Diese ZUSATZVEREINBARUNG ZUR VERARBEITUNG VON ENDANWENDERDATEN ("Zusatz") ist Bestandteil der Bedingungen für die gemeinsame Nutzung von Informationen und ist dem Lizenzvertrag und dem Profil- und Bestellformular (zusammen "EULSA") zwischen InterSystems ("InterSystems") und dem Endbenutzer ("Endbenutzer") beigefügt, wie in den EULSA vermerkt. InterSystems und der Endanwender sind Parteien dieser Zusatzvereinbarung (jede für sich "eine Partei", zusammen "Parteien"). In Anbetracht der hierin enthaltenen gegenseitigen Verpflichtungen und Versprechen sowie anderer guter und wertvoller Gegenleistungen, deren Erhalt und Hinlänglichkeit hiermit von den Parteien anerkannt wird, vereinbaren die Parteien Folgendes:
Alle in dieser Nachtrag Zusatzvereinbarung verwendeten und nicht an anderer Stelle hierin oder in der EULSA definierten Begriffe in Großbuchstaben haben dieselbe Bedeutung wie die im Datenschutzgesetz verwendeten oder definierten Begriffe, wie nachstehend definiert. Die Bestimmungen dieser Zusatzvereinbarung ersetzen alle widersprüchlichen Bestimmungen des EULSA und alle anderen Bestimmungen in Bezug auf den Datenschutz oder die Verarbeitung von Informationen.
Die Parteien erkennen an, dass die von InterSystems im Rahmen des EULSA erbrachten Dienstleistungen nicht dazu führen sollen, dass InterSystems personenbezogene Daten einer betroffenen Person in einem betrieblichen Kontext erstellt, empfängt, pflegt, überträgt, verwendet, offenlegt oder anderweitig verarbeitet, der Daten des Endanwenders, wie nachstehend definiert, darstellt; da der Endanwender jedoch unter bestimmten Umständen verpflichtet sein kann, die Datenschutzgesetze, wie nachstehend definiert, einzuhalten, verlangt der Endanwender von seinen Dienstleistern, die mit den Daten des Endanwenders in Berührung kommen können, dass sie eine Datenverarbeitungsvereinbarung mit dem Endanwender abschließen, und InterSystems ist bereit, eine solche Vereinbarung für den unwahrscheinlichen Fall abzuschließen, dass InterSystems Daten des Endanwenders verarbeitet, ohne zuzugeben, dass InterSystems im Allgemeinen ein Verarbeiter für den Endanwender ist. In Bezug auf andere von InterSystems verarbeitete personenbezogene Daten, bei denen es sich nicht um Endanwenderdaten handelt ("InterSystems Daten"), vereinbaren die Parteien, dass InterSystems der für die Datenverarbeitung Verantwortliche ist und dass die Parteien nicht gemeinsam für die InterSystems Daten verantwortlich sind.
Begriffsbestimmungen.
1.1. Sofern im geltenden Datenschutzrecht (wie nachstehend definiert) nicht anders festgelegt, haben die in diesem Abschnitt aufgeführten Begriffe in Großbuchstaben die folgende Bedeutung:1.2. Verantwortlicher für die Datenverarbeitung. "Datenverantwortlicher" bedeutet, wenn in diesem Nachtrag auf den Endanwender Bezug genommen wird, auch wenn der Ender in Bezug auf die verarbeiteten personenbezogenen Daten ein Auftragsverarbeiter für einen Verantwortlichen ist.
1.3. Eigentümer der Daten. "Dateneigentümer" bedeutet in Bezug auf jedes Element personenbezogener Daten in den Daten des Endanwenders den Endanwender oder, wenn der Endanwender in Bezug auf die personenbezogenen Daten ein Auftragsverarbeiter für einen Verantwortlichen ist, diesen Verantwortlichen.
1.4. Datenverarbeiter. "Datenverarbeiter" bezeichnet eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die personenbezogene Daten im Auftrag eines für die Verarbeitung Verantwortlichen verarbeitet, wenn (1) InterSystems und der Endanwender einvernehmlich vereinbaren, dass InterSystems in der Eigenschaft als Verarbeiter des Endanwenders handelt, wie dies in einer spezifischen und individuellen Geschäftsordnung festgelegt ist, und (2) InterSystems nicht anderweitig in der Eigenschaft als Dienstleister, Drittanbieter für den Endanwender oder als für die Verarbeitung Verantwortlicher handelt.
1.5. Gesetzgebung zum Datenschutz. "Datenschutzgesetzgebung" bezeichnet die DSGVO (engl. GDPR) und die nationalen Umsetzungsgesetze, das Schweizerische Bundesgesetz über den Datenschutz (in seiner jeweils geänderten und ersetzten Fassung), das Datenschutzgesetz des Vereinigten Königreichs (in seiner jeweils geänderten und ersetzten Fassung) und die Datenschutzgesetze der EWR-Länder (in ihrer jeweils geänderten und ersetzten Fassung, sofern anwendbar).
1.6. Endanwenderdaten. "Endanwenderdaten" sind alle personenbezogenen Daten, für die der Endanwender oder, wenn der Endanwender ein Auftragsverarbeiter für einen Verantwortlichen ist, der Verantwortliche allein die Zwecke und Mittel der Verarbeitung dieser personenbezogenen Daten bestimmt und die von oder im Namen des Endanwenders an InterSystems übermittelt werden; unter der Voraussetzung, dass Endanwenderdaten keine personenbezogenen Daten umfassen, die oben als InterSystems-Daten definiert sind
.1.7. Datenschutzgesetz. "Datenschutzgesetz" bezeichnet alle anwendbaren Gesetze oder Vorschriften zum Datenschutz und zur Verarbeitung, Erhebung, Nutzung und zum Schutz personenbezogener Daten in jeder Rechtsordnung, die auf Ihren Vertrag oder die Kundendaten anwendbar ist, einschließlich, aber nicht beschränkt auf den Data Protection Act 2018 (UK), GDPR, Gramm-Leach-Bliley Act (US), Privacy Act (AU), Privacy Act 1993 (NZ).
Eigentum an den Daten.
2.1. Endanwenderdaten, die der Datenverarbeiter im Auftrag des Datenverantwortlichen verarbeitet, bleiben jederzeit Eigentum des Dateneigentümers.2.2. Sollte eine der Vertragsparteien das EULSA aus irgendeinem Grund kündigen, entscheidet der Endanwender, ob die einzelnen Daten des Endanwenders, soweit der Datenverarbeiter sie noch aufbewahrt, an den Endanwender zurückgegeben oder gelöscht werden. Alle Verarbeitungen durch den Datenverarbeiter enden, mit Ausnahme von Verarbeitungen, die gesetzlich vorgeschrieben oder für die Beendigung des EULSA erforderlich sind.
2.3. Der für die Verarbeitung Verantwortliche kann den Datenverarbeiter jederzeit auffordern, die Verarbeitung von Endanwenderdaten einzustellen und die Endanwenderdaten zu löschen oder an den für die Verarbeitung Verantwortlichen zurückzugeben.
2.4. Stellt der Datenverarbeiter fest, dass die in diesem Abschnitt geforderte Rückgabe oder Vernichtung der Endanwenderdaten nicht durchführbar ist, so hat der Datenverarbeiter den Schutz dieses Zusatzes auf diese Endanwenderdaten auszudehnen und die weitere Verarbeitung dieser Endanwenderdaten auf die Zwecke zu beschränken, die die Rückgabe oder Vernichtung undurchführbar machen, solange der Datenverarbeiter diese Endanwenderdaten aufbewahrt
Pflichten und Tätigkeiten des Datenverarbeiters.
3.1. Der Datenverarbeiter erklärt sich damit einverstanden, Endanwenderdaten vorbehaltlich technischer und organisatorischer Sicherheitsmaßnahmen zu verarbeiten, die, wenn der Datenverarbeiter in Bezug auf diese Daten der für die Verarbeitung Verantwortliche wäre, den Datenschutzgesetzen wie Artikel 32 der DSGVO, Sicherheit der Verarbeitung, genügen würden, d. h. "Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter treffen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Maß an Sicherheit zu gewährleisten", und unternehmen angemessene Schritte, um die Einhaltung dieser Maßnahmen sicherzustellen.3.2. Der Datenverarbeiter erklärt sich damit einverstanden, solche Endanwenderdaten nur in Übereinstimmung mit den Anweisungen des Endanwenders zu verarbeiten, die der Endanwender von Zeit zu Zeit schriftlich erteilt.
3.3. Der Datenverarbeiter erklärt sich damit einverstanden, alle durch das Datenschutzgesetz auferlegten Verpflichtungen so zu erfüllen, als ob der Datenverarbeiter in Bezug auf diese Endanwenderdaten der für die Verarbeitung Verantwortliche wäre.
3.4. Der Datenverarbeiter verpflichtet sich, dafür zu sorgen, dass alle Mitarbeiter, Vertreter, Auftragnehmer und andere Personen, die Zugang zu den Endanwenderdaten haben, darauf hingewiesen werden, dass die Daten vertraulich sind und nicht an Personen weitergegeben werden dürfen, die nicht einer einklagbaren Geheimhaltungspflicht in Bezug auf diese Daten unterliegen. Nur Mitarbeiter usw., die aus betrieblichen Gründen auf Endanwenderdaten zugreifen müssen, sind dazu befugt und (in Bezug auf logische, physische oder andere Sicherheitsmaßnahmen) in der Lage.
3.5. Sollte der Datenverarbeiter die Verarbeitung von Endanwenderdaten an Unterauftragnehmer vergeben wollen, muss er jedem Unterauftragnehmer die gleichen vertraglichen Verpflichtungen in Bezug auf Datenschutz und Sicherheit auferlegen, wie sie in diesem Nachtrag festgelegt wurden.
3.6. Der Datenverarbeiter verpflichtet sich, den für die Verarbeitung Verantwortlichen unverzüglich, spätestens jedoch zweiundsiebzig (72) Stunden nach Bekanntwerden von Sicherheitsverletzungen in Bezug auf Endanwenderdaten innerhalb seiner eigenen Organisation oder der Organisation eines Unterauftragnehmers zu informieren.
3.7. Der Datenverarbeiter verpflichtet sich, dafür zu sorgen, dass alle Mitarbeiter, die mit der Verarbeitung von Endanwenderdaten befasst sind, eine angemessene Schulung in Bezug auf Datenschutzverfahren erhalten, und die von diesen Mitarbeitern absolvierten Schulungen sowie die Inhalte aller Kurse zu ermitteln und aufzuzeichnen. Der Datenverarbeiter stellt sicher, dass keine anderen Beauftragten oder Mitarbeiter des Datenverarbeiters Zugang zu den Endanwenderdaten erhalten.
3.8.
Der Datenverarbeiter erklärt sich damit einverstanden, dass die Daten des für die Verarbeitung Verantwortlichen nicht ohne schriftliche Zustimmung des Endanwenders in ein Land oder Gebiet außerhalb des für Ihren Vertrag geltenden Datenschutzrechts übertragen werden, es sei denn, (1) dieses Land oder Gebiet gewährleistet ein angemessenes Schutzniveau für die Rechte und Freiheiten der betroffenen Personen in Bezug auf die Verarbeitung personenbezogener Daten, wie es von der zuständigen Datenschutzbehörde festgelegt wurde; (2) ohne dass ein stillschweigender Verstoß gegen diese Bestimmung vorliegt, wenn der Datenverarbeiter von der Europäischen Kommission genehmigte Standardvertragsklauseln in Bezug auf eine solche Übertragung abgeschlossen hat; oder (3) der Datenverarbeiter sich auf verbindliche unternehmensinterne Regeln verpflichtet hat, wie sie von einer einschlägigen Datenschutzbehörde genehmigt oder akzeptiert wurden; vorausgesetzt, der Endanwender kann solche Übertragungen im Rahmen spezifischer und individueller Verpflichtungsregeln einschränken, solange der Endanwender zustimmt, dass InterSystems nicht gegen seine Verpflichtungen im Rahmen des EULSA verstößt, wenn InterSystems den Datentransfer zur Erfüllung des benötigten Dienstleistung Services oder Supports für notwendig erachtet.Verpflichtungen des Endanwenders.
4.1. Der Endanwender stellt InterSystems nur dann Endanwenderdaten zur Verfügung, wenn dies für die Zwecke des EULSA unbedingt erforderlich ist, und verpflichtet sich, nur die für die Erbringung der Dienstleistung oder des Supports erforderlichen personenbezogenen Daten bereitzustellen.4.2. Der Endanwender darf den Datenverarbeiter nicht auffordern, die Daten des Endanwenders in einer Weise zu verarbeiten, die der Endanwender als für die Verarbeitung Verantwortlicher oder als Verarbeiter für einen für die Verarbeitung Verantwortlichen nicht tun könnte; vorausgesetzt, InterSystems benachrichtigt den Endanwender unverzüglich schriftlich mit ausreichenden Informationen, um den Einwand zu beschreiben, wenn InterSystems der Ansicht ist, dass eine der Anweisungen des Endanwenders gegen die Datenschutzgesetzgebung verstößt. Wenn der Endanwender mit der Feststellung von InterSystems einverstanden ist, dass die Anweisungen des Endanwenders gegen die Datenschutzgesetzgebung verstoßen, muss der Endanwender InterSystems davon in Kenntnis setzen, und InterSystems ist nicht verpflichtet, dieser Anweisung Folge zu leisten, noch kann die Nichtbeachtung einer solchen Anweisung durch InterSystems als Verstoß gegen das EULSA angesehen werden. Widerspricht der Endanwender der Feststellung von InterSystems, dass die Anweisungen des Endanwenders gegen die Datenschutzgesetze verstoßen, muss der Endanwender schriftlich erklären, warum die Anweisungen mit den Datenschutzgesetzen übereinstimmen, und InterSystems kann sich auf diese Erklärung stützen, um die Anweisungen des Endanwenders auszuführen.
4.3. Der Endanwender sichert zu und gewährleistet, dass er (oder, falls der Endanwender ein Datenverarbeiter ist, der jeweilige Dateneigentümer) die Daten des Endanwenders in der Art und Weise verarbeiten darf, in der der Datenverarbeiter berechtigt ist, personenbezogene Daten gemäß diesem Nachtrag zu verarbeiten.
4.4. Der Endanwender ist dafür verantwortlich, jederzeit administrative, physische und technische Sicherheitsvorkehrungen zu treffen, um die Vertraulichkeit, den Schutz der Privatsphäre und die Sicherheit der an den Datenverarbeiter übermittelten Endanwenderdaten in Übereinstimmung mit den Standards und Anforderungen der Datenschutzgesetzgebung zu wahren und zu gewährleisten, bis diese Endanwenderdaten beim Datenverarbeiter eingehen.
4.5. Der Endanwender muss alle Zustimmungen oder Genehmigungen einholen, die nach geltendem Recht erforderlich sind, damit der Datenverarbeiter seine Dienste im Rahmen des EULSA erbringen kann
Sonstiges.
5.1. Referenzen. Ein Verweis in diesem Nachtrag auf eine Formulierung in der Datenschutz-Grundverordnung bedeutet die Formulierung in der geltenden oder geänderten Fassung und zum Zeitpunkt ihrer Einhaltung.5.2. Änderungen an dieser Zusatzvereinbarung. Der Endanwender erklärt sich damit einverstanden, dass InterSystems diesen Nachtrag oder die EULSA nach Treu und Glauben ändern kann, wenn dies erforderlich ist, um Änderungen in der Datenschutzgesetzgebung zu erfüllen.
5.3. Fortbestand. Die jeweiligen Rechte und Pflichten des Datenverarbeiters und des für die Verarbeitung Verantwortlichen bleiben bestehen, solange entweder der Datenverarbeiter oder der für die Verarbeitung Verantwortliche Endanwenderdaten im Rahmen dieses Nachtrags oder der EULSA verarbeitet.
5.4. Auslegung. Unklarheiten in dieser Nachtrag Zusatzvereinbarung sind so zu klären, dass die Parteien die Datenschutzgesetze einhalten können.
- Die Rechte und Pflichten aus dieser Zusatzvereinbarung gelten zusätzlich zu und nicht anstelle von Rechten und Pflichten, die sich zwischen den Parteien aus anderen Verträgen oder dem Gewohnheitsrecht ergeben
- Für den Fall, dass eine Person eine Vertraulichkeitsverpflichtung verletzt oder zu verletzen droht, die sie einer der Vertragsparteien in Bezug auf Endanwenderdaten schuldet, zu denen sie aufgrund dieser Zusatzvereinbarung Zugang hat oder hatte, verpflichtet sich die Vertragspartei, der die Verpflichtung geschuldet wird, sich nach besten Kräften zu bemühen, die betreffende Verpflichtung durchzusetzen.