 5

Pflichten des Datenimporteurs

Der Datenimporteur erklärt sich bereit und garantiert, dass:

(a) er die personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dessen Anweisungen und den vorliegenden Klauseln verarbeitet; dass er sich, falls er dies aus irgendwelchen Gründen nicht einhalten kann, bereit erklärt, den Datenexporteur unverzüglich davon in Kenntnis zu setzen, der unter diesen Umständen berechtigt ist, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten;
(b) er seines Wissens keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs und die Einhaltung seiner vertraglichen Pflichten unmöglich machen, und eine Gesetzesänderung, die sich voraussichtlich sehr nachteilig auf die Garantien und Pflichten auswirkt, die die Klauseln bieten sollen, dem Datenexporteur mitteilen wird, sobald er von einer solchen Änderung Kenntnis erhält; unter diesen Umständen ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten;
(c) er vor der Verarbeitung der übermittelten personenbezogenen Daten die in Anhang 2 beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen ergriffen hat;
(d) er den Datenexporteur unverzüglich informiert über
(i) alle rechtlich bindenden Aufforderungen einer Vollstreckungsbehörde zur Weitergabe der personenbezogenen Daten, es sei denn, dies wäre anderweitig untersagt, beispielsweise durch ein strafrechtliches Verbot zur Wahrung des Untersuchungsgeheimnisses bei strafrechtlichen Ermittlungen;
(ii) jeden zufälligen oder unberechtigten Zugang und
(iii) alle Anfragen, die direkt von den betroffenen Personen an ihn gerichtet werden, ohne diese zu beantworten, es sei denn, er wäre anderweitig dazu berechtigt;
(e) er alle Anfragen des Datenexporteurs im Zusammenhang mit der Verarbeitung der übermittelten personenbezogenen Daten durch den Datenexporteur unverzüglich und ordnungsgemäß bearbeitet und die Ratschläge der Kontrollstelle im Hinblick auf die Verarbeitung der übermittelten Daten befolgt;
(f) er auf Verlangen des Datenexporteurs seine für die Verarbeitung erforderlichen Datenverarbeitungseinrichtungen zur Prüfung der unter die Klauseln fallenden Verarbeitungstätigkeiten zur Verfügung stellt. Die Prüfung kann vom Datenexporteur oder einem vom Datenexporteur ggf. in Absprache mit der Kontrollstelle ausgewählten Prüfgremium durchgeführt werden, dessen Mitglieder unabhängig sind, über die erforderlichen Qualifikationen verfügen und zur Vertraulichkeit verpflichtet sind;
(g) er den betroffenen Personen auf Anfrage eine Kopie der Klauseln und gegebenenfalls einen bestehenden Vertrag über die Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter zur Verfügung stellt, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall können solche Geschäftsinformationen herausgenommen werden; Anhang 2 wird durch eine allgemeine Beschreibung der Sicherheitsmaßnahmen ersetzt, wenn die betroffene Person vom Datenexporteur keine solche Kopie erhalten kann;
(h) er bei der Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter den Datenexporteur vorher benachrichtigt und seine vorherige schriftliche Einwilligung eingeholt hat;
(i) der Unterauftragsverarbeiter die Datenverarbeitungsdienste in Übereinstimmung mit Klausel 11 erbringt;
(j) er dem Datenexporteur unverzüglich eine Kopie des Unterauftrags über die Datenverarbeitung zuschickt, den er nach den Klauseln geschlossen hat.

Klausel 6

Haftung

1. Die Parteien vereinbaren, dass jede betroffene Person, die durch eine Verletzung der in Klausel 3 oder 11 genannten Pflichten durch eine Partei oder den Unterauftragsverarbeiter Schaden erlitten hat, berechtigt ist, vom Datenexporteur Schadenersatz für den erlittenen Schaden zu erlangen.
2. Ist die betroffene Person nicht in der Lage, gemäß Absatz 1 gegenüber dem Datenexporteur wegen Verstoßes des Datenimporteurs oder seines Unterauftragsverarbeiters gegen in den Klauseln 3 und 11 genannte Pflichten Schadenersatzansprüche geltend zu machen, weil das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist, ist der Datenimporteur damit einverstanden, dass die betroffene Person Ansprüche gegenüber ihm statt gegenüber dem Datenexporteur geltend macht, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in diesem Fall kann die betroffene Person ihre Ansprüche gegenüber dem Rechtsnachfolger geltend machen.

Der Datenimporteur kann sich seiner Haftung nicht entziehen, indem er sich auf die Verantwortung des Unterauftragsverarbeiters für einen Verstoß beruft.
3. Ist die betroffene Person nicht in der Lage, gemäß den Absätzen 1 und 2 gegenüber dem Datenexporteur oder dem Datenimporteur wegen Verstoßes des Unterauftragsverarbeiters gegen in den Klauseln 3 und 11 aufgeführte Pflichten Ansprüche geltend zu machen, weil sowohl das Unternehmen des Datenexporteurs als auch das des Datenimporteurs faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind, ist der Unterauftragsverarbeiter damit einverstanden, dass die betroffene Person im Zusammenhang mit seinen Datenverarbeitungstätigkeiten aufgrund der Klauseln gegenüber ihm statt gegenüber dem Datenexporteur oder dem Datenimporteur einen Anspruch geltend machen kann, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs oder des Datenimporteurs übernommen; in diesem Fall kann die betroffene Person ihre Ansprüche gegenüber dem Rechtsnachfolger geltend machen. Eine solche Haftung des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach diesen Klauseln beschränkt.

Klausel 7

Schlichtungsverfahren und Gerichtsstand

1. Für den Fall, dass eine betroffene Person gegenüber dem Datenimporteur Rechte als Drittbegünstigte und/oder Schadenersatzansprüche aufgrund der Vertragsklauseln geltend macht, erklärt sich der Datenimporteur bereit, die Entscheidung der betroffenen Person zu akzeptieren, und zwar entweder:
(a) die Angelegenheit in einem Schlichtungsverfahren durch eine unabhängige Person oder gegebenenfalls durch die Kontrollstelle beizulegen oder
(b) die Gerichte des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, mit dem Streitfall zu befassen.
2. Die Parteien vereinbaren, dass die Entscheidung der betroffenen Person nicht die materiellen Rechte oder Verfahrensrechte dieser Person, nach anderen Bestimmungen des nationalen oder internationalen Rechts Rechtsbehelfe einzulegen, berührt.

Klausel 8

Zusammenarbeit mit Kontrollstellen

1. Der Datenexporteur erklärt sich bereit, eine Kopie dieses Vertrags bei der Kontrollstelle zu hinterlegen, wenn diese es verlangt oder das anwendbare Datenschutzrecht es so vorsieht.
2. Die Parteien vereinbaren, dass die Kontrollstelle befugt ist, den Datenimporteur und etwaige Unterauftragsverarbeiter im gleichen Maße und unter denselben Bedingungen einer Prüfung zu unterziehen, unter denen die Kontrollstelle gemäß dem anwendbaren Datenschutzrecht auch den Datenexporteur prüfen müsste.
3. Der Datenimporteur setzt den Datenexporteur unverzüglich über Rechtsvorschriften in Kenntnis, die für ihn oder etwaige Unterauftragsverarbeiter gelten und eine Prüfung des Datenimporteurs oder von Unterauftragsverarbeitern gemäß Absatz 2 verhindern. In diesem Fall ist der Datenexporteur berechtigt, die in Klausel 5 Buchstabe b vorgesehenen Maßnahmen zu ergreifen.

Klausel 9

Anwendbares Recht

Für diese Klauseln gilt das Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.

Klausel 10

Änderung des Vertrags

Die Parteien verpflichten sich, die Klauseln nicht zu verändern. Es steht den Parteien allerdings frei, erforderlichenfalls weitere, geschäftsbezogene Klauseln aufzunehmen, sofern diese nicht im Widerspruch zu der Klausel stehen.

Klausel 11

Verarbeitung durch Unterauftragnehmer

1. Der Datenimporteur darf ohne die vorherige schriftliche Einwilligung des Datenexporteurs keinen nach den Klauseln auszuführenden Verarbeitungsauftrag dieses Datenexporteurs an einen Unterauftragnehmer vergeben. Vergibt der Datenimporteur mit Einwilligung des Datenexporteurs Unteraufträge, die den Pflichten der Klauseln unterliegen, ist dies nur im Wege einer schriftlichen Vereinbarung mit dem Unterauftragsverarbeiter möglich, die diesem die gleichen Pflichten auferlegt, die auch der Datenimporteur nach den Klauseln erfüllen muss. (Diese Anforderung kann erfüllt sein, wenn der Unterauftragsverarbeiter den Vertrag zwischen Datenexporteur und Datenimporteur, der auf den AGB des vorliegenden Vertrags aufbaut, ebenfalls unterzeichnet.) Sollte der Unterauftragsverarbeiter seinen Datenschutzpflichten nach der schriftlichen Vereinbarung nicht nachkommen, bleibt der Datenimporteur gegenüber dem Datenexporteur für die Erfüllung der Pflichten des Unterauftragsverarbeiters nach der Vereinbarung uneingeschränkt verantwortlich.
2. Die vorherige schriftliche Vereinbarung zwischen dem Datenimporteur und dem Unterauftragsverarbeiter muss gemäß Klausel 3 auch eine Drittbegünstigtenklausel für Fälle enthalten, in denen die betroffene Person nicht in der Lage ist, einen Schadenersatzanspruch gemäß Klausel 6 Absatz 1 gegenüber dem Datenexporteur oder dem Datenimporteur geltend zu machen, weil diese faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind und kein Rechtsnachfolger durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs oder des Datenimporteurs übernommen hat. Eine solche Haftpflicht des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach den Klauseln beschränkt.
3. Für Datenschutzbestimmungen im Zusammenhang mit der Vergabe von Unteraufträgen über die Datenverarbeitung gemäß Absatz 1 gilt das Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.
4. Der Datenexporteur führt ein mindestens einmal jährlich zu aktualisierendes Verzeichnis der mit Unterauftragsverarbeitern nach den Klauseln geschlossenen Vereinbarungen, die vom Datenimporteur nach Klausel 5 Buchstabe j übermittelt wurden. Das Verzeichnis wird der Kontrollstelle des Datenexporteurs bereitgestellt.

Klausel 12

Pflichten nach Beendigung der Datenverarbeitungsdienste

1. Die Parteien vereinbaren, dass der Datenimporteur und der Unterauftragsverarbeiter bei Beendigung der Datenverarbeitungsdienste je nach Wunsch des Datenexporteurs alle übermittelten personenbezogenen Daten und deren Kopien an den Datenexporteur zurückschicken oder alle personenbezogenen Daten zerstören und dem Datenexporteur bescheinigen, dass dies erfolgt ist, sofern die Gesetzgebung, der der Datenimporteur unterliegt, diesem die Rückübermittlung oder Zerstörung sämtlicher oder Teile der übermittelten personenbezogenen Daten nicht untersagt. In diesem Fall garantiert der Datenimporteur, dass er die Vertraulichkeit der übermittelten personenbezogenen Daten gewährleistet und diese Daten nicht mehr aktiv weiterverarbeitet.
2. Der Datenimporteur und der Unterauftragsverarbeiter garantieren, dass sie auf Verlangen des Datenexporteurs und/oder der Kontrollstelle ihre Datenverarbeitungseinrichtungen zur Prüfung der in Absatz 1 genannten Maßnahmen zur Verfügung stellen.

ANHANG 1 ZU DEN STANDARDVERTRAGSKLAUSELN

Datenexporteur

Der in den Datenverarbeitungsbedingungen genannte Kunde ist der Datenexporteur.

Datenimporteur

Flexera gemäß seiner Definition in den Datenverarbeitungsbedingungen ist der Datenimporteur.

Betroffene Personen, Datenkategorien, besondere Datenkategorien (soweit zutreffend), Verarbeitungsauftrag

Diese Informationen sind über Bezugnahme auf Abschn. 2.1 bis 2.3 der Datenverarbeitungsbedingungen und der Mastervereinbarung als Teil des Vertrags anzusehen.

ANHANG 2 ZU DEN STANDARDVERTRAGSKLAUSELN

Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, die vom Datenimporteur gemäß Klauseln 4(d) und 5(c) umgesetzt werden (oder beigefügtes Dokument/Rechtsinstitut):

Anhang A der Datenverarbeitungsbedingungen gilt als der vorliegende Anhang 2.