Datenverarbeitungsvereinbarung (global)

Letzte Änderung: September 2023

Diese Datenverarbeitungsvereinbarung, einschließlich ihrer Anhänge und Anlagen („DVV“), wird zwischen der Avigilon Corporation, einer hundertprozentigen Tochtergesellschaft von Motorola Solutions, Inc. („Motorola Solutions“), im eigenen Namen und im Namen ihrer verbundenen Unternehmen und Tochtergesellschaften („Avigilon“) geschlossen und dem im Signaturblock unten genannten Kunden („Kunde“) und spiegelt die Vereinbarung der Parteien hinsichtlich der Verarbeitung von Kundendaten wider, die gemäß der Vereinbarung des Kunden (die „Vereinbarung“) mit einem autorisierten Wiederverkäufer von Avigilon personenbezogene Daten enthalten können. Im Falle eines Konflikts zwischen dieser DVV, der Vereinbarung oder einem Anhang, einer Anlage oder anderen Ergänzungen zur Vereinbarung hat diese DVV Vorrang.

Wenn der Kunde seine Produkte oder Dienste verlängert oder neue Produkte oder Dienste erwirbt, muss die zu diesem Zeitpunkt gültige DVV gelten und darf während der geltenden Laufzeit nicht geändert werden. Wenn Avigilon neue Funktionen oder Ergänzungen zu den Produkten oder Dienste anbietet, kann Avigilon zusätzliche Bedingungen bereitstellen oder diese DVV aktualisieren, die für die Nutzung dieser neuen Funktionen oder Ergänzungen durch den Kunden gelten müssen.

1. Definitionen.

Alle Begriffe, die hier nicht definiert sind, müssen die in der Vereinbarung festgelegte Bedeutung haben. Alle Begriffe, die in dieser DVV nicht definiert sind, müssen die Bedeutung haben, die in Artikel 4 der DSGVO festgelegt ist, wenn sie dort definiert sind, unabhängig davon, ob die DSGVO Anwendung findet.

„Avigilon-Daten“ bezeichnet Daten, die Eigentum von Avigilon sind und dem Kunden im Zusammenhang mit den Produkten und Dienstleistungen zur Verfügung gestellt werden.

„Kundenkontaktdaten“ bezeichnet Daten, die Avigilon vom Kunden, seinen autorisierten Benutzern und deren Endbenutzern für geschäftliche Kontaktzwecke erfasst, einschließlich, aber nicht beschränkt auf Marketing‑, Werbe‑, Lizenzierungs- und Verkaufszwecke.

„Kundendaten“ bezeichnet Daten, einschließlich Bilder, Text, Videos und Audio, die Avigilon durch, über oder im Namen des Kunden und seiner autorisierten Benutzer oder deren Endbenutzer durch die Nutzung der Produkte und Dienste zur Verfügung gestellt werden. Kundendaten umfassen keine Kundenkontaktdaten, Dienstnutzungsdaten mit Ausnahme des Teils, der aus personenbezogenen Informationen besteht, oder Daten von Drittanbietern.

„Datenschutzgesetze“ bezeichnet alle Datenschutzgesetze und ‑vorschriften, die für eine Partei in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung gelten.

„Betroffene Personen“ bezeichnet die identifizierte oder identifizierbare Person, auf die sich personenbezogene Daten beziehen.

„Metadaten“ bezeichnet Daten, die andere Daten beschreiben.

„Personenbezogene Daten“ oder „Personenbezogene Informationen“ bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen und von, durch oder im Namen des Kunden und seiner autorisierten Benutzer oder deren Endbenutzer als Teil der Kundendaten an Avigilon übermittelt werden. Eine identifizierbare natürliche Person ist eine natürliche Person, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

„Auftragsverarbeiter“ bezeichnet eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Auftragsverarbeiter handeln im Auftrag des jeweiligen Verantwortlichen und unter dessen Weisung. Dabei dienen sie den Interessen des Verantwortlichen und nicht ihren eigenen.

„Verarbeiten“ oder „Verarbeitung“ bezeichnet jeden Vorgang oder jede Vorgangsreihe, die mit oder ohne Hilfe automatisierter Verfahren an personenbezogenen Daten oder einer Reihe personenbezogener Daten durchgeführt werden, z. B. das Erheben, Erfassen, Kopieren, Analysieren, Zwischenspeichern, Organisieren, Strukturieren, Speichern, Anpassen oder Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übertragung, Verbreiten oder sonstiges Bereitstellen, Abgleichen oder Kombinieren, Einschränken, Löschen oder Vernichten.

„Sicherheitsvorfall“ bezeichnet einen Vorfall, der zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung oder zur Offenlegung oder zum Zugriff auf Kundendaten führt, zu denen auch personenbezogene Daten gehören können, während sie von Avigilon verarbeitet werden.

„Dienstnutzungsdaten“ bezeichnet Daten, die über die Nutzung der Produkte und Dienste durch die Nutzung der Produkte und Dienste durch den Kunden oder die Unterstützung der Produkte und Dienste durch Avigilon generiert werden. Dazu können Metadaten, personenbezogene Daten, Produktleistungs- und Fehlerinformationen, Aktivitätsprotokolle sowie Datum und Uhrzeit der Nutzung gehören.

„Standardvertragsklauseln“ bezeichnet die hier als Anhang 1 beigefügten Klauseln gemäß der Entscheidung der Europäischen Kommission (C(2021) 3972 vom 4. Juni 2021) über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter mit Sitz in Drittländern, die kein angemessenes Datenschutzniveau gewährleisten.

„Unterauftragsverarbeiter“ bezeichnet andere Auftragsverarbeiter, die von Avigilon mit der Verarbeitung von Kundendaten beauftragt werden, die personenbezogene Daten enthalten können.

„Daten Dritter“ bezeichnet Informationen, die von Avigilon aus öffentlich zugänglichen Quellen oder von Drittanbietern von Inhalten bezogen und dem Kunden über die Produkte oder Dienstleistungen zur Verfügung gestellt werden.

2. Verarbeitung von Kundendaten

2.1 Rollen der Parteien. Die Parteien vereinbaren, dass in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen dieser Vereinbarung der Kunde der Verantwortliche und Avigilon der Auftragsverarbeiter ist, der Unterauftragsverarbeiter gemäß den Anforderungen im nachstehenden Abschnitt 6 mit der Überschrift „Unterauftragsverarbeiter“ unten beauftragen kann.
2.2 Verarbeitung von Kundendaten durch Avigilon. Avigilon und der Kunde vereinbaren, dass Avigilon Kundendaten, einschließlich der in den Dienstnutzungsdaten eingebetteten personenbezogenen Informationen, nur in Übereinstimmung mit den dokumentierten Anweisungen des Kunden für die folgenden Zwecke verwenden und verarbeiten darf: (i) zur Erbringung von Dienstleistungen und Bereitstellung von Produkten im Rahmen der Vereinbarung; (ii) zur Analyse von Kundendaten für den Betrieb, die Wartung, die Verwaltung und die Verbesserung von Avigilon-Produkten und ‑Dienstleistungen; und (iii) zur Erstellung neuer Produkte und Dienstleistungen. Der Kunde erklärt sich damit einverstanden, dass seine Vereinbarung (einschließlich dieser DVV) zusammen mit der Produkt- und Dienstdokumentation und der Verwendung und Konfiguration der Funktionen der Produkte und Dienste durch den Kunden die vollständigen und endgültigen dokumentierten Anweisungen des Kunden an Avigilon für die Verarbeitung von Kundendaten sind. Alle zusätzlichen oder abweichenden Anweisungen müssen gemäß dem Verfahren zur Änderung der Kundenvereinbarung vereinbart werden. Der Kunde sichert Avigilon zu, dass die Anweisungen des Kunden, einschließlich der Ernennung von Avigilon als Auftragsverarbeiter oder Unterauftragsverarbeiter, von dem jeweiligen Verantwortlichen genehmigt wurden. Kundendaten können von Avigilon an jedem ihrer weltweiten Standorte verarbeitet und/oder an Unterauftragsverarbeiter weitergegeben werden. Es liegt in der Verantwortung des Kunden, autorisierte Benutzer über die Erfassung und Verwendung von Kundendaten durch Avigilon zu informieren, alle erforderlichen Zustimmungen einzuholen, alle notwendigen Mitteilungen zu machen und alle anderen anwendbaren rechtlichen Anforderungen in Bezug auf diese Erfassung und Verwendung zu erfüllen. Der Kunde sichert Avigilon zu und gewährleistet, dass er die Bedingungen dieser Bestimmung eingehalten hat.

Zur Klarstellung: Solange der Kunde nicht spezifisch identifiziert wird, umfassen „Kundendaten“, wie in der Vereinbarung definiert, keine Sicherheitsbedrohungsdaten und Daten zur Risikominderung im Allgemeinen, und Avigilon steht es frei, diese zu verwenden, weiterzugeben und zu nutzen, einschließlich, aber nicht beschränkt auf Bedrohungsvektoren und IP-Adressen von Dritten, Datei-Hash-Informationen, Domänennamen, Malware-Signaturen und ‑Informationen, von Drittquellen erhaltene Informationen, Indikatoren für eine Gefährdung sowie Taktiken, Techniken und Verfahren, die im Rahmen der Erbringung von Dienstleistungen verwendet, gelernt oder entwickelt wurden.
2.3 Einzelheiten der Verarbeitung. Der Gegenstand der Verarbeitung personenbezogener Daten durch Avigilon im Rahmen dieser Vereinbarung, die Dauer der Verarbeitung, die Kategorien der betroffenen Personen und die Arten der personenbezogenen Daten sind in Anlage I dieser DVV aufgeführt.
2.4 Offenlegung von verarbeiteten Daten. Avigilon darf Kundendaten nicht an Dritte weitergeben, es sei denn, es handelt sich um Unterauftragsverarbeiter, Lieferanten und Vertriebspartner von Avigilon, die für die Bereitstellung der Produkte und Dienstleistungen erforderlich sind, es sei denn, dies ist gemäß dieser Vereinbarung zulässig, vom Kunden genehmigt oder gesetzlich vorgeschrieben. Falls eine Regierungs- oder Aufsichtsbehörde den Zugriff auf Kundendaten verlangt, muss Avigilon den Kunden, soweit gesetzlich zulässig, über den Erhalt der Forderung informieren, damit der Kunde genügend Zeit hat, um in der betreffenden Gerichtsbarkeit angemessene Rechtsmittel einzulegen. Unter allen Umständen behält sich Avigilon das Recht vor, das geltende Recht einzuhalten. Avigilon muss sicherstellen, dass seine Mitarbeiter einer Vertraulichkeitspflicht unterliegen, und wird seine Unterauftragsverarbeiter vertraglich zu einer Vertraulichkeitspflicht in Bezug auf den Umgang mit Kundendaten und allen in den Dienstnutzungsdaten enthaltenen personenbezogenen Daten verpflichten.
2.5 Verpflichtung des Kunden. Der Kunde trägt die alleinige Verantwortung für die Einhaltung aller Datenschutzgesetze und die Festlegung und Aufrechterhaltung seiner eigenen Richtlinien und Verfahren, um diese Einhaltung sicherzustellen. Der Kunde darf die Produkte und Dienstleistungen nicht in einer Weise nutzen, die gegen die geltenden Datenschutzgesetze verstößt. Der Kunde trägt die alleinige Verantwortung für (a) die Rechtmäßigkeit der Übermittlung personenbezogener Daten an Avigilon, (b) die Richtigkeit, Qualität und Rechtmäßigkeit der Avigilon zur Verfügung gestellten personenbezogenen Daten, (c) die Mittel, mit denen der Kunde personenbezogene Daten erworben hat, und (d) die Bereitstellung aller erforderlichen Mitteilungen an die Betroffenen und die Einholung aller erforderlichen Bestätigungen, Genehmigungen oder Zustimmungen von den Betroffenen. Der Kunde übernimmt die volle Verantwortung dafür, die Menge der Avigilon zur Verfügung gestellten personenbezogenen Daten auf das Minimum zu beschränken, das Avigilon für die Erfüllung der Vereinbarung benötigt. Der Kunde ist allein für die Einhaltung der geltenden Datenschutzgesetze verantwortlich. Der Kunde erklärt sich damit einverstanden, dass er administrative, physische und technische Sicherheitsvorkehrungen für die Umgebung und die Vorgänge des Kunden getroffen hat, die nicht weniger streng sind als die anerkannten Branchenpraktiken, und stellt sicher, dass alle diese Sicherheitsvorkehrungen den geltenden Datenschutzgesetzen entsprechen. Der Kunde erklärt sich damit einverstanden, dass Avigilon nicht für Sicherheitsvorfälle haftet, die sich aus einem Verstoß des Kunden gegen diese Anforderung ergeben.
2.6 Entschädigung durch den Kunden. Der Kunde verteidigt, entschädigt und hält Avigilon und seine Unterauftragnehmer, Tochtergesellschaften und andere verbundene Unternehmen schadlos gegenüber allen Schäden, Verlusten, Haftungen und Ausgaben (einschließlich angemessener Anwaltsgebühren und ‑kosten), die sich aus tatsächlichen oder drohenden Ansprüchen, Forderungen, Klagen oder Verfahren Dritter ergeben, die sich aus der Nichteinhaltung der Verpflichtungen des Kunden im Rahmen dieser Vereinbarung und/oder anwendbarer Datenschutzgesetze ergeben oder damit zusammenhängen. Avigilon benachrichtigt den Kunden unverzüglich und schriftlich über jeden Anspruch, der der vorstehenden Entschädigung unterliegt. Avigilon wird auf eigene Kosten mit dem Kunden bei der Verteidigung oder Beilegung des Anspruchs zusammenarbeiten.

3. Daten zur Dienstnutzung. Sofern es sich nicht um personenbezogene Daten handelt, versteht der Kunde und erklärt sich damit einverstanden, dass Avigilon Dienstnutzungsdaten für eigene Zwecke erfassen und verwenden darf, sofern diese Zwecke mit den geltenden Datenschutzgesetzen vereinbar sind. Dienstnutzungsdaten können von Avigilon an jedem seiner weltweiten Standorte verarbeitet und/oder an Unterauftragsverarbeiter weitergegeben werden.

4. Daten von Drittanbietern und Avigilon-Daten. Avigilon-Daten und Daten von Drittanbietern können dem Kunden über die Produkte und Dienstleistungen zur Verfügung stehen. Der Kunde und seine autorisierten Benutzer können die Avigilon-Daten und die Daten von Drittanbietern gemäß den Erlaubnissen von Avigilon und des jeweiligen Drittanbieters verwenden, wie in der Vereinbarung beschrieben. Sofern dies nicht ausdrücklich in der Vereinbarung erlaubt ist, darf der Kunde nicht und muss sicherstellen, dass seine autorisierten Benutzer nicht: (a) die Avigilon-Daten oder Daten von Drittanbietern für andere Zwecke als die internen Geschäftszwecke des Kunden verwenden oder die Daten an Dritte weitergeben; (b) diese Daten als „White Label“ kennzeichnen oder auf andere Weise ihre Quelle oder ihr Eigentum falsch darstellen oder die Daten in irgendeiner Weise weiterverkaufen, verteilen, unterlizenzieren oder kommerziell nutzen; (c) diese Daten unter Verstoß gegen geltende Gesetze verwenden; (d) solche Daten für Aktivitäten oder Zwecke verwenden, bei denen das Vertrauen auf die Daten zum Tod, zu Verletzungen oder zu Sachschäden führen könnte; (e) jegliche Markierungen oder Hinweise auf Eigentumsrechte entfernen, verschleiern, verändern oder fälschen, die auf die Quelle, den Ursprung oder das Eigentum der Daten hinweisen; oder (f) solche Daten modifizieren oder sie mit Kundendaten oder anderen Daten kombinieren oder die Daten zum Aufbau von Datenbanken verwenden. In der Vereinbarung können zusätzliche Einschränkungen festgelegt werden. Alle Rechte, die dem Kunden oder autorisierten Benutzern in Bezug auf Avigilon-Daten oder Daten von Drittanbietern gewährt werden, erlöschen sofort mit der Kündigung oder dem Auslaufen des Vereinbarung. Darüber hinaus kann Avigilon oder der betreffende Drittdatenanbieter den Zugriff des Kunden oder eines autorisierten Benutzers auf Avigilon-Daten oder Drittdaten aussetzen, ändern oder beenden, wenn Avigilon oder der betreffende Drittdatenanbieter der Ansicht ist, dass die Verwendung der Daten durch den Kunden oder den autorisierten Benutzer gegen die Vereinbarung, das geltende Recht oder die Vereinbarung von Avigilon mit dem betreffenden Drittdatenanbieter verstößt. Bei Beendigung der Rechte des Kunden zur Nutzung von Avigilon-Daten oder Drittanbieterdaten müssen der Kunde und alle autorisierten Benutzer die Nutzung dieser Daten sofort einstellen, alle Kopien dieser Daten löschen und Avigilon diese Löschung bestätigen. Ungeachtet gegenteiliger Bestimmungen in der Vereinbarung haftet Avigilon nicht für Daten von Drittanbietern oder Avigilon-Daten, die über die Produkte und Dienstleistungen verfügbar sind. Avigilon und seine Drittdatenanbieter behalten sich alle Rechte an Avigilon-Daten und Drittdaten vor, die nicht ausdrücklich in der Vereinbarung gewährt werden.

5. Avigilon als Verantwortlicher oder Mitverantwortlicher. In allen Fällen, in denen Avigilon als Verantwortlicher handelt, muss das Unternehmen die geltenden Bestimmungen der Datenschutzerklärung unter https://www.avigilon.com/about…, einhalten, die von Zeit zu Zeit aktualisiert werden kann. Avigilon besitzt alle Kundenkontaktdaten als Verantwortlicher und muss diese Kundenkontaktdaten in Übereinstimmung mit der Avigilon-Datenschutzerklärung verarbeiten. In Fällen, in denen Avigilon als gemeinsamer Verantwortlicher mit dem Kunden agiert, müssen die Parteien einen separaten Nachtrag zur Vereinbarung abschließen, um die jeweiligen Rollen als gemeinsame Verantwortliche zuzuweisen.

6. Unterauftragsverarbeiter.

6.1 Einsatz von Unterauftragsverarbeitern. Der Kunde stimmt zu, dass Avigilon Unterauftragsverarbeiter beauftragen kann, die ihrerseits Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten gemäß der DVV beauftragen können. Eine aktuelle Liste der Unterauftragsverarbeiter ist in Anlage III enthalten. Bei der Beauftragung von Unterauftragsverarbeitern muss Avigilon Vereinbarungen mit den Unterauftragsverarbeitern abschließen, um sie an Verpflichtungen zu binden, die im Wesentlichen den in dieser DVV festgelegten Verpflichtungen entsprechen oder strenger sind als diese.
6.2 Änderungen bei der Unterverarbeitung. Der Kunde willigt hiermit ein, dass Avigilon Unterauftragsverarbeiter mit der Verarbeitung von Kundendaten beauftragt, vorausgesetzt, dass: (i) Avigilon muss sich in angemessener Weise bemühen, die Hinzufügung oder Entfernung eines Unterauftragsverarbeiters mindestens 10 Tage im Voraus anzukündigen, was durch die Veröffentlichung von Einzelheiten über eine solche Hinzufügung oder Entfernung unter einer dem Kunden in Anlage III dieser Vereinbarung zur Verfügung gestellten URL erfolgen kann; (ii) Avigilon erlegt jedem beauftragten Unterauftragsverarbeiter Datenschutzbedingungen auf, die die Kundendaten nach demselben Standard schützen, wie er in dieser Vereinbarung vorgesehen ist; und (iii) Avigilon haftet in vollem Umfang für jeden Verstoß gegen diese Klausel, der durch eine Handlung, einen Fehler oder eine Unterlassung des/der Unterauftragsverarbeiter(s) verursacht wird. Der Kunde kann gegen die Ernennung oder den Austausch eines Unterauftragsverarbeiters durch Avigilon vor dessen Ernennung oder Austausch Einspruch erheben, sofern ein solcher Einspruch auf angemessenen Gründen in Bezug auf den Datenschutz beruht. In einem solchen Fall wird Avigilon entweder den Unterauftragsverarbeiter ernennen oder ersetzen, oder, falls dies nach dem Ermessen von Avigilon nicht möglich ist, kann der Kunde diese Vereinbarung kündigen und erhält eine anteilige Rückerstattung aller im Voraus bezahlten Service- oder Supportgebühren als vollständige Befriedigung aller Ansprüche, die sich aus einer solchen Kündigung ergeben.
6.3 Anfragen betroffener Personen. Avigilon muss den Kunden im gesetzlich zulässigen Umfang unverzüglich benachrichtigen, wenn eine Anfrage von einer betroffenen Person eingeht, einschließlich, aber nicht beschränkt auf Anfragen nach Zugang, Korrektur, Änderung, Übertragung oder Löschung der personenbezogenen Daten dieser betroffenen Person, und, soweit anwendbar, muss Avigilon dem Kunden eine wirtschaftlich angemessene Zusammenarbeit und Unterstützung in Bezug auf jede Beschwerde, Mitteilung oder Kommunikation von einer betroffenen Person gewähren. Der Kunde muss auf alle Anfragen von betroffenen Personen, die Avigilon dem Kunden zur Verfügung stellt, umgehend reagieren und diese lösen. Der Kunde muss für alle angemessenen Kosten aufkommen, die durch die Bereitstellung einer solchen Unterstützung durch Avigilon gemäß diesem Abschnitt entstehen.

7. Datenübermittlungen. Avigilon stimmt zu, keine Übermittlungen von personenbezogenen Daten im Rahmen dieser Vereinbarung von einer Gerichtsbarkeit in eine andere vornehmen zu dürfen, es sei denn, diese Übermittlungen erfolgen in Übereinstimmung mit dieser Vereinbarung und den geltenden Datenschutzgesetzen. Avigilon erklärt sich bereit, mit seinen verbundenen Unternehmen und Unterauftragsverarbeitern entsprechende Vereinbarungen zu treffen, die es Avigilon ermöglichen, personenbezogene Daten an seine verbundenen Unternehmen und Unterauftragsverarbeiter zu übermitteln. Avigilon erklärt sich bereit, seine Vereinbarung mit dem Kunden bei Bedarf zu ändern, um die Übermittlung von personenbezogenen Daten von Avigilon an den Kunden zu ermöglichen. Avigilon erklärt sich außerdem bereit, den Kunden beim Abschluss von Vereinbarungen mit seinen verbundenen Unternehmen und Unterauftragsverarbeitern zu unterstützen, wenn dies nach den geltenden Datenschutzgesetzen für notwendige Übermittlungen erforderlich ist. Soweit Avigilon ein Auftragsverarbeiter oder Unterauftragsverarbeiter von personenbezogenen Daten ist, die der Datenschutz-Grundverordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr („DSGVO“) und zur Aufhebung der Richtlinie 95/46/EG unterliegen, müssen die Standardvertragsklauseln in Anhang 1 auf Datenübermittlungen Anwendung finden.

8. Sicherheit. Avigilon muss geeignete technische und organisatorische Maßnahmen ergreifen, um ein Sicherheitsniveau zu gewährleisten, das dem mit der Verarbeitung personenbezogener Daten verbundenen Risiko angemessen ist, wobei die Kosten der Umsetzung, die Art, der Umfang, der Kontext und die Zwecke der Verarbeitung sowie das Risiko einer unterschiedlichen Wahrscheinlichkeit und Schwere eines Schadens für die betroffenen Personen zu berücksichtigen sind. Die von Avigilon getroffenen angemessenen technischen und organisatorischen Maßnahmen sind in Anlage II aufgeführt. Bei der Bewertung des angemessenen Sicherheitsniveaus muss Avigilon die Risiken abwägen, die sich aus der Verarbeitung ergeben, insbesondere aus der versehentlichen oder unrechtmäßigen Zerstörung, dem Verlust, der Veränderung, der unbefugten Offenlegung von oder dem Zugriff auf personenbezogene Daten, die übermittelt, gespeichert oder anderweitig verarbeitet werden.

9. Benachrichtigung bei Sicherheitsvorfällen. Wenn Avigilon von einem Sicherheitsvorfall Kenntnis erlangt, muss Avigilon (a) den Kunden unverzüglich über den Sicherheitsvorfall benachrichtigen, (b) den Sicherheitsvorfall untersuchen und den Kunden über die Einzelheiten des Sicherheitsvorfalls informieren und (c) wirtschaftlich angemessene Maßnahmen ergreifen, um einen fortlaufenden Verlust personenbezogener Daten aufgrund des Sicherheitsvorfalls zu verhindern, wenn dieser in der Kontrolle von Avigilon liegt. Die Benachrichtigung über einen Sicherheitsvorfall darf nicht als Anerkenntnis oder Eingeständnis eines Fehlers oder einer Haftung im Zusammenhang mit dem Sicherheitsvorfall durch Avigilon ausgelegt werden. Avigilon muss angemessene Anstrengungen unternehmen, um den Kunden bei der Erfüllung seiner Verpflichtungen gemäß den Datenschutzgesetzen zur Benachrichtigung der zuständigen Aufsichtsbehörde und der betroffenen Personen über einen solchen Vorfall zu unterstützen.

10. Aufbewahrung und Löschung von Daten. Mit Ausnahme anonymisierter Kundendaten, wie oben beschrieben oder wie anderweitig in der Vereinbarung vorgesehen, löscht Avigilon alle Kundendaten neunzig (90) Tage nach Beendigung oder Ablauf der Vereinbarung, sofern nicht anderweitig erforderlich, um geltendem Recht zu entsprechen. Ungeachtet des Vorstehenden bewahrt Avigilon die Kundendaten für mindestens dreißig (30) Tage nach einer solchen Beendigung oder dem Ablauf der Vereinbarung auf, um einer Anfrage des Kunden nach den Kundendaten nachzukommen. Wenn der Kunde innerhalb dieses Zeitraums von dreißig (30) Tagen (schriftlich) darum bittet, stellt Avigilon dem Kunden die Kundendaten für einen Zeitraum von dreißig (30) Tagen zum Export oder Download zur Verfügung. Avigilon ist nicht verpflichtet, solche Kundendaten über diesen Zeitraum von dreißig (30) Tagen hinaus aufzubewahren. Vorbehaltlich des Abschnitts 12.4 über CJIS-Daten kann Avigilon bei Beendigung oder Auslaufen der Vereinbarung alle Daten zur Dienstnutzung löschen.

11. Prüfungsrechte

11.1 Regelmäßige Prüfung. Avigilon gestattet dem Kunden die Durchführung einer Prüfung von angemessenem Umfang und angemessener Dauer der Vorgänge bei Avigilon, die für die im Rahmen der Vereinbarung erworbenen Produkte und Dienste relevant sind, auf alleinige Kosten des Kunden, um die Einhaltung der in Anlage II aufgeführten technischen und organisatorischen Maßnahmen zu überprüfen, wenn (a) Avigilon den Kunden über einen Sicherheitsvorfall benachrichtigt, der zu einer tatsächlichen Beeinträchtigung der erworbenen Produkte und/oder Dienste führt, oder (b) wenn der Kunde berechtigterweise davon ausgeht, dass Avigilon seine Sicherheitsverpflichtungen im Rahmen dieser DVV nicht einhält, oder (c) wenn eine solche Prüfung gesetzlich durch die Datenschutzgesetze vorgeschrieben ist. Jede Prüfung muss in Übereinstimmung mit den in Abschnitt 11.3 dieser DVV dargelegten Verfahren durchgeführt werden und darf nicht öfter als einmal pro Jahr durchgeführt werden. Wenn eine solche Prüfung den Zugang zu vertraulichen Informationen von anderen Kunden, Lieferanten oder Vertretern von Avigilon erfordert, darf dieser Teil der Prüfung nur von national anerkannten unabhängigen Drittprüfern des Kunden gemäß den in Abschnitt 11.3 dieser DVV dargelegten Verfahren durchgeführt werden. Sofern nicht durch die DSGVO oder anderweitig durch Gesetz oder Gerichtsbeschluss vorgeschrieben, sind aus Sicherheits- und Compliancegründen keine Prüfungen innerhalb eines Rechenzentrums zulässig. Avigilon darf dem Kunden unter keinen Umständen die Möglichkeit geben, Teile seiner Software, Produkte und Dienste zu prüfen, bei denen davon auszugehen ist, dass sie die Vertraulichkeit von Informationen oder personenbezogenen Daten Dritter gefährden.
11.2 Erfüllung der Prüfungsanforderung. Nach Erhalt einer schriftlichen Prüfungsanforderung und vorbehaltlich der Zustimmung des Kunden kann Avigilon einer solchen Prüfungsanforderung nachkommen, indem Avigilon dem Kunden eine vertrauliche Kopie der letzten Sicherheitsprüfung durch einen national anerkannten unabhängigen Prüfer, wie z. B. einen SOC2 Typ II-Bericht oder eine ISO 27001-Zertifizierung, zur Verfügung stellt, damit der Kunde die Einhaltung der Industriestandards durch Avigilon angemessen überprüfen kann.
11.3 Prüfungsprozess. Der Kunde muss Avigilon mindestens sechzig (60) Tage im Voraus schriftlich über eine Anfrage zur Durchführung der in Abschnitt 11.1 beschriebenen Prüfung informieren. Alle Prüfungen müssen während der normalen Geschäftszeiten an den entsprechenden Standorten oder per Fernzugriff durchgeführt werden, wie von Avigilon festgelegt. Als Prüfungsstandorte, sofern sie nicht entfernt liegen, gelten in der Regel die Standorte, an denen auf Kundendaten zugegriffen oder diese verarbeitet werden. Die Prüfung darf die täglichen Vorgänge bei Avigilon nicht in unangemessener Weise beeinträchtigen. Eine Prüfung muss auf alleinige Kosten des Kunden und unter Einhaltung der in der Vereinbarung festgelegten Vertraulichkeitsverpflichtungen durchgeführt werden. Vor Beginn einer solchen Prüfung müssen Avigilon und der Kunde den Zeitpunkt und die Dauer der Prüfung einvernehmlich festlegen. Avigilon muss bei der Prüfung in angemessener Weise kooperieren und dem ernannten Prüfer das Recht einräumen, Sicherheitsinformationen oder ‑materialien von Avigilon zu prüfen, jedoch nicht zu kopieren, sofern der Prüfer eine entsprechende Geheimhaltungsvereinbarung unterzeichnet hat. Avigilon gibt nur Informationen über die Methodik und Zusammenfassungen weiter, nicht jedoch Rohdaten oder private Informationen. Der Kunde muss Avigilon unentgeltlich eine vollständige Kopie aller Ergebnisse der Prüfung zur Verfügung stellen.

12. Verordnungsspezifische Begriffe

DSGVO. Soweit Avigilon ein Auftragsverarbeiter oder Unterauftragsverarbeiter von personenbezogenen Daten ist, die der DSGVO unterliegen (wie in Abschnitt 7 definiert), müssen die Standardvertragsklauseln in Anhang 1 dieses Dokuments gelten.

13. Ansprechpartner bei Avigilon. Wenn der Kunde der Meinung ist, dass Avigilon seine Datenschutz- oder Sicherheitsverpflichtungen nicht einhält, muss er sich an den Motorola Data Protection Officer bei Motorola Solutions, Inc. 500 W. Monroe St., Chicago, IL USA 60661 — 3618 oder unter privacy1@motorolasolutions.com wenden.

Anhang 1

STANDARDVERTRAGSKLAUSELN

ABSCHNITT I

Klausel 1

Zweck und Anwendungsbereich

(a) Zweck dieser Standardvertragsklauseln ist es, die Einhaltung der Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) bei der Übermittlung personenbezogener Daten in ein Drittland sicherzustellen.

(b) Die Parteien:

(i) die natürliche(n) oder juristische(n) Person(en), Behörde(n), Agentur(en) oder sonstige(n) Stelle(n) (im Folgenden „Stelle(n)“), die die in Anlage I.A aufgeführten personenbezogenen Daten übermittelt (im Folgenden „Datenexporteur“), und
ii) die Stelle(n) in einem Drittland, die die personenbezogenen Daten vom Datenexporteur direkt oder indirekt über eine andere, ebenfalls in Anlage I.A aufgeführte Stelle(n), die ebenfalls Partei dieser Klauseln ist (sind) (im Folgenden „Datenimporteur“), erhalten, haben diesen Standardvertragsklauseln (im Folgenden „Klauseln“) zugestimmt.

(d) Der Anhang zu diesen Klauseln, die die darin genannten Anlagen enthält, ist Bestandteil dieser Klauseln.

Klausel 2

Wirkung und Unveränderlichkeit der Klauseln

(a) Diese Klauseln legen geeignete Garantien fest, einschließlich durchsetzbarer Rechte betroffenener Personen und wirksamer Rechtsbehelfe, gemäß Artikel 46(1) und Artikel 46(2)(c) der Verordnung (EU) 2016/679 und – in Bezug auf Datenübermittlungen von Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter – Standardvertragsklauseln gemäß Artikel 28(7) der Verordnung (EU) 2016/679, sofern sie nicht geändert werden, außer um das/die entsprechende(n) Modul(e) auszuwählen oder um Informationen im Anhang hinzuzufügen oder zu aktualisieren. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfassenderen Vertrag einzubeziehen und/oder andere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese nicht direkt oder indirekt im Widerspruch zu diesen Klauseln stehen oder die Grundrechte oder ‑freiheiten der betroffenen Personen beeinträchtigen.

(b) Diese Klauseln berühren nicht die Verpflichtungen, denen der Datenexporteur aufgrund der Verordnung (EU) 2016/679 unterliegt.

Klausel 3

Drittbegünstigte

(a) Betroffene Personen können diese Klauseln als Drittbegünstigte gegenüber dem Datenexporteur und/oder Datenimporteur geltend machen und durchsetzen, mit folgenden Ausnahmen:

(i) Klausel 1, Klausel 2, Klausel 3, Klausel 6, Klausel 7;
(ii) Klausel 8 – Modul Eins: Klausel 8.5 (e) und Klausel 8.9(b); Modul Zwei: Klausel 8.1(b), 8.9(a), (c), (d) und (e); Modul Drei: Klausel 8.1(a), (c) und (d) und Klausel 8.9(a), (c), (d), (e), (f) und (g); Modul Vier: Klausel 8.1 (b) und Klausel 8.3(b);
(iii) Klausel 9 – Modul Zwei: Klausel 9(a), (c), (d) und (e); Modul Drei: Klausel 9(a), (c), (d) und (e);
(iv) Klausel 12 – Modul Eins: Klausel 12(a) und (d); Module Zwei und Drei: Klausel 12(a), (d) und (f);
(v) Klausel 13;
(vi) Klausel 15.1 (c), (d) und (e);
(vii) Klausel 16(e);
(viii) Klausel 18 – Module Eins, Zwei und Drei: Klausel 18(a) und (b); Modul Vier: Klausel 18.

(b) Absatz (a) berührt nicht die Rechte der betroffenen Personen gemäß der Verordnung (EU) 2016/679.

Klausel 4

Auslegung

(a) Werden in diesen Klauseln Begriffe verwendet, die in der Verordnung (EU) 2016/679 definiert sind, so haben diese Begriffe die gleiche Bedeutung wie in der genannten Verordnung.

(b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 zu lesen und auszulegen.

(c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die im Widerspruch zu den in der Verordnung (EU) 2016/679 vorgesehenen Rechten und Pflichten steht.

Klausel 5

Hierarchie

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen der zum Zeitpunkt der Vereinbarung dieser Klauseln bestehenden oder später abgeschlossenen Vereinbarungen zwischen den Parteien sind diese Klauseln maßgebend.

Klausel 6

Beschreibung der Übermittlung(en)

Die Einzelheiten der Übermittlung(en), insbesondere die Kategorien personenbezogener Daten, die übermittelt werden, und der/die Zweck(e), zu dem/denen sie übermittelt werden, sind in Anlage I.B aufgeführt.

Klausel 7 – Optional

Kopplungsklausel

(a) Ein Rechtsträger, der nicht Partei dieser Klauseln ist, kann mit Zustimmung der Parteien diesen Klauseln jederzeit entweder als Datenexporteur oder als Datenimporteur beitreten, indem er Anhang ausfüllt und Anlage I.A unterzeichnet.

(b) Sobald der beitretende Rechtsträger den Anhang ausgefüllt und Anlage I.A unterzeichnet hat, wird er Partei dieser Klauseln und hat die Rechte und Pflichten eines Datenexporteurs oder Datenimporteurs gemäß ihrer Bezeichnung in Anlage I.A.

(c) Der beitretende Rechtsträger hat keine Rechte und Pflichten, die sich aus diesen Klauseln aus der Zeit vor seinem Beitritt zu einer Partei ergeben.

ABSCHNITT II – VERPFLICHTUNGEN DER PARTEIEN

Klausel 8

Datenschutzmaßnahmen

Der Datenexporteur gewährleistet, dass er sich in angemessener Weise vergewissert hat, dass der Datenimporteur durch geeignete technische und organisatorische Maßnahmen in der Lage ist, seinen Verpflichtungen aus diesen Klauseln nachzukommen.

8.1 Weisungen

(a) Der Datenimporteur darf die personenbezogenen Daten nur auf dokumentierte Weisung des Datenexporteurs verarbeiten. Der Datenexporteur kann solche Weisungen während der gesamten Laufzeit des Vertrags erteilen.

(b) Der Datenimporteur muss den Datenexporteur unverzüglich informieren, wenn er diesen Weisungen nicht nachkommen kann.

8.2 Zweckbindung

Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den/die spezifischen Zweck(e) der Übermittlung gemäß Anlage I.B, es sei denn, der Datenexporteur erteilt ihm weitere Anweisungen.

8.3 Transparenz

Der Datenexporteur stellt der betroffenen Person auf Anfrage unentgeltlich ein Exemplar dieser Klauseln einschließlich des von den Parteien ausgefüllten Anhangs zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich der in Anlage II beschriebenen Maßnahmen und personenbezogenen Daten, erforderlich ist, kann der Datenexporteur Teile des Textes des Anhangs zu diesen Klauseln vor der Weitergabe einer Kopie unkenntlich machen, muss jedoch eine aussagekräftige Zusammenfassung zur Verfügung stellen, wenn die betroffene Person andernfalls nicht in der Lage wäre, den Inhalt zu verstehen oder ihre Rechte auszuüben. Auf Anfrage teilen die Parteien der betroffenen Person die Gründe für die Schwärzungen mit, soweit dies ohne Offenlegung der geschwärzten Informationen möglich ist. Diese Klausel berührt nicht die Verpflichtungen des Datenexporteurs nach den Artikeln 13 und 14 der Verordnung (EU) 2016/679.

8.4 Korrektheit

Stellt der Datenimporteur fest, dass die von ihm erhaltenen personenbezogenen Daten unrichtig oder veraltet sind, so teilt er dies dem Datenexporteur unverzüglich mit. In diesem Fall arbeitet der Datenimporteur mit dem Datenexporteur bei der Löschung oder Berichtigung der Daten zusammen.

8.5 Dauer der Verarbeitung und Löschung bzw. Rückgabe der Daten

Die Verarbeitung durch den Datenimporteur darf nur für die in Anlage I.B angegebene Dauer erfolgen. Nach Beendigung der Erbringung der Verarbeitungsdienstleistungen löscht der Datenimporteur nach Wahl des Datenexporteurs alle im Auftrag des Datenexporteurs verarbeiteten personenbezogenen Daten und bescheinigt dem Datenexporteur, dass er dies getan hat, oder er gibt dem Datenexporteur alle in seinem Auftrag verarbeiteten personenbezogenen Daten zurück und löscht vorhandene Kopien. Bis zur Löschung oder Rückgabe der Daten hat der Datenimporteur weiterhin die Einhaltung dieser Klauseln zu gewährleisten. Für den Fall, dass die für den Datenimporteur geltenden lokalen Gesetze die Rückgabe oder Löschung der personenbezogenen Daten verbieten, garantiert der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln gewährleistet und die Daten nur in dem Umfang und so lange verarbeitet, wie es die lokalen Gesetze verlangen. Dies gilt unbeschadet der Klausel 14, insbesondere der Verpflichtung des Datenimporteurs gemäß Klausel 14(e), den Datenexporteur während der gesamten Laufzeit des Vertrags zu benachrichtigen, wenn er Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterworfen wurde, die nicht mit den Anforderungen gemäß Klausel 14(a) im Einklang stehen..

8.6 Sicherheit der Verarbeitung

(a) Der Datenimporteur und bei der Übertragung auch der Datenexporteur treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einer Sicherheitsverletzung, die zur zufälligen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Weitergabe oder zum unbefugten Zugang zu diesen Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Bewertung des angemessenen Sicherheitsniveaus tragen die Parteien dem Stand der Technik, den Kosten der Umsetzung, der Art, dem Umfang, den Umständen und dem Zweck/den Zwecken der Verarbeitung sowie den mit der Verarbeitung verbundenen Risiken für die betroffenen Personen gebührend Rechnung. Die Parteien erwägen insbesondere den Rückgriff auf Verschlüsselung oder Pseudonymisierung, auch während der Übertragung, wenn der Zweck der Verarbeitung auf diese Weise erfüllt werden kann. Im Falle der Pseudonymisierung verbleiben die zusätzlichen Informationen zur Zuordnung der personenbezogenen Daten zu einer bestimmten betroffenen Person nach Möglichkeit unter der ausschließlichen Kontrolle des Datenexporteurs. Der Datenimporteur kommt seinen Verpflichtungen nach diesem Absatz nach, indem er zumindest die in Anlage II genannten technischen und organisatorischen Maßnahmen durchführt. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Maß an Sicherheit bieten.

(b) Der Datenimporteur gewährt seinen Mitarbeitern nur insoweit Zugang zu den personenbezogenen Daten, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Er stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Geheimhaltungspflicht unterliegen.

(c) Im Falle einer Verletzung des Schutzes personenbezogener Daten in Bezug auf personenbezogene Daten, die vom Datenimporteur im Rahmen dieser Klauseln verarbeitet werden, ergreift der Datenimporteur geeignete Maßnahmen, um die Verletzung zu beheben, einschließlich Maßnahmen zur Abmilderung ihrer nachteiligen Auswirkungen. Der Datenimporteur benachrichtigt auch den Datenexporteur unverzüglich, nachdem er von der Verletzung Kenntnis erlangt hat. Diese Benachrichtigung enthält die Angaben zu einer Kontaktstelle, bei der weitere Informationen eingeholt werden können, eine Beschreibung der Art der Verletzung (möglichst einschließlich der Kategorien und der ungefähren Anzahl der betroffenen Personen und der betroffenen personenbezogenen Datensätze), ihre wahrscheinlichen Folgen und die getroffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung, gegebenenfalls einschließlich Maßnahmen zur Abschwächung ihrer möglichen nachteiligen Folgen. Ist es nicht möglich, alle Informationen gleichzeitig zur Verfügung zu stellen, so enthält die erste Meldung die zu diesem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, ohne unangemessene Verzögerung nachgereicht.

(d) Der Datenimporteur arbeitet mit dem Datenexporteur zusammen und unterstützt ihn, damit der Datenexporteur seinen Verpflichtungen gemäß der Verordnung (EU) 2016/679 nachkommen kann, insbesondere bei der Meldung an die zuständige Aufsichtsbehörde und die betroffenen Personen, wobei die Art der Verarbeitung und die dem Datenimporteur zur Verfügung stehenden Informationen berücksichtigt werden.

8.7 Sensible Daten

Betrifft die Übermittlung personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetische Daten oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Daten über Gesundheit oder über das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten (im Folgenden „sensible Daten“), so wendet der Datenimporteur die in Anlage I.B beschriebenen besonderen Einschränkungen und/oder zusätzlichen Garantien an.

8.8 Weiterübermittlung

Der Datenimporteur darf die personenbezogenen Daten nur auf dokumentierte Anweisung des Datenexporteurs an eine Drittpartei weitergeben. Darüber hinaus dürfen die Daten nur dann an eine außerhalb der Europäischen Union (4) ansässige Drittpartei (im selben Land wie der Datenimporteur oder in einem anderen Drittland, im Folgenden „Weiterübermittlung“) weitergegeben werden, wenn die Drittpartei im Rahmen des entsprechenden Moduls an diese Klauseln gebunden ist oder sich damit einverstanden erklärt, oder wenn:

(a) die Weiterübermittlung in ein Land erfolgt, für das ein Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 gilt, der die Weiterübermittlung abdeckt;

(b) die Drittpartei anderweitig angemessene Garantien gemäß Artikel 46 oder 47 der Verordnung (EU) 2016/679 in Bezug auf die betreffende Verarbeitung gewährleistet;

(c) die Weiterübermittlung für die Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen eines bestimmten Verwaltungs‑, Aufsichts- oder Gerichtsverfahrens erforderlich ist; oder

(d) die Weiterübermittlung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.

Jede Weiterübermittlung setzt voraus, dass der Datenimporteur alle anderen Garantien gemäß diesen Klauseln, insbesondere die Zweckbindung, einhält.

8.9 Dokumentation und Einhaltung

(a) Der Datenimporteur hat Anfragen des Datenexporteurs, die sich auf die Verarbeitung nach diesen Klauseln beziehen, unverzüglich und angemessen zu beantworten.

(b) Die Parteien müssen in der Lage sein, die Einhaltung dieser Klauseln nachzuweisen. Insbesondere führt der Datenimporteur eine angemessene Dokumentation über die im Auftrag des Datenexporteurs durchgeführten Verarbeitungstätigkeiten.

(c) Der Datenimporteur stellt dem Datenexporteur alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten Verpflichtungen erforderlich sind, und ermöglicht auf Ersuchen des Datenexporteurs in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung Prüfungen der unter diese Klauseln fallenden Verarbeitungstätigkeiten und trägt zu diesen Prüfungen bei.Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Datenexporteur relevante Zertifizierungen des Datenimporteurs berücksichtigen.

(d) Der Datenexporteur kann wählen, ob er die Prüfung selbst durchführt oder einen unabhängigen Prüfer beauftragt. Die Prüfungen können Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Datenimporteurs umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.

(e) Die Parteien stellen die unter den Buchstaben b) und c) genannten Informationen, einschließlich der Ergebnisse etwaiger Prüfungen, der zuständigen Kontrollstelle auf Anfrage zur Verfügung.

Klausel 9

Einsatz von Unterauftragsverarbeitern

(a) OPTION 1: BESONDERE VORHERIGE ZULASSUNG Der Datenimporteur darf keine seiner Verarbeitungstätigkeiten, die er im Namen des Datenexporteurs gemäß diesen Klauseln durchführt, an einen Unterauftragsverarbeiter vergeben, ohne dass der Datenexporteur zuvor eine besondere schriftliche Zulassung erteilt hat. Der Datenimporteur stellt den Antrag auf Erteilung einer Sondergenehmigung mindestens [Zeitraum angeben] vor der Beauftragung des Unterauftragsverarbeiters zusammen mit den erforderlichen Informationen, damit der Datenexporteur über die Genehmigung entscheiden kann. Die Liste der vom Datenexporteur bereits zugelassenen Unterauftragsverarbeiter findet sich in Anlage III. Die Parteien halten Anlage III auf dem neuesten Stand.

OPTION 2: ALLGEMEINE SCHRIFTLICHE GENEHMIGUNG Der Datenimporteur verfügt über die allgemeine Genehmigung des Datenexporteurs für die Beauftragung von Unterauftragsverarbeitern aus einer vereinbarten Liste. Der Datenimporteur unterrichtet den Datenexporteur schriftlich über alle beabsichtigten Änderungen dieser Liste durch Hinzufügung oder Ersetzung von Unterauftragsverarbeitern mindestens [Zeitraum angeben] im Voraus, sodass der Datenexporteur genügend Zeit hat, vor der Beauftragung des/der Unterauftragsverarbeiter(s) Einwände gegen diese Änderungen zu erheben. Der Datenimporteur stellt dem Datenexporteur die erforderlichen Informationen zur Verfügung, damit der Datenexporteur sein Widerspruchsrecht ausüben kann.

(b) Beauftragt der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Namen des Datenexporteurs), so erfolgt dies im Wege eines schriftlichen Vertrags, der im Wesentlichen dieselben Datenschutzverpflichtungen vorsieht, an die der Datenimporteur nach diesen Klauseln gebunden ist, auch in Bezug auf die Rechte der betroffenen Personen als Drittbegünstigte. (8) Die Parteien kommen überein, dass der Datenimporteur durch die Einhaltung dieser Klausel seine Verpflichtungen nach Klausel 8.8 erfüllt. Der Datenimporteur stellt sicher, dass der Unterauftragsverarbeiter die Verpflichtungen einhält, denen der Datenimporteur gemäß diesen Klauseln unterliegt.

(c) Der Datenimporteur stellt dem Datenexporteur auf dessen Verlangen eine Kopie einer solchen Unterauftragsverarbeitungsvereinbarung und aller späteren Änderungen zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Datenimporteur den Text der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.

(d) Der Datenimporteur bleibt gegenüber dem Datenexporteur in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters aus seinem Vertrag mit dem Datenimporteur verantwortlich. Der Datenimporteur unterrichtet den Datenexporteur, wenn der Unterauftragsverarbeiter seinen Verpflichtungen aus diesem Vertrag nicht nachkommt.

(e) Der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigungsklausel, nach der der Datenexporteur für den Fall, dass der Datenimporteur faktisch oder rechtlich nicht mehr existiert oder zahlungsunfähig geworden ist, das Recht hat, den Unterauftragsverarbeitungsvertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

Klausel 10

Rechte der betroffenen Person

(a) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich über jeden Antrag, den er von einer betroffenen Person erhalten hat. Er darf diesem Ersuchen nicht selbst nachkommen, es sei denn, er wurde vom Datenexporteur dazu ermächtigt.

(b) Der Datenimporteur unterstützt den Datenexporteur bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen betroffener Personen auf Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679. Zu diesem Zweck legen die Parteien in Anlage II die geeigneten technischen und organisatorischen Maßnahmen unter Berücksichtigung der Art der Verarbeitung fest, mit denen die Unterstützung geleistet werden soll, sowie den Umfang und das Ausmaß der erforderlichen Unterstützung.

(c) Bei der Erfüllung seiner Verpflichtungen gemäß den Absätzen (a) und (b) hat der Datenimporteur die Anweisungen des Datenexporteurs zu befolgen.

Klausel 11

Rechtsbehelf

(a) Der Datenimporteur informiert die betroffenen Personen in transparenter und leicht zugänglicher Form durch individuelle Mitteilung oder auf seiner Website über eine Kontaktstelle, die für die Bearbeitung von Beschwerden zuständig ist. Er bearbeitet alle Beschwerden, die er von einer betroffenen Person erhält, unverzüglich.

(OPTION: Der Datenimporteur erklärt sich damit einverstanden, dass betroffene Personen auch bei einer unabhängigen Schlichtungsstelle kostenlos Beschwerde einlegen können. Der Datenimporteur unterrichtet die betroffenen Personen in der unter Absatz a) beschriebenen Weise über diesen Rechtsbehelf und weist sie darauf hin, dass sie nicht verpflichtet sind, ihn in Anspruch zu nehmen oder eine bestimmte Reihenfolge bei der Einlegung von Rechtsbehelfen einzuhalten].

(b) Im Falle einer Streitigkeit zwischen einer betroffenen Person und einer der Parteien über die Einhaltung dieser Klauseln bemüht sich die betreffende Partei nach besten Kräften, die Angelegenheit rechtzeitig gütlich zu regeln. Die Parteien halten sich gegenseitig über solche Streitigkeiten auf dem Laufenden und arbeiten gegebenenfalls bei deren Beilegung zusammen.

(c) Beruft sich die betroffene Person auf ein Drittbegünstigungsrecht nach Klausel 3, so akzeptiert der Datenimporteur die Entscheidung der betroffenen Person:

(i) eine Beschwerde bei der Aufsichtsbehörde des Mitgliedstaats, in dem sie ihren gewöhnlichen Aufenthalt oder ihren Arbeitsplatz hat, oder bei der zuständigen Aufsichtsbehörde gemäß Klausel 13 einzureichen;
(ii) die zuständigen Gerichte im Sinne von Klausel 18 mit der Streitigkeit zu befassen.

(d) Die Parteien erkennen an, dass die betroffene Person unter den in Artikel 80 Absatz 1 der Verordnung (EU) 2016/679 genannten Bedingungen durch eine gemeinnützige Einrichtung, Organisation oder Vereinigung vertreten werden kann.

(e) Der Datenimporteur hält sich an eine Entscheidung, die nach dem geltenden Recht der EU oder eines Mitgliedstaats verbindlich ist.

(f) Der Datenimporteur erklärt sich damit einverstanden, dass die von der betroffenen Person getroffene Entscheidung ihre materiellen und verfahrensrechtlichen Rechte auf Einlegung von Rechtsbehelfen gemäß den geltenden Rechtsvorschriften nicht beeinträchtigt.

Klausel 12

Haftung

(a) Jede Partei haftet gegenüber der/den anderen Partei(en) für den Schaden, den sie der/den anderen Partei(en) durch einen Verstoß gegen diese Klauseln zufügt.

(b) Der Datenimporteur haftet gegenüber der betroffenen Person für jeden materiellen oder immateriellen Schaden, den der Datenimporteur oder sein Unterauftragsverarbeiter der betroffenen Person durch die Verletzung der Rechte des Drittbegünstigten nach diesen Klauseln zufügt, und die betroffene Person hat Anspruch auf Schadenersatz.

(c) Ungeachtet Absatz (b) haftet der Datenexporteur gegenüber der betroffenen Person für alle materiellen oder immateriellen Schäden, die der Datenexporteur oder der Datenimporteur (oder sein Unterauftragsverarbeiter) der betroffenen Person durch die Verletzung der Rechte des Drittbegünstigten nach diesen Klauseln zufügt, und die betroffene Person hat Anspruch auf Schadenersatz. Dies gilt unbeschadet der Haftung des Datenexporteurs und, wenn der Datenexporteur ein Auftragsverarbeiter ist, der im Auftrag eines Verantwortlichen handelt, der Haftung des Verantwortlichen gemäß der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725.

(d) Die Parteien kommen überein, dass der Datenexporteur für den Fall, dass er gemäß Absatz (c) für einen vom Datenimporteur (oder seinem Unterauftragsverarbeiter) verursachten Schaden haftbar gemacht wird, berechtigt ist, vom Datenimporteur den Teil des Schadensersatzes zurückzufordern, der der Verantwortung des Datenimporteurs für den Schaden entspricht.

(e) Ist mehr als eine Partei für einen Schaden verantwortlich, der der betroffenen Person infolge eines Verstoßes gegen diese Klauseln entstanden ist, so haften alle verantwortlichen Parteien gesamtschuldnerisch, und die betroffene Person ist berechtigt, gegen jede dieser Parteien gerichtlich vorzugehen.

(f) Die Parteien vereinbaren, dass eine Partei, die gemäß Absatz (e) haftbar gemacht wird, berechtigt ist, von der/den anderen Partei(en) den Teil des Schadensersatzes zurückzufordern, der ihrer Verantwortung für den Schaden entspricht.

(g) Der Datenimporteur darf sich nicht auf das Verhalten eines Unterauftragsverarbeiters berufen, um seine eigene Haftung zu umgehen.

Klausel 13

Aufsicht

(a) [Wenn der Datenexporteur in einem EU-Mitgliedstaat niedergelassen ist:] Die Aufsichtsbehörde, die für die Einhaltung der Verordnung (EU) 2016/679 durch den Datenexporteur in Bezug auf die Datenübermittlung zuständig ist, wie in Anlage I.C angegeben, handelt als zuständige Aufsichtsbehörde.

[Ist der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen, fällt aber in den territorialen Anwendungsbereich der Verordnung (EU) 2016/679 gemäß deren Artikel 3(2) und hat einen Vertreter gemäß Artikel 27(1) der Verordnung (EU) 2016/679 benannt:] Die Aufsichtsbehörde des Mitgliedstaats, in dem der Vertreter im Sinne von Artikel 27(1) der Verordnung (EU) 2016/679 niedergelassen ist, wie in Anlage I.C angegeben, handelt als zuständige Aufsichtsbehörde.

[Ist der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen, fällt aber in den territorialen Anwendungsbereich der Verordnung (EU) 2016/679 gemäß deren Artikel 3(2), ohne jedoch einen Vertreter im Sinne von Artikel 27(2) der Verordnung (EU) 2016/679 benennen zu müssen:] Die Aufsichtsbehörde eines der Mitgliedstaaten, in dem sich die betroffenen Personen befinden, deren personenbezogene Daten gemäß diesen Klauseln im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an sie übermittelt werden oder deren Verhalten überwacht wird, wie in Anlage I.C angegeben, handelt als zuständige Aufsichtsbehörde.

(b) Der Datenimporteur erklärt sich damit einverstanden, sich der Rechtsprechung der zuständigen Kontrollstelle zu unterwerfen und mit ihr bei allen Verfahren zur Gewährleistung der Einhaltung dieser Klauseln mit ihr zusammenzuarbeiten. Insbesondere erklärt sich der Datenimporteur bereit, auf Anfragen zu antworten, sich Prüfungen zu unterziehen und die von der Aufsichtsbehörde erlassenen Maßnahmen, einschließlich Abhilfe- und Ausgleichsmaßnahmen, zu befolgen. Er bestätigt der Aufsichtsbehörde schriftlich, dass die erforderlichen Maßnahmen ergriffen worden sind.

ABSCHNITT III – LOKALE GESETZE UND VERPFLICHTUNGEN IM FALLE DES ZUGRIFFS DURCH BEHÖRDEN

Klausel 14

Lokale Gesetze und Praktiken, die sich auf die Einhaltung der Klauseln auswirken

(a) Die Parteien garantieren, dass sie keinen Grund zu der Annahme haben, dass die Gesetze und Praktiken im Bestimmungsdrittland, die für die Verarbeitung der personenbezogenen Daten durch den Datenimporteur gelten, einschließlich etwaiger Anforderungen an die Offenlegung personenbezogener Daten oder Maßnahmen, die den Zugang von Behörden ermöglichen, den Datenimporteur daran hindern, seinen Verpflichtungen gemäß diesen Klauseln nachzukommen. Dies beruht auf dem Verständnis, dass Gesetze und Praktiken, die den Kern der Grundrechte und ‑freiheiten respektieren und nicht über das hinausgehen, was in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um eines der in Artikel 23(1) der Verordnung (EU) 2016/679 aufgeführten Ziele zu schützen, nicht im Widerspruch zu diesen Klauseln stehen.

(b) Die Parteien erklären, dass sie bei der Abgabe der Gewährleistung gemäß Absatz a) insbesondere die folgenden Elemente angemessen berücksichtigt haben:

(i) die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle; beabsichtigte Weiterübermittlungen; die Art des Empfängers; der Zweck der Verarbeitung; die Kategorien und das Format der übermittelten personenbezogenen Daten; der Wirtschaftssektor, in dem die Übermittlung erfolgt; der Speicherort der übermittelten Daten;
(ii) die Gesetze und Praktiken des Bestimmungsdrittlandes – einschließlich derjenigen, die die Weitergabe von Daten an Behörden vorschreiben oder den Zugang solcher Behörden gestatten –, die im Hinblick auf die besonderen Umstände der Übermittlung relevant sind, sowie die geltenden Beschränkungen und Garantien;
(iii) alle relevanten vertraglichen, technischen oder organisatorischen Schutzmaßnahmen, die zusätzlich zu den Schutzmaßnahmen dieser Klauseln getroffen wurden, einschließlich der Maßnahmen, die während der Übertragung und bei der Verarbeitung der personenbezogenen Daten im Bestimmungsland angewendet werden.

(c) Der Datenimporteur sichert zu, dass er sich bei der Durchführung der Bewertung nach Absatz (b) nach besten Kräften bemüht hat, dem Datenexporteur relevante Informationen zur Verfügung zu stellen, und erklärt sich bereit, weiterhin mit dem Datenexporteur zusammenzuarbeiten, um die Einhaltung dieser Klauseln sicherzustellen.

(d) Die Parteien vereinbaren, die Bewertung nach Absatz (b) zu dokumentieren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

(e) Der Datenimporteur erklärt sich bereit, den Datenexporteur unverzüglich zu benachrichtigen, wenn er nach der Zustimmung zu diesen Klauseln und während der Laufzeit des Vertrags Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterworfen wurde, die nicht mit den Anforderungen gemäß Absatz (a) übereinstimmen, einschließlich einer Änderung der Gesetze des Drittlandes oder einer Maßnahme (wie z. B. einer Aufforderung zur Offenlegung), die auf eine Anwendung dieser Gesetze in der Praxis hinweist, die nicht mit den Anforderungen in Absatz (a) übereinstimmt. [Für Modul Drei: Der Datenexporteur leitet die Meldung an den Verantwortlichen weiter].

(f) Nach einer Benachrichtigung gemäß Absatz (e) oder wenn der Datenexporteur anderweitig Grund zu der Annahme hat, dass der Datenimporteur seinen Verpflichtungen gemäß diesen Klauseln nicht mehr nachkommen kann, bestimmt der Datenexporteur unverzüglich geeignete Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit), die vom Datenexporteur und/oder Datenimporteur zu ergreifen sind, um der Situation [für Modul Drei: gegebenenfalls in Absprache mit dem Verantwortlichen] zu begegnen. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Ansicht ist, dass keine angemessenen Garantien für eine solche Übermittlung gewährleistet werden können, oder wenn er von [für Modul Drei: dem für die Verarbeitung Verantwortlichen oder] der zuständigen Aufsichtsbehörde dazu angewiesen wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft. Sind an dem Vertrag mehr als zwei Parteien beteiligt, kann der Datenexporteur dieses Kündigungsrecht nur in Bezug auf die betreffende Partei ausüben, sofern die Parteien nichts anderes vereinbart haben. Wird der Vertrag gemäß dieser Klausel gekündigt, so gilt Klausel 16(d) und (e).

Klausel 15

Pflichten des Datenimporteurs bei Zugriff durch Behörden

15.1 Benachrichtigung

(a) Der Datenimporteur verpflichtet sich, den Datenexporteur und, soweit möglich, die betroffene Person unverzüglich zu benachrichtigen (erforderlichenfalls mit Hilfe des Datenexporteurs), wenn er:

(i) ein rechtsverbindliches Ersuchen einer Behörde, einschließlich einer Justizbehörde, nach dem Recht des Bestimmungslandes um Offenlegung der gemäß diesen Klauseln übermittelten personenbezogenen Daten erhält; eine solche Benachrichtigung muss Informationen über die angeforderten personenbezogenen Daten, die ersuchende Behörde, die Rechtsgrundlage für das Ersuchen und die erteilte Antwort enthalten; oder
(ii) Kenntnis von einem direkten Zugriff durch Behörden auf personenbezogene Daten erhält, die gemäß den Gesetzen des Bestimmungslandes gemäß diesen Klauseln übermittelt wurden; diese Benachrichtigung muss alle dem Importeur zur Verfügung stehenden Informationen enthalten.

(b) Falls es dem Datenimporteur nach dem Recht des Bestimmungslandes untersagt ist, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, erklärt sich der Datenimporteur bereit, sich nach besten Kräften zu bemühen, eine Befreiung von diesem Verbot zu erwirken, um so schnell wie möglich so viele Informationen wie möglich zu übermitteln. Der Datenimporteur erklärt sich bereit, seine besten Bemühungen zu dokumentieren, um sie auf Anfrage des Datenexporteurs nachweisen zu können.

c) Der Datenimporteur erklärt sich bereit, dem Datenexporteur während der Laufzeit des Vertrags in regelmäßigen Abständen so viele relevante Informationen wie möglich über die eingegangenen Anfragen zu übermitteln (insbesondere die Anzahl der Anfragen, die Art der angeforderten Daten, die anfragende(n) Behörde(n), ob Anfragen angefochten wurden und das Ergebnis dieser Anfechtungen usw.), sofern dies nach den Gesetzen des Bestimmungslandes zulässig ist. [Für Modul Drei: Der Datenexporteur leitet die Informationen an den Verantwortlichen weiter].

(d) Der Datenimporteur verpflichtet sich, die Informationen gemäß den Absätzen a) bis c) für die Dauer des Vertrags aufzubewahren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

(e) Die Absätze (a) bis (c) berühren nicht die Verpflichtung des Datenimporteurs gemäß Klausel 14(e) und Klausel 16, den Datenexporteur unverzüglich zu informieren, wenn er diese Klauseln nicht einhalten kann.

15.2 Überprüfung der Rechtmäßigkeit und Datenminimierung

(a) Der Datenimporteur erklärt sich bereit, die Rechtmäßigkeit des Offenlegungsantrags zu überprüfen, insbesondere, ob er im Rahmen der der ersuchenden Behörde eingeräumten Befugnisse bleibt, und den Antrag anzufechten, wenn er nach sorgfältiger Prüfung zu dem Schluss kommt, dass es vernünftige Gründe für die Annahme gibt, dass der Antrag nach den Gesetzen des Bestimmungslandes, den geltenden völkerrechtlichen Verpflichtungen und den Grundsätzen des internationalen Verständnisses rechtswidrig ist. Der Datenimporteur muss unter den gleichen Bedingungen Rechtsmittel einlegen können. Bei der Anfechtung eines Antrags beantragt der Datenimporteur einstweilige Maßnahmen mit dem Ziel, die Wirkungen des Antrags auszusetzen, bis die zuständige Justizbehörde über die Begründetheit des Antrags entschieden hat. Er gibt die angeforderten personenbezogenen Daten erst dann weiter, wenn er nach den geltenden Verfahrensvorschriften dazu verpflichtet ist. Diese Anforderungen gelten unbeschadet der Verpflichtungen des Datenimporteurs gemäß Klausel 14(e).

(b) Der Datenimporteur erklärt sich bereit, seine rechtliche Beurteilung und jede Anfechtung des Antrags auf Offenlegung zu dokumentieren und, soweit nach den Gesetzen des Bestimmungslandes zulässig, die Dokumentation dem Datenexporteur zur Verfügung zu stellen. Er stellt sie auch der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung. [Für Modul Drei: Der Datenexporteur stellt die Bewertung dem Verantwortlichen zur Verfügung].

(c) Der Datenimporteur erklärt sich bereit, bei der Beantwortung eines Offenlegungsantrags auf der Grundlage einer angemessenen Auslegung des Antrags das zulässige Mindestmaß an Informationen bereitzustellen.

ABSCHNITT IV – SCHLUSSBESTIMMUNGEN

Klausel 16

Nichteinhaltung der Klauseln und Kündigung

(a) Der Datenimporteur muss den Datenexporteur unverzüglich informieren, wenn er aus irgendeinem Grund nicht in der Lage ist, diese Klauseln einzuhalten.

(b) Falls der Datenimporteur gegen diese Klauseln verstößt oder nicht in der Lage ist, diese Klauseln einzuhalten, setzt der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aus, bis die Einhaltung der Klauseln wieder gewährleistet ist oder der Vertrag beendet wird. Dies gilt unbeschadet der Klausel 14(f).

(c) Der Datenexporteur ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn:

(i) der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Absatz (b) ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wird;
(ii) der Datenimporteur in erheblichem Maße oder anhaltend gegen diese Klauseln verstößt; oder
(iii) der Datenimporteur einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer Aufsichtsbehörde in Bezug auf seine Verpflichtungen gemäß diesen Klauseln nicht nachkommt.

In diesen Fällen informiert er die zuständige Aufsichtsbehörde [für Modul Drei: und den Verantwortlichen] über diese Nichteinhaltung. Sind an dem Vertrag mehr als zwei Parteien beteiligt, kann der Datenexporteur dieses Kündigungsrecht nur in Bezug auf die betreffende Partei ausüben, sofern die Parteien nichts anderes vereinbart haben.

(d) Personenbezogene Daten, die vor der Beendigung des Vertrags gemäß Absatz (c) übermittelt wurden, sind nach Wahl des Datenexporteurs unverzüglich an diesen zurückzugeben oder vollständig zu löschen. Das Gleiche gilt für etwaige Kopien der Daten. Der Datenimporteur muss dem Datenexporteur die Löschung der Daten bescheinigen. Bis zur Löschung oder Rückgabe der Daten muss der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicherstellen. Für den Fall, dass die für den Datenimporteur geltenden lokalen Gesetze die Rückgabe oder Löschung der übermittelten personenbezogenen Daten verbieten, garantiert der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln gewährleistet und die Daten nur in dem Umfang und so lange verarbeitet, wie es die lokalen Gesetze vorschreiben.

(e) Jede Partei kann ihr Einverständnis, an diese Klauseln gebunden zu sein, widerrufen, wenn (i) die Europäische Kommission einen Beschluss gemäß Artikel 45(3) der Verordnung (EU) 2016/679 erlässt, der die Übermittlung personenbezogener Daten, für die diese Klauseln gelten, abdeckt, oder (ii) die Verordnung (EU) 2016/679 Teil des Rechtsrahmens des Landes wird, in das die personenbezogenen Daten übermittelt werden. Dies gilt unbeschadet anderer Verpflichtungen, die für die betreffende Verarbeitung gemäß der Verordnung (EU) 2016/679 gelten.

Klausel 17

Geltendes Recht

Für diese Klauseln gilt das Recht des EU-Mitgliedstaates, in dem der Datenexporteur seinen Sitz hat. Wenn dieses Recht keine Rechte von Drittbegünstigten zulässt, unterliegen sie dem Recht eines anderen EU-Mitgliedstaats, der Rechte von Drittbegünstigten zulässt. Die Parteien vereinbaren, dass dies das Recht Dänemarks sein soll.

Klausel 18

Wahl des Gerichtsstands und der Gerichtsbarkeit

(a) Alle Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten eines EU-Mitgliedstaats entschieden.

(b) Die Parteien vereinbaren, dass dies die Gerichte Dänemarks sein sollen.

(c) Eine betroffene Person kann den Datenexporteur und/oder Datenimporteur auch vor den Gerichten des Mitgliedstaates verklagen, in dem sie ihren gewöhnlichen Aufenthalt hat.

(d) Die Parteien vereinbaren, sich der Zuständigkeit dieser Gerichte zu unterwerfen.

ANLAGE I

A. LISTE DER PARTEIEN

Datenexporteur(e): [Identität und Kontaktdaten des/der Datenexporteurs(e) und ggf. seines/ihres Datenschutzbeauftragten und/oder Vertreters in der Europäischen Union].

Name: …

Adresse: …

Name, Position und Kontaktdaten des Ansprechpartners: …

Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: …

Rolle (Verantwortlicher/Auftragsverarbeiter): Verantwortlicher

…

Datenimporteur(e): [Identität und Kontaktdaten des/der Datenimporteure(s), einschließlich etwaiger Ansprechpartner, die für den Datenschutz verantwortlich sind]

Name: Motorola Solutions, Inc.

Adresse: 500 W. Monroe St., Chicago, IL 60661 USA

Name, Funktion und Kontaktdaten des Ansprechpartners: Irene Amu, DPO, Privacy1@MotorolaSolutions.com

Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Erbringung von Dienstleistungen im Zusammenhang mit dem Videosicherheits- und/oder Zugangskontrollsystem in den Räumlichkeiten des Verantwortlichen.

Rolle (Verantwortlicher/Auftragsverarbeiter): Auftragsverarbeiter

…

B. BESCHREIBUNG DER ÜBERMITTLUNG

Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden

Zu den betroffenen Personen gehören die Vertreter des Datenexporteurs und die Endnutzer einschließlich der Angestellten, Auftragnehmer, Mitarbeiter und Kunden des Datenexporteurs. Zu den betroffenen Personen können auch Personen gehören, die versuchen, den Nutzern der vom Datenimporteur angebotenen Dienste personenbezogene Daten mitzuteilen oder zu übermitteln. Avigilon erkennt an, dass der Kunde je nach Nutzung des Online-Dienstes durch den Kunden beschließen kann, personenbezogene Daten von einer der folgenden Arten von betroffenen Personen in die Kundendaten aufzunehmen:

Mitarbeiter, Auftragnehmer und Zeitarbeiter (derzeitige, ehemalige und zukünftige) des Datenexporteurs;
Angehörige der oben genannten Personen;
Mitarbeiter/Kontaktpersonen des Datenexporteurs (natürliche Personen) oder Mitarbeiter, Auftragnehmer oder Zeitarbeitskräfte von Mitarbeitern/Kontaktpersonen juristischer Personen (derzeitige, künftige oder frühere Mitarbeiter/Kontaktpersonen);
Nutzer (z. B. Kunden, Klienten, Patienten, Besucher usw.) und andere betroffene Personen, die die Dienste des Datenexporteurs in Anspruch nehmen;
Partner, Interessenvertreter oder Einzelpersonen, die aktiv mit Mitarbeitern des Datenexporteurs zusammenarbeiten, kommunizieren oder anderweitig mit ihnen interagieren und/oder vom Datenexporteur bereitgestellte Kommunikationsmittel wie Apps und Websites nutzen;
Interessengruppen oder Einzelpersonen, die passiv mit dem Datenexporteur interagieren (z. B. weil sie Gegenstand einer Untersuchung oder Recherche sind oder in Dokumenten oder Korrespondenz von oder an den Datenexporteur erwähnt werden);
Minderjährige; oder
Berufsangehörige mit Berufsgeheimnis (z. B. Ärzte, Rechtsanwälte, Notare, Geistliche usw.).

Kategorien der übermittelten personenbezogenen Daten

Bei der Nutzung der Produkte und Dienstleistungen durch den Kunden kann der Kunde wählen, ob personenbezogene Daten aus einer der folgenden Kategorien in die Kundendaten aufgenommen werden sollen:

Grundlegende personenbezogene Daten (z. B. Geburtsort, Straßenname und Hausnummer (Adresse), Postleitzahl, Wohnort, Wohnsitzland, Mobiltelefonnummer, Vorname, Nachname, Initialen, E‑Mail-Adresse, Geschlecht, Geburtsdatum), einschließlich grundlegender personenbezogener Daten über Familienmitglieder und Kinder;
Authentifizierungsdaten (z. B. Benutzername, Passwort oder PIN-Code, Sicherheitsfrage, Prüfpfad);
Kontaktinformationen (z. B. Adressen, E‑Mail-Adressen, Telefonnummern, Social-Media-Kennungen; Notfallkontaktdaten);
Eindeutige Identifikationsnummern und Signaturen (z. B. Sozialversicherungsnummer, Bankkontonummer, Reisepass- und Personalausweisnummer, Führerscheinnummer und Kfz-Zulassungsdaten, IP-Adressen, Mitarbeiternummer, Matrikelnummer, Patientennummer, Unterschrift, eindeutige Kennung in Tracking-Cookies oder ähnlichen Technologien);
Pseudonyme Identifikatoren;
Finanz- und Versicherungsdaten (z. B. Versicherungsnummer, Name und Nummer des Bankkontos, Name und Nummer der Kreditkarte, Rechnungsnummer, Einkommen, Art der Versicherung, Zahlungsverhalten, Kreditwürdigkeit);
Kommerzielle Informationen (z. B. Kaufhistorie, Sonderangebote, Abonnementinformationen, Zahlungsverhalten);
Biometrische Informationen (z. B. DNA, Fingerabdrücke und Iris-Scans);
Standortdaten (z. B. Cell-ID, geografische Netzwerkdaten, Standort bei Gesprächsbeginn/-ende. Standortdaten aus der Nutzung von WLAN-Zugangspunkten);
Fotos, Video und Audio;
Internetaktivität (z. B. Browserverlauf, Suchverlauf, Lesen, Fernsehen, Radiohören);
Geräteidentifizierung (z. B. IMEI-Nummer, SIM-Kartennummer, MAC-Adresse);
Profilerstellung (z. B. auf der Grundlage von beobachteten kriminellen oder asozialen Verhaltensweisen oder pseudonymen Profilen auf der Grundlage von besuchten URLs, Klickströmen, Browsing-Protokollen, IP-Adressen, Domänen, installierten Anwendungen oder Profilen auf der Grundlage von Marketingpräferenzen);
Personal- und Einstellungsdaten (z. B. Erklärung zum Beschäftigungsstatus, Einstellungsinformationen (z. B. Lebenslauf, beruflicher Werdegang, Angaben zum Ausbildungsverlauf), Job- und Positionsdaten, einschließlich Arbeitsstunden, Beurteilungen und Gehalt, Angaben zur Arbeitserlaubnis, Verfügbarkeit, Beschäftigungsbedingungen, Steuerdetails, Zahlungsdetails, Versicherungsdetails und ‑standort sowie Organisationen);
Bildungsdaten (z. B. Bildungsgeschichte, derzeitige Ausbildung, Noten und Ergebnisse, höchster erreichter Abschluss, Lernbehinderung);
Staatsangehörigkeits- und Aufenthaltsdaten (z. B. Staatsangehörigkeit, Einbürgerungsstatus, Familienstand, Nationalität, Einwanderungsstatus, Reisepassdaten, Angaben zur Aufenthalts- oder Arbeitserlaubnis);
Informationen, die zur Erfüllung einer Aufgabe verarbeitet werden, die im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erfolgt;
Besondere Datenkategorien (z. B. rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten, Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person oder Daten über strafrechtliche Verurteilungen oder Straftaten); oder
Andere personenbezogenen Daten, die in Artikel 4 der DSGVO genannt werden.

Übermittlung sensibler Daten (falls zutreffend) und angewandte Beschränkungen oder Schutzmaßnahmen, die der Art der Daten und den damit verbundenen Risiken voll Rechnung tragen, wie z. B. strikte Zweckbindung, Zugangsbeschränkungen (einschließlich Zugang nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnung des Datenzugriffs, Beschränkungen für die Weiterübermittlung oder zusätzliche Sicherheitsmaßnahmen.

…

Häufigkeit der Übermittlung (z. B. ob die Daten einmalig oder kontinuierlich übermittelt werden).

Die Daten können während der Laufzeit der Vereinbarung oder einer anderen Vereinbarung, für die diese DVV gilt, fortlaufend übermittelt werden.

Art der Verarbeitung

Art, Umfang und Zweck der Verarbeitung personenbezogener Daten dienen der Erfüllung der Verpflichtungen von Avigilon in Bezug auf die Bereitstellung der im Rahmen der Vereinbarung erworbenen Produkte und Dienstleistungen. Der Datenimporteur nutzt ein globales Netzwerk von Rechenzentren und Verwaltungs-/Supporteinrichtungen, und die Verarbeitung kann in jeder Gerichtsbarkeit stattfinden, in der der Datenimporteur oder seine Unterauftragsverarbeiter solche Einrichtungen nutzen.

Zweck(e) der Datenübermittlung und Weiterverarbeitung

Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, nach denen dieser Zeitraum festgelegt wird

Die Datenspeicherung ist in Abschnitt 10 dieser Vereinbarung über die Datenverarbeitung geregelt.

Bei Übermittlungen an (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben

Übermittlungen an Unterauftragsverarbeiter erfolgen nur zur Erfüllung der Verpflichtungen von Avigilon in Bezug auf die Bereitstellung der gemäß der Vereinbarung erworbenen Produkte und Dienstleistungen. Die Dauer der Verarbeitung gilt für die Dauer der Vereinbarung. Der Datenimporteur nutzt ein globales Netzwerk von Rechenzentren und Verwaltungs-/Supporteinrichtungen, und die Verarbeitung kann in jeder Gerichtsbarkeit stattfinden, in der der Datenimporteur oder seine Unterauftragsverarbeiter solche Einrichtungen nutzen.

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

Die dänische Datenschutzbehörde

ANLAGE II

TECHNISCHE UND ORGANISATORISCHE MAẞNAHMEN, EINSCHLIEẞLICH TECHNISCHER UND ORGANISATORISCHER MAẞNAHMEN ZUR GEWÄHRLEISTUNG DER SICHERHEIT DER DATEN

ERLÄUTERUNGEN:

Die technischen und organisatorischen Maßnahmen müssen konkret (und nicht allgemein) beschrieben werden. Siehe auch den allgemeinen Kommentar auf der ersten Seite des Anhangs, insbesondere zur Notwendigkeit, klar anzugeben, welche Maßnahmen für jede Übermittlung/jeden Satz von Übermittlungen gelten.

Beschreibung der von dem/den Datenimporteur(en) getroffenen technischen und organisatorischen Maßnahmen (einschließlich etwaiger einschlägiger Zertifizierungen) zur Gewährleistung eines angemessenen Sicherheitsniveaus unter Berücksichtigung der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen.

Beispiele für mögliche Maßnahmen:

Maßnahmen zur Pseudonymisierung und Verschlüsselung personenbezogener Daten

Soweit technisch machbar und ohne Beeinträchtigung der angebotenen Dienste:

Avigilon beschränkt die erfassten Daten auf Informationen, die für die Kommunikation, Bereitstellung und Unterstützung von Produkten und Dienstleistungen sowie für die Erfüllung gesetzlicher Verpflichtungen erforderlich sind.
Avigilon verschlüsselt Daten während der Übertragung und im Ruhezustand.
Avigilon pseudonymisiert und beschränkt administrative Konten, die Zugriff auf die umgekehrte Pseudonymisierung haben.

Maßnahmen zur Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Ausfallsicherheit von Verarbeitungssystemen und ‑diensten

Um die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und ‑dienste zu gewährleisten, schreibt die Informationsschutzrichtlinie von Avigilon die Institutionalisierung des Informationsschutzes während des gesamten Lebenszyklus der Lösungen und des Betriebs vor. Avigilon unterhält spezielle Sicherheitsteams für die interne Informationssicherheit sowie für seine Produkte und Dienstleistungen. Die Sicherheitspraktiken und ‑richtlinien sind integraler Bestandteil des Unternehmens und für alle Mitarbeiter und Auftragnehmer von Avigilon verpflichtend. Der Chief Information Security Officer von Avigilon trägt die Verantwortung für diese Richtlinien und übt die Aufsicht darüber aus, einschließlich formaler Governance, Revisionsmanagement, Personalschulung und Compliance. Avigilon richtet sich generell nach dem NIST Cybersecurity Framework und ISO 27001.

Ein Teil der Systemkonfiguration unterliegt der Kontrolle des Kunden.

Maßnahmen zur Sicherstellung der Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Vorfalls zeitnah wiederherzustellen

Verfahren bei Sicherheitsvorfällen Avigilon unterhält einen globalen Plan zur Reaktion auf Sicherheitsvorfälle, um auf alle physischen oder technischen Vorfälle schnell reagieren zu können. Avigilon führt Aufzeichnungen über Sicherheitsverstöße mit einer Beschreibung des Verstoßes, dem Zeitraum, den Folgen des Verstoßes, dem Namen des Meldenden und dem Empfänger des Verstoßes sowie dem Verfahren zur Wiederherstellung der Daten. Jeder Sicherheitsverstoß, der einen Sicherheitsvorfall darstellt, wird gemäß dem Abschnitt über die Meldung von Sicherheitsvorfällen in dieser DVV gemeldet.

Geschäftskontinuität und Katastrophenvorsorge Avigilon unterhält Pläne zur Geschäftskontinuität und Katastrophenvorsorge für kritische Funktionen und Systeme innerhalb der Kontrolle von Avigilon, die die im Rahmen der Vereinbarung erworbenen Produkte und Dienstleistungen unterstützen, um Unterbrechungen der Dienstleistungen zu vermeiden und Wiederherstellungsrisiken zu minimieren.

Verfahren zur regelmäßigen Prüfung, Beurteilung und Bewertung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

Avigilon bewertet regelmäßig seine Prozesse und Systeme, um die kontinuierliche Einhaltung der gesetzlichen, regulatorischen oder vertraglichen Verpflichtungen in Bezug auf die Vertraulichkeit, Integrität, Verfügbarkeit und Sicherheit von Kundendaten, einschließlich personenbezogener Daten, sicherzustellen. Avigilon dokumentiert die Ergebnisse dieser Bewertungen und alle als Reaktion auf diese Bewertungen ergriffenen Abhilfemaßnahmen. Avigilon lässt in regelmäßigen Abständen Bewertungen von Drittanbietern anhand der geltenden Industriestandards wie ISO 27001, 27017, 27018 und 27701 durchführen.

Maßnahmen zur Benutzeridentifizierung und ‑autorisierung

Identifizierung und Authentifizierung. Avigilon verwendet branchenübliche Verfahren zur Identifizierung und Authentifizierung von Benutzern, die versuchen, auf Avigilon-Informationssysteme zuzugreifen. Wenn die Authentifizierungsmechanismen auf Passwörtern basieren, verlangt Avigilon, dass die Passwörter mindestens acht Zeichen lang sind und regelmäßig geändert werden. Avigilon verwendet branchenübliche Verfahren zum Schutz von Passwörtern, einschließlich Verfahren zur Wahrung der Vertraulichkeit und Integrität von Passwörtern bei der Zuweisung und Verteilung sowie bei der Speicherung.

Zugriffsrichtlinien und Verwaltung. Avigilon führt Aufzeichnungen über die Sicherheitsprivilegien von Personen, die Zugang zu Kundendaten haben, einschließlich personenbezogener Informationen. Avigilon unterhält angemessene Verfahren für die Beantragung, Genehmigung und Verwaltung von Konten und Zugriffsberechtigungen in Verbindung mit der Verarbeitung von Kundendaten. Nur autorisiertes Personal darf autorisierten Zugriff auf Daten und Ressourcen gewähren, ändern oder aufheben. Wenn eine Person Zugriff auf Systeme hat, die Kundendaten enthalten, werden den Personen separate, eindeutige Kennungen zugewiesen. Avigilon deaktiviert in regelmäßigen Abständen die Authentifizierungsnachweise.

Maßnahmen zum Schutz der Daten während der Übertragung

Daten werden bei der Übertragung innerhalb der von Avigilon verwalteten Umgebungen generell verschlüsselt. Die Verschlüsselung während der Übertragung wird auch von allen Unterauftragsverarbeitern verlangt. Darüber hinaus wird der Schutz der Daten bei der Übermittlung auch durch die in diesem Anlage II beschriebenen Zugangskontrollen, die physische und umgebungsbezogene Sicherheit sowie die Personalsicherheit gewährleistet.

Maßnahmen zum Schutz der Daten während der Speicherung

Daten werden bei der Speicherung innerhalb der von Avigilon verwalteten Umgebungen generell verschlüsselt. Die Verschlüsselung bei der Speicherung wird auch von allen Unterauftragsverarbeitern verlangt. Darüber hinaus wird der Schutz von gespeicherten Daten auch durch die in diesem Anlage II beschriebenen Zugangskontrollen, die physische und umgebungsbezogene Sicherheit sowie die Personalsicherheit gewährleistet.

Maßnahmen zur Gewährleistung der physischen Sicherheit von Standorten, an denen personenbezogene Daten verarbeitet werden

Avigilon unterhält angemessene physische und umgebungsbezogene Sicherheitskontrollen, um unbefugten Zugriff auf Kundendaten, einschließlich personenbezogener Daten, zu verhindern. Dazu gehören angemessene physische Zugangskontrollen zu Avigilon-Einrichtungen, wie z. B. kartenkontrollierte Zugangspunkte und ein mit Personal besetzter Empfangsschalter zum Schutz vor unbefugtem Zutritt. Der Zugang zu kontrollierten Bereichen innerhalb einer Einrichtung ist auf die jeweilige Funktion beschränkt und unterliegt einer autorisierten Genehmigung. Die Verwendung eines Zugangsausweises zum Betreten eines kontrollierten Bereichs wird protokolliert und diese Protokolle werden gemäß den Avigilon-Richtlinien aufbewahrt. Avigilon entzieht Mitarbeitern den Zugang zu Avigilon-Einrichtungen und kontrollierten Bereichen bei Beendigung des Arbeitsverhältnisses in Übereinstimmung mit den Avigilon-Richtlinien. Die Richtlinien von Avigilon sehen branchenübliche Arbeitsplatz‑, Geräte- und Medienkontrollen vor, die den Schutz von Kundendaten, einschließlich personenbezogener Informationen, weiter verbessern sollen.

Maßnahmen zur Gewährleistung der Personalsicherheit

Zugang zu Kundendaten. Avigilon unterhält Verfahren zur Autorisierung und Beaufsichtigung seiner Mitarbeiter und Auftragnehmer im Hinblick auf die Überwachung des Zugriffs auf Kundendaten. Avigilon verlangt von seinen Mitarbeitern, Auftragnehmern und Vertretern, die Zugang zu Kundendaten haben oder voraussichtlich haben werden, die Einhaltung der Bestimmungen der Vereinbarung, einschließlich der Anlage und aller anderen für Avigilon verbindlichen Vereinbarungen.

Sensibilisierung für Sicherheit und Datenschutz. Avigilon muss sicherstellen, dass seine Mitarbeiter und Auftragnehmer über die branchenüblichen Sicherheits- und Datenschutzpraktiken und ihre Verantwortung für den Schutz von Kundendaten und personenbezogenen Daten informiert sind. Dies umfasst unter anderem den Schutz vor Schadsoftware, den Passwortschutz sowie die Verwaltung und Nutzung von Arbeitsstationen und Computersystemkonten. Avigilon verlangt regelmäßige Schulungen zur Informationssicherheit, zum Datenschutz und zur Geschäftsethik für alle Mitarbeiter und Vertragsressourcen.

Sanktionsrichtlinie. Avigilon unterhält eine Sanktionsrichtlinie, um Verstöße gegen die internen Sicherheitsanforderungen von Avigilon sowie gegen gesetzliche, behördliche oder vertragliche Auflagen zu ahnden.

Hintergrundüberprüfungen. Avigilon hält sich bei allen Neueinstellungen an die obligatorischen Standardanforderungen zur Überprüfung der Beschäftigung. In Übereinstimmung mit den internen Richtlinien von Avigilon müssen diese Anforderungen regelmäßig überprüft werden und umfassen unter anderem Überprüfungen des strafrechtlichen Hintergrunds, Identitätsnachweise und zusätzliche Überprüfungen, die Avigilon für notwendig erachtet.

Maßnahmen zur Sicherstellung der Ereignisprotokollierung

Avigilon unterhält Richtlinien, die eine kontinuierliche Überwachung und Ereignisprotokollierung für alle Produktionsinformationsressourcen vorschreiben. Anwendungsprüfprotokolle müssen auf allen produktiven Avigilon-Informationsressourcen aufgezeichnet werden. Die Prüfprotokolle der produktiven Avigilon-Informationsressourcen werden regelmäßig überprüft und bei Bedarf werden geeignete Abhilfemaßnahmen ergriffen.

Maßnahmen zur Sicherstellung der Systemkonfiguration, einschließlich der Standardkonfiguration

Maßnahmen zur internen IT- und IT-Sicherheitssteuerung und ‑verwaltung

Die Organisation Motorola Solutions Enterprise Information Security ist wie folgt strukturiert: Governance/Risiko/Compliance, Threat Intelligence & Vulnerability Management, Detection, Protection und Response. Avigilon bewertet die Effektivität der Organisation jährlich durch externe Gutachter, die über die Ergebnisse der Bewertung Bericht erstatten und diese an Avigilon Audit Services weitergeben, die alle identifizierten Abhilfemaßnahmen verfolgen. Weitere Informationen finden Sie im Avigilon Trust Center unter https://www.motorolasolutions.com/en_us/about/trust-center/security.html

Maßnahmen zur Zertifizierung/Zusicherung von Prozessen und Produkten

Avigilon führt interne Sicherheitsprüfungen (Secure Application Review und Secure Design Review) und Sicherheitsüberprüfungen (Production Readiness Review) vor der Freigabe von Diensten durch. Gegebenenfalls werden Datenschutzbewertungen für Produkte und Dienstleistungen von Avigilon durchgeführt. Als Ergebnis der internen Prüfungen wird ein Risikoregister erstellt, dessen Aufgaben an die entsprechenden Mitarbeiter weitergegeben werden. Sicherheitsprüfungen werden jährlich durchgeführt und bei Bedarf durch zusätzliche Prüfungen ergänzt. Zusätzliche Datenschutzbeurteilungen, einschließlich aktualisierter Datenkarten, erfolgen, wenn wesentliche Änderungen an den Produkten oder Dienstleistungen vorgenommen werden. Darüber hinaus hat Avigilon Solution für viele seiner Entwicklungs- und Supportvorgänge den AICPA SOC2 Typ 2‑Bericht und die ISO/IEC 27001:2013-Zertifizierung erhalten.

Maßnahmen zur Gewährleistung der Datenminimierung

Die Richtlinien von Avigilon sehen vor, dass alle personenbezogenen Daten in Übereinstimmung mit dem geltenden Recht verarbeitet werden, auch wenn dieses Recht die Datenminimierung vorschreibt. Darüber hinaus führt Avigilon Datenschutzbewertungen seiner Produkte und Dienstleistungen durch und bewertet, ob diese Produkte und Dienstleistungen die Grundsätze der Verarbeitung unterstützen, wie z. B. die Datenminimierung, wie in Artikel 5 der DSGVO dargelegt.

Maßnahmen zur Sicherung der Datenqualität

Die Richtlinien von Avigilon sehen vor, dass alle personenbezogenen Daten in Übereinstimmung mit geltendem Recht verarbeitet werden, auch wenn dieses Recht die Sicherstellung der Qualität und Genauigkeit der Daten vorschreibt. Darüber hinaus führt Avigilon Datenschutzbeurteilungen seiner Produkte und Dienstleistungen durch und bewertet, ob diese Produkte und Dienstleistungen die Grundsätze der Verarbeitung unterstützen, wie z. B. die Gewährleistung der Datenqualität, wie in Artikel 5 der DSGVO dargelegt.

Maßnahmen zur Gewährleistung einer begrenzten Datenaufbewahrung

Avigilon unterhält eine Richtlinie zur Datenaufbewahrung, die einen Aufbewahrungszeitplan enthält, in dem die Aufbewahrungsfristen für personenbezogene Daten festgelegt sind. Der Zeitplan basiert auf den geschäftlichen Erfordernissen und bietet ausreichende Informationen, um alle Aufzeichnungen zu identifizieren und Entscheidungen über die Entsorgung in Übereinstimmung mit dem Zeitplan umzusetzen. Die Richtlinie wird in regelmäßigen Abständen überprüft und aktualisiert.

Maßnahmen zur Gewährleistung der Rechenschaftspflicht

Um die Einhaltung des Prinzips der Rechenschaftspflicht zu gewährleisten, unterhält Avigilon ein Datenschutzprogramm, das seine Aktivitäten im Allgemeinen sowohl auf das Nymity Privacy Management and Accountability Framework als auch auf das NIST Privacy Framework ausrichtet. Das Datenschutzprogramm wird jährlich von Motorola Solutions Audit Services geprüft.

Maßnahmen zur Ermöglichung der Datenportabilität und Gewährleistung der Löschung

Wenn eine betroffene Person eine Verschiebung, Kopie oder Übermittlung ihrer personenbezogenen Daten beantragt, stellt Avigilon die personenbezogenen Daten in einem strukturierten, allgemein verwendeten und maschinenlesbaren Format zur Verfügung. Wenn möglich und wenn eine Person dies wünscht, kann Avigilon die personenbezogenen Daten direkt an eine andere Organisation übermitteln.

Bei Übermittlungen an (Unter-)Auftragsverarbeiter sind auch die spezifischen technischen und organisatorischen Maßnahmen zu beschreiben, die der (Unter-)Auftragsverarbeiter ergreifen muss, um den für die Verarbeitung Verantwortlichen und – bei Übermittlungen von einem Auftragsverarbeiter an einen Unterauftragsverarbeiter – den Datenexporteur unterstützen zu können.

Der Auftragsverarbeiter schließt mit seinen Unterauftragsverarbeitern Verträge in einer Weise ab, die es ihm ermöglicht, seinen Verpflichtungen gegenüber dem Verantwortlichen nachzukommen. Für die weltweit ansässigen verbundenen Unternehmen des Auftragsverarbeiters gelten verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, BCR). Mit Drittanbietern schließt der Auftragsverarbeiter angemessene Verträge ab – gegebenenfalls einschließlich SCCs – und führt eine Sicherheitsbewertung durch, bevor er Kundendaten an den Anbieter weitergibt.

ANLAGE III

LISTE DER UNTERAUFTRAGSVERARBEITER

ERLÄUTERUNGEN:

Diese Anlage ist für die Module Zwei und Drei auszufüllen, falls Unterauftragsverarbeiter speziell zugelassen werden (Klausel 9(a), Option 1).

Der Verantwortliche hat den Einsatz der folgenden Unterauftragsverarbeiter genehmigt:

AVIGILON ALTA

Name und Dienstleistungen (Name und eingetragene Anschrift des Auftragnehmers oder Unterauftragnehmers, mit kurzer Beschreibung der entsprechenden Dienstleistungen)	Standort/Übermittlungen (Standort, an dem die Einrichtung die personenbezogenen Daten verarbeiten wird. Gegebenenfalls ist anzugeben, wo und von wem die Daten übermittelt werden)	Mechanismus (Vereinbarter Mechanismus, der sicherstellt, dass jede Übermittlung im Einklang mit den Datenschutzgesetzen steht)
Microsoft Azure (Cloud Platform)	EU	N/A
Elastic (cloud Services storage for JSON documents)	EU	N/A
Google Ireland Ltd (Ava Security-Cloud)	US, EU, UK, CA, AU,	SCCs
OpenPath Security, Inc. (ein MSI-Unternehmen)	US, EU	SCCs
Amazon Web Services EMEA	US	SCCs
Freshworks Inc.	US	SCCs
Wasabi.com	US, EU, AU, CA	SCCs oder ähnliche bei Bedarf anwendbare Vertragsmechanismen
Digital Ocean	US, EU, UK, CA, SG	SCCs oder ähnliche bei Bedarf anwendbare Vertragsmechanismen
Mixpanel, Inc.	US, EU	SCCs
Bugfender	US, EU	SCCs
Bugsnag	US, EU	SCCs
Avigilon Corporation (ein MSI-Unternehmen)	US/CA/EU	SCCs
Avigilon USA Corporation (ein MSI-Unternehmen)	US/EU	SCCs
Millicast	US	SCCs
Netsuite	US	SCCs
Hubspot	US	SCCs
Locize	EU	N/A
Mouseflow	US	SCCs
LiveKit	US	SCC’s

AVIGILON UNITY

Name und Dienstleistungen (Name und eingetragene Anschrift des Auftragnehmers oder Unterauftragnehmers, mit kurzer Beschreibung der entsprechenden Dienstleistungen)	Standort/Übermittlungen (Standort, an dem die Einrichtung die personenbezogenen Daten verarbeiten wird. Gegebenenfalls ist anzugeben, wo und von wem die Daten übermittelt werden)	Mechanismus (Vereinbarter Mechanismus, der sicherstellt, dass jede Übermittlung im Einklang mit den Datenschutzgesetzen steht)	Gilt nur für Cloud-Dienste
Microsoft Corporation	USA, Australien und Kanada	Geeignete Vertragsmechanismen	Ja
Elastic	USA, Australien und Kanada	Geeignete Vertragsmechanismen	Ja
Google, Inc.	Weltweit	Geeignete Vertragsmechanismen
Apple, Inc.	Weltweit	Geeignete Vertragsmechanismen
Motorola Solutions, Inc., einschließlich Tochtergesellschaften	Weltweit	Geeignete Vertragsmechanismen
Flexera	USA	Geeignete Vertragsmechanismen
Whatsapp	Weltweit	Geeignete Vertragsmechanismen
Twilio	USA	Geeignete Vertragsmechanismen und BCR	Ja
PubNub	USA	Geeignete Vertragsmechanismen	Ja
Salesforce	USA	Geeignete Vertragsmechanismen und BCR