HINWEIS: Um sicherzustellen, dass keine inkonsistenten oder zusätzlichen Bedingungen über die in unserem Standard-DPA und den Modellklauseln dargelegten Bedingungen hinaus auferlegt werden, können wir nicht zustimmen, die DPAs der Kunden zu unterzeichnen. Als kleines Team können wir auch keine individuellen Änderungen an unserem DPA vornehmen, da wir kein juristisches Team beschäftigen. Änderungen am Standard-DPA würden rechtliche Beratung und viele Gespräche erfordern, die für unser Team wirtschaftlich nicht tragbar wären.

Dieses Datenverarbeitungsabkommen der EU und des Vereinigten Königreichs ("Vereinbarung") ergänzt die Nutzungsbedingungen (die "Vereinbarung"), die zwischen dem Kunden, der diese Vereinbarung unterzeichnet ("Kunde"), und Logike ("Unternehmen") getroffen wird. Durch die Ausführung der Vereinbarung gemäß Abschnitt 11 hierin tritt der Kunde in diese Vereinbarung im Namen von sich selbst und, soweit dies nach den geltenden Datenschutzgesetzen erforderlich ist (wie nachstehend definiert), im Namen und im Auftrag seiner verbundenen Unternehmen (wie nachstehend definiert) ein, falls vorhanden. Diese Vereinbarung integriert die Bedingungen der Vereinbarung, und alle in dieser Vereinbarung nicht definierten Begriffe haben die in der Vereinbarung festgelegte Bedeutung.

1\. Definitionen

1.1 "Verbundenes Unternehmen" bedeutet (i) eine Einheit, an der eine Partei direkt oder indirekt fünfzig Prozent (50%) oder mehr des Kapitals oder anderer Eigenkapitalanteile besitzt, (ii) eine Einheit, die mindestens fünfzig Prozent (50%) oder mehr des Kapitals oder anderer Eigenkapitalanteile einer Partei besitzt, oder (iii) eine Einheit, die unter gemeinsamer Kontrolle einer Partei steht, indem sie mindestens fünfzig Prozent (50%) oder mehr des Kapitals oder anderer Eigenkapitalanteile einer solchen Einheit und einer Partei gehört, die von derselben Person gehalten wird, jedoch wird eine solche Einheit nur als verbunden betrachtet, solange eine solche Beteiligung besteht.

1.2 "Autorisierter Unterauftragsverarbeiter" bedeutet einen Dritten, der ein Bedürfnis hat, Kunden personenbezogene Daten zu kennen oder anderweitig darauf zuzugreifen, um dem Unternehmen zu ermöglichen, seine Verpflichtungen aus dieser Vereinbarung oder der Vereinbarung zu erfüllen, und der entweder (1) in Anlage B aufgeführt ist oder (2) später gemäß Abschnitt 4.2 dieser Vereinbarung autorisiert wird.

1.3 "Kundendaten" bedeutet personenbezogene Daten, die sich auf die Beziehung des Kunden zu dem Unternehmen beziehen, einschließlich der Namen oder Kontaktdaten von Personen, die vom Kunden autorisiert sind, auf das Kundenkonto und die Rechnungsinformationen von Personen zuzugreifen, die der Kunde mit seinem Konto verbunden hat. Zudem umfassen die Kundendaten auch alle Daten, die das Unternehmen möglicherweise sammeln muss, um seine Beziehung zu dem Kunden zu verwalten, Identitätsprüfungen durchzuführen oder as sonst von den geltenden Gesetzen und Vorschriften erforderlich ist.

1.4 "Nutzungsdaten des Kunden" bedeutet Daten zur Nutzung des Dienstes, die vom Unternehmen im Zusammenhang mit der Bereitstellung der Dienstleistungen erfasst und verarbeitet werden, einschließlich, ohne darauf beschränkt zu sein, Daten, die verwendet werden, um die Quelle und das Ziel einer Kommunikation zu identifizieren, Aktivitätsprotokolle und Daten, die zur Optimierung und Aufrechterhaltung der Leistung der Dienstleistungen und zur Untersuchung und Verhinderung von Systemmissbrauch verwendet werden.

1.5 "Datenexporteur" bedeutet den Kunden.

1.6 "Datenimporteur" bedeutet das Unternehmen.

1.7 "Datenschutzgesetze" bezeichnen alle anwendbaren Gesetze und Vorschriften in jedem relevanten Hoheitsgebiet, die sich auf die Verwendung oder Verarbeitung personenbezogener Daten beziehen, einschließlich: (i) dem California Consumer Privacy Act ("CCPA"), (ii) der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) ("EU-DSGVO" oder "DSGVO"), (iii) dem Schweizer Bundesgesetz über den Datenschutz, (iv) der EU-DSGVO, da sie Teil des Rechts von England und Wales gemäß § 3 des European Union (Withdrawal) Act 2018 ("UK-DSGVO") ist; (v) dem UK-Datenschutzgesetz 2018; und (vi) den Bestimmungen der Richtlinie über den Datenschutz und die elektronischen Kommunikationsdienste (EG-Richtlinie) von 2003; in jedem Fall, wie sie von Zeit zu Zeit aktualisiert, geändert oder ersetzt werden. Die Begriffe "Betroffene", "personenbezogene Daten", "Verletzung der personenbezogenen Daten", "Verarbeitung", "Verarbeiter", "Verantwortlicher" und "Aufsichtsbehörde" haben die in der DSGVO festgelegten Bedeutungen.

1.8 "EU-SCCs" sind die Standardvertragsklauseln, die von der Europäischen Kommission in der Kommissionsentscheidung 2021/914 vom 4. Juni 2021 genehmigt wurden, für die Übertragung personenbezogener Daten an Länder, die nicht anders als als einen angemessenen Schutzgrad für personenbezogene Daten anerkannt werden (wie sie von Zeit zu Zeit geändert und aktualisiert werden).

1.9 "Ex-EEA-Übertragung" bedeutet die Übertragung von personenbezogenen Daten, die gemäß der DSGVO verarbeitet wird, vom Datenexporteur an den Datenimporteur (oder dessen Räumlichkeiten) außerhalb des Europäischen Wirtschaftsraums ("EWR"), wobei die Übertragung nicht durch eine Angemessenheitsentscheidung der Europäischen Kommission gemäß den relevanten Bestimmungen der DSGVO geregelt wird.

1.10 "Ex-UK-Übertragung" bedeutet die Übertragung von personenbezogenen Daten, die gemäß der UK-DSGVO und dem Datenschutzgesetz 2018 verarbeitet wird, vom Datenexporteur an den Datenimporteur (oder dessen Räumlichkeiten) außerhalb des Vereinigten Königreichs ("Vereinigtes Königreich"), wobei die Übertragung nicht durch eine Angemessenheitsentscheidung des Staatssekretärs gemäß den relevanten Bestimmungen der UK-DSGVO und des Datenschutzgesetzes 2018 geregelt wird.

1.11 "Dienstleistungen" haben die in der Vereinbarung festgelegte Bedeutung.

1.12 "Standardvertragsklauseln" bezeichnen die EU-SCCs und die UK-SCCs.

1.13 "UK-SCCs" sind die Standardvertragsklauseln, die von der Europäischen Kommission für Übertragungen personenbezogener Daten an Länder genehmigt wurden, die nicht anerkannt werden, dass sie ein angemessenes Schutzniveau für personenbezogene Daten bieten, und die entweder (i) die Vertragsklauseln von Verantwortlichem zu Verarbeiter sind, die von der Europäischen Kommission in der Kommissionsentscheidung 2010/87/EU, datiert 5. Februar 2010, genehmigt wurden (wie sie von Zeit zu Zeit geändert und aktualisiert werden) ("UK-Verantwortlicher zu Verarbeiter-SCCs"); oder (ii) Vertragsklauseln von Verantwortlichem zu Verantwortlichem, die von der Europäischen Kommission in der Kommissionsentscheidung 2004/915/EC, datiert 27. Dezember 2004, genehmigt wurden (wie sie von Zeit zu Zeit geändert und aktualisiert werden) ("UK-Verantwortlicher zu Verantwortlichem-SCCs").

2. Beziehung der Parteien; Verarbeitung von Daten

2.1 Die Parteien erkennen an und stimmen zu, dass in Bezug auf die Verarbeitung personenbezogener Daten der Kunde entweder als Verantwortlicher oder als Auftragsverarbeiter handeln kann und, soweit in dieser Vereinbarung oder der Vereinbarung nicht ausdrücklich anders festgelegt, das Unternehmen ein Auftragsverarbeiter ist. Der Kunde wird bei der Nutzung der Dienstleistungen jederzeit personenbezogene Daten verarbeiten und Anweisungen zur Verarbeitung personenbezogener Daten in Übereinstimmung mit Datenschutzgesetzen geben. Der Kunde wird sicherstellen, dass die Verarbeitung personenbezogener Daten gemäß den Anweisungen des Kunden das Unternehmen nicht in die Lage versetzt, gegen die Datenschutzgesetze zu verstoßen. Der Kunde ist allein verantwortlich für die Richtigkeit, Qualität und Rechtmäßigkeit (i) der personenbezogenen Daten, die dem Unternehmen von oder im Namen des Kunden zur Verfügung gestellt werden, (ii) der Mittel, durch die der Kunde solche personenbezogenen Daten erlangt hat, und (iii) der Anweisungen, die er dem Unternehmen zur Verarbeitung solcher personenbezogenen Daten gibt. Der Kunde wird dem Unternehmen keine personenbezogenen Daten zur Verfügung stellen oder zur Verfügung stellen, die gegen die Vereinbarung oder anderer Weise unangemessen für die Art der Dienstleistungen sind, und wird das Unternehmen von allen Ansprüchen und Verlusten entschädigen, die damit in Zusammenhang stehen.

2.2 Das Unternehmen wird personenbezogene Daten nicht (i) zu anderen als den in der Vereinbarung und/oder Anlage A festgelegten Zwecken, (ii) in einer Weise, die nicht mit den in dieser Vereinbarung oder anderen dokumentierten Anweisungen des Kunden festgelegten Bedingungen übereinstimmt, einschließlich hinsichtlich der Übertragungen personenbezogener Daten in ein Drittland oder eine internationale Organisation, es sei denn, es wird von einer Aufsichtsbehörde verlangt, der das Unternehmen unterliegt; in diesem Fall wird das Unternehmen den Kunden über diese gesetzliche Anforderung vor der Verarbeitung informieren, es sei denn, dieses Gesetz verbietet solche Informationen aus wichtigen öffentlichen Interessen, oder (iii) unter Verstoß gegen die Datenschutzgesetze verarbeiten. Der Kunde weist hiermit das Unternehmen an, personenbezogene Daten gemäß dem Vorstehenden zu verarbeiten und als Teil einer jeglichen Verarbeitung, die vom Kunden im Rahmen der Nutzung der Dienstleistungen eingeleitet wird. Diese Anweisungen müssen immer dokumentiert werden.

2.3 Der Gegenstand, die Art, der Zweck und die Dauer dieser Verarbeitung sowie die Arten der gesammelten personenbezogenen Daten und die Kategorien der betroffenen Personen sind in Anlage A zu dieser Vereinbarung beschrieben.

2.4 Nach Abschluss der Dienstleistungen hat das Unternehmen nach Wahl des Kunden die personenbezogenen Daten des Kunden entweder zurückzugeben oder zu löschen, es sei denn, eine weitere Speicherung solcher personenbezogenen Daten ist durch geltendes Recht erforderlich oder autorisiert. Wenn eine Rückgabe oder Zerstörung unpraktisch oder gesetzlich, durch Vorschrift oder Regulierung untersagt ist, wird das Unternehmen Maßnahmen ergreifen, um die personenbezogenen Daten von weiteren Verarbeitungen zu blockieren (es sei denn, soweit dies für die fortgesetzte Speicherung oder Verarbeitung erforderlich ist, die gesetzlich, durch Vorschrift oder Regulierung erforderlich ist) und wird weiterhin die personenbezogenen Daten, die sich in seinem Besitz, seiner Aufsicht oder Kontrolle befinden, angemessen schützen. Wenn der Kunde und das Unternehmen Standardvertragsklauseln gemäß Abschnitt 6 (Übertragungen personenbezogener Daten) abgeschlossen haben, vereinbaren die Parteien, dass die Löschbescheinigung der personenbezogenen Daten, die in Klausel 12(1) der UK-SCCs und Klausel 8.1(d) und Klausel 8.5 der EU-SCCs (jeweils anwendbar) beschrieben ist, vom Unternehmen nur auf Anfrage des Kunden bereitgestellt wird.

2.5 CCPA. Außer in Bezug auf Kundendaten und Nutzungsdaten des Kunden erkennen die Parteien an und stimmen zu, dass das Unternehmen ein Dienstleister für die Zwecke des CCPA (soweit anwendbar) ist und personenbezogene Informationen vom Kunden erhält, um die Dienstleistungen gemäß der Vereinbarung zu erbringen, die einen Geschäftszweck darstellt. Das Unternehmen wird keine solchen personenbezogenen Informationen verkaufen. Das Unternehmen wird keine personenbezogenen Informationen, die dem Kunden gemäß der Vereinbarung bereitgestellt werden, aufbewahren, verwenden oder offenlegen, es sei denn, dies ist erforderlich, um die Dienstleistungen für den Kunden gemäß der Vereinbarung zu erbringen, oder anderweitig in der Vereinbarung dargelegt oder vom CCPA erlaubt. Die Begriffe "personenbezogene Informationen", "Dienstleister", "Verkauf" und "verkaufen" sind, wie in Abschnitt 1798.140 des CCPA definiert. Das Unternehmen bestätigt, dass es die Einschränkungen dieses Abschnitts 2.5 versteht.

Vertraulichkeit

Das Unternehmen wird sicherstellen, dass jede Person, die es autorisiert, personenbezogene Daten zu verarbeiten, zugestimmt hat, personenbezogene Daten gemäß den Verpflichtungen des Unternehmens zur Vertraulichkeit in der Vereinbarung zu schützen. Der Kunde stimmt zu, dass das Unternehmen personenbezogene Daten an seine Berater, Prüfer oder andere Dritte offengeben kann, sofern dies vernünftigerweise im Zusammenhang mit den Verpflichtungen des Unternehmens aus dieser Vereinbarung, der Vereinbarung oder der Erbringung von Dienstleistungen an den Kunden erforderlich ist.

Autorisierte Unterauftragsverarbeiter

4.1 Der Kunde erkennt an und stimmt zu, dass das Unternehmen (1) seine verbundenen Unternehmen und die autorisierten Unterauftragsverarbeiter auf der Liste (siehe unten) zur Verarbeitung von personenbezogenen Daten im Zusammenhang mit den Dienstleistungen hinzuziehen kann und (2) von Zeit zu Zeit zusätzliche Dritte engagieren kann, um die Dienstleistungen zu erbringen, einschließlich, ohne darauf beschränkt zu sein, zur Verarbeitung personenbezogener Daten. Im Rahmen dieser Vereinbarung erteilt der Kunde dem Unternehmen die allgemeine schriftliche Genehmigung, Unterauftragsverarbeiter zu engagieren, die zur Erbringung der Dienstleistungen erforderlich sind.

4.2 Eine Liste der aktuellen autorisierten Unterauftragsverarbeiter des Unternehmens (die "Liste") wird dem Kunden zur Verfügung gestellt (Anlage D). Diese Liste kann vom Unternehmen von Zeit zu Zeit aktualisiert werden. Der Kunde erkennt an, dass bestimmte Unterauftragsverarbeiter wesentlich für die Bereitstellung der Dienstleistungen erforderlich sind und dass ein Widerspruch gegen die Verwendung eines Unterauftragsverarbeiters das Unternehmen daran hindern kann, die Dienstleistungen dem Kunden anzubieten.

4.3 Wenn der Kunde den Engagement eines Unterauftragsverarbeiters gemäß Abschnitt 4.2 angemessen beanstandet und das Unternehmen innerhalb eines angemessenen Zeitraums keine wirtschaftlich vertretbare Alternative anbieten kann, kann der Kunde die Nutzung des betroffenen Dienstes einstellen, indem er dem Unternehmen eine schriftliche Mitteilung sendet. Die Einstellung entbindet den Kunden nicht von Gebühren, die dem Unternehmen im Rahmen der Vereinbarung zustehen.

4.4 Wenn der Kunde dem Engagement eines Dritten gemäß Abschnitt 4.2 innerhalb von zehn (10) Tagen nach einer Änderung durch das Unternehmen nicht widerspricht, wird dieser Dritte für die Zwecke dieser Vereinbarung als autorisierter Unterauftragsverarbeiter angesehen.

4.5 Das Unternehmen wird mit dem autorisierten Unterauftragsverarbeiter eine schriftliche Vereinbarung schließen, die dem autorisierten Unterauftragsverarbeiter datenschutzrechtliche Verpflichtungen auferlegt, die denjenigen, die dem Unternehmen in dieser Vereinbarung auferlegt werden, vergleichbar sind. Falls ein autorisierter Unterauftragsverarbeiter seinen datenschutzrechtlichen Verpflichtungen gemäß einer solchen schriftlichen Vereinbarung mit dem Unternehmen nicht nachkommt, bleibt das Unternehmen dem Kunden gegenüber verantwortlich für die Erfüllung der Verpflichtungen des autorisierten Unterauftragsverarbeiters aus dieser Vereinbarung.

4.6 Wenn der Kunde und das Unternehmen Standardvertragsklauseln gemäß Abschnitt 6 (Übertragungen personenbezogener Daten) abgeschlossen haben, (i) die oben genannten Genehmigungen die vorherige schriftliche Zustimmung des Kunden zur Unterauftragsvergabe durch das Unternehmen zur Verarbeitung personenbezogener Daten darstellen, wenn eine solche Zustimmung gemäß den Standardvertragsklauseln erforderlich ist, und (ii) die Parteien sich darauf einigen, dass die Kopien der Vereinbarungen mit den autorisierten Unterauftragsverarbeitern, die das Unternehmen dem Kunden gemäß Klausel 5(j) der UK-SCCs oder Klausel 9(c) der EU-SCCs zur Verfügung stellen muss, Geschäftsgeheimnisse oder Informationen, die nicht mit den Standardvertragsklauseln oder deren Äquivalent zu tun haben, vorher vom Unternehmen entfernt werden dürfen und dass solche Kopien dem Unternehmen nur auf Anfrage des Kunden zur Verfügung gestellt werden.

4.7 Das Unternehmen wird eine Klausel zugunsten Dritter mit dem autorisierten Unterauftragsverarbeiter vereinbaren, wonach - im Falle, dass das Unternehmen faktisch verschwunden ist, rechtlich nicht mehr existiert oder insolvent geworden ist - der Kunde das Recht haben wird, den Vertrag mit dem autorisierten Unterauftragsverarbeiter zu kündigen und den autorisierten Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

5. Sicherheit der personenbezogenen Daten.

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen wird das Unternehmen angemessene technische und organisatorische Maßnahmen aufrechterhalten, um ein Sicherheitsniveau zu gewährleisten, das dem Risiko der Verarbeitung personenbezogener Daten angemessen ist. Dies umfasst den Schutz der Daten vor einem Sicherheitsvorfall, der zu versehentlicher oder rechtswidriger Zerstörung, Verlust, Veränderung, unbefugter Offenlegung oder dem Zugriff auf die Daten (Verletzung personenbezogener Daten) führt. Bei der Bewertung des angemessenen Sicherheitsniveaus werden die Parteien den Stand der Technik, die Implementierungskosten, die Art, den Umfang, den Kontext und die Zwecke der Verarbeitung sowie die damit verbundenen Risiken angemessen berücksichtigen. Anlage B enthält weitere Informationen über die technischen und organisatorischen Sicherheitsmaßnahmen des Unternehmens.

Übertragungen personenbezogener Daten

 6.1 Die Parteien stimmen zu, dass das Unternehmen personenbezogene Daten, die unter dieser Vereinbarung verarbeitet werden, außerhalb des EWR, des Vereinigten Königreichs oder der Schweiz überträgt, soweit dies zur Bereitstellung der Dienstleistungen erforderlich ist. Der Kunde erkennt an, dass die primären Verarbeitungsoperationen des Unternehmens in den Vereinigten Staaten stattfinden und dass die Übertragung der personenbezogenen Daten des Kunden in die Vereinigten Staaten für die Bereitstellung der Dienstleistungen an den Kunden erforderlich ist. Wenn das Unternehmen personenbezogene Daten, die unter dieser Vereinbarung geschützt sind, in eine Rechtsordnung überträgt, für die die Europäische Kommission keine Angemessenheitsentscheidung getroffen hat, wird das Unternehmen sicherstellen, dass angemessene Schutzmaßnahmen für die Übertragung personenbezogener Daten gemäß den Datenschutzgesetzen umgesetzt wurden.

6.2 Ex-EEA-Übertragungen. Die Parteien stimmen zu, dass Ex-EEA-Übertragungen gemäß den EU-SCCs erfolgen, die als in diese Vereinbarung eingegangen (und durch Verweis in diese Vereinbarung integriert) und wie folgt abgeschlossen sind:

6.2.1 Modul Eins (Verantwortlicher zu Verantwortlichem) der EU-SCCs gilt, wenn das Unternehmen personenbezogene Daten als Verantwortlicher gemäß Abschnitt 9 dieser Vereinbarung verarbeitet.

6.2.2 Modul Zwei (Verantwortlicher zu Verarbeiter) der EU-SCCs gilt, wenn der Kunde ein Verantwortlicher ist und das Unternehmen personenbezogene Daten im Auftrag des Kunden als Verarbeiter gemäß Abschnitt 2 dieser Vereinbarung verarbeitet.

6.2.3 Modul Drei (Verarbeiter zu Unterauftragsverarbeiter) der EU-SCCs gilt, wenn der Kunde ein Verarbeiter ist und das Unternehmen personenbezogene Daten im Auftrag des Kunden als Unterauftragsverarbeiter verarbeitet.

6.3 Für jedes Modul gelten die folgenden Bestimmungen, sofern zutreffend:

6.3.1 Die optionale Docking-Klausel in Klausel 7 gilt nicht.

6.3.2 In Klausel 9 gilt Option 2 (allgemeine schriftliche Genehmigung), und der Mindestzeitraum für eine vorherige Benachrichtigung über Änderungen von Unterauftragsverarbeitern ist wie in Abschnitt 4.2 dieser Vereinbarung festgelegt;

6.3.3 In Klausel 11 gilt die optionale Sprache nicht;

6.3.4 Alle eckigen Klammern in Klausel 13 werden hiermit entfernt. Die geltenden Bestimmungen sind die, die der Situation des Datenexporteurs entsprechen, die in eckigen Klammern beschrieben ist;

6.3.5 In Klausel 17 (Option 1) unterliegen die EU-SCCs dem französischen Recht;

6.3.6 In Klausel 18(b) werden Streitigkeiten vor den Gerichten Frankreichs beigelegt;

6.3.7 Anlage B zu dieser Vereinbarung enthält die Informationen, die in Anhang I der EU-SCCs erforderlich sind;

6.3.8 Anlage C zu dieser Vereinbarung enthält die Informationen, die in Anhang II der EU-SCCs erforderlich sind; und

6.3.9 Mit dem Abschluss dieser Vereinbarung werden die Parteien für eine Unterzeichnung der in dieser Vereinbarung enthaltenen EU-SCCs, einschließlich ihrer Anhänge, berücksichtigt.

6.4 Ex-UK-Übertragungen. Die Parteien stimmen zu, dass Ex-UK-Übertragungen gemäß den UK-SCCs erfolgen, die als in diese Vereinbarung eingegangen und durch Verweis in diese Vereinbarung integriert betrachtet werden und wie folgt abgeschlossen sind:

6.4.1 Verweise auf die DSGVO gelten als Verweise auf die UK-DSGVO und das UK-Datenschutzgesetz 2018, Verweise auf "Aufsichtsbehörden" gelten als Verweise auf den britischen Informationskommissar und Verweise auf "Mitgliedstaat(en)" oder die EU gelten als Verweise auf das Vereinigte Königreich.

6.4.2 Die UK-Verantwortlicher-zu-Verarbeiter-SCCs gelten, wenn das Unternehmen die personenbezogenen Daten des Kunden als Verarbeiter verarbeitet. Die illustrative Entschädigungsklausel gilt nicht. In Klausel 4(f) wird die Formulierung "angemessener Schutz im Sinne der Richtlinie 95/46/EG" gelöscht und durch "ein Niveau an Datenschutz, das als angemessen unter oder gleichwertig den geltenden datenschutzrechtlichen Bestimmungen angesehen wird" ersetzt. Klausel 9, geltendes Recht, lautet: "Die Klauseln unterliegen dem Recht des Mitgliedstaates, in dem der Datenexporteur ansässig ist, jedoch ohne die Rechte und Freiheiten, die betroffene Personen gemäß ihren nationalen Datenschutzgesetzen genießen können, zu tangieren." In Klausel 11(3) wird die Sprache ", nämlich..." am Ende des Satzes hiermit gelöscht. Anlage B dieser Vereinbarung dient als Anhang I der UK-Verantwortlicher-zu-Verarbeiter-SCCs. Anlage C dieser Vereinbarung dient als Anhang II der UK-Verantwortlicher-zu-Verarbeiter-SCCs.

6.4.3 Die UK-Verantwortlicher-zu-Verantwortlichem-SCCs gelten, wenn das Unternehmen die personenbezogenen Daten des Kunden als Verantwortlicher gemäß Abschnitt 9 dieser Vereinbarung verarbeitet. Klausel II(h) der UK-Verantwortlicher-zu-Verantwortlichem-SCCs wird als die angesehen, die besagt, dass das Unternehmen personenbezogene Daten gemäß den in Anhang A der UK-Verantwortlicher-zu-Verantwortlichem-SCCs festgelegten Grundsätzen zur Datenverarbeitung verarbeitet. Die illustrative kommerzielle Klausel gilt nicht. Klausel IV (geltendes Recht) lautet: "Die Klauseln unterliegen dem Recht des Mitgliedstaates, in dem der Datenexporteur ansässig ist, jedoch unbeschadet der Rechte und Freiheiten, die Betroffene gemäß ihren nationalen Datenschutzgesetzen genießen können." Anlage B dieser Vereinbarung dient als Anhang B der UK-Verantwortlicher-zu-Verantwortlichem-SCCs.

6.4.4 Die Parteien erkennen an und stimmen zu, dass, wenn eine der UK-SCCs durch neue Standardvertragsklauseln ersetzt oder aufgehoben wird, die gemäß Artikel 46 der UK-DSGVO und den entsprechenden Bestimmungen des UK-Datenschutzgesetzes 2018 ("Neue UK-SCCs") ausgestellt und genehmigt werden, der Datenimporteur dem Datenexporteur eine Mitteilung erteilen kann und ab dem in einer solchen Mitteilung festgelegten Datum die Anwendung der in dieser Vereinbarung festgelegten UK-SCCs so abgeändert wird, dass die UK-SCCs für Ex-UK-Übertragungen nicht mehr gelten, und die in dieser Mitteilung angegebenen neuen UK-SCCs fortan gelten. Soweit die Verwendung der neuen UK-SCCs erfordert, dass die Parteien zusätzliche Informationen ausfüllen, werden die Parteien vernünftig und unverzüglich zusammenarbeiten, um diese zusätzlichen Informationen auszufüllen.

6.5 Übertragungen aus der Schweiz. Die Parteien stimmen zu, dass Übertragungen aus der Schweiz gemäß den EU-SCCs mit den folgenden Änderungen erfolgen:

6.5.1 Die Begriffe "Allgemeine Datenschutzverordnung" oder "Verordnung (EU) 2016/679", die in den EU-SCCs verwendet werden, gelten als auch das Bundesgesetz über den Datenschutz vom 19. Juni 1992 ("FADP", und zuletzt geändert am 25. September 2020, "Änderung FADP") in Bezug auf Datenübertragungen, die dem FADP unterliegen, einzuschließen.

6.5.2 Die Bestimmungen der EU-SCCs werden so ausgelegt, dass die Daten von juristischen Personen bis zur Inkraftsetzung der geänderten FADP geschützt werden.

6.5.3 Klausel 13 der EU-SCCs wird geändert, um zu bestimmen, dass der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte ("FDPIC") der Schweiz die Befugnis über Datenübertragungen hat, die dem FADP unterliegen, und die zuständige EU-Aufsichtsbehörde die Befugnis über Datenübertragungen hat, die der DSGVO unterliegen. Vorbehaltlich des Vorstehenden sind alle anderen Anforderungen der Abschnitt 13 zu beachten.

6.5.4 Der Begriff "EU-Mitgliedstaat", wie in den EU-SCCs verwendet, soll nicht so ausgelegt werden, dass die betroffenen Personen in der Schweiz vom Gebrauch ihres Rechts an ihrem Wohnsitz gemäß Klausel 18(c) der EU-SCCs ausgeschlossen sind.

6.6 Ergänzende Maßnahmen. In Bezug auf eine ex-EEA oder ex-UK-Übertragung gelten die folgenden ergänzenden Maßnahmen:

6.6.1 Ab dem Datum dieser Vereinbarung hat der Datenimporteur keine formalen gesetzlichen Anfragen von einer Regierungsbehörde oder Sicherheitsbehörde in dem Land erhalten, in das die personenbezogenen Daten exportiert werden, für einen Zugang zu (oder für Kopien von) den personenbezogenen Daten des Kunden ("Anfragen von Regierungsbehörden");

6.6.2 Wenn der Datenimporteur nach dem Datum dieser Vereinbarung Anfragen von Regierungsbehörden erhält, wird das Unternehmen versuchen, die Strafverfolgungsbehörde oder die Regierungsbehörde anzuweisen, die Daten direkt vom Kunden anzufordern. Im Rahmen dieses Bemühens kann das Unternehmen die grundlegenden Kontaktdaten des Kunden der Regierungsbehörde zur Verfügung stellen. Wenn das Unternehmen gezwungen ist, die personenbezogenen Daten des Kunden einer Strafverfolgungsbehörde oder einer Regierungsbehörde offen zu legen, wird das Unternehmen dem Kunden eine angemessene Ankündigung des Ersuchens geben und zusammenarbeiten, um dem Kunden zu ermöglichen, einen Schutzbefehl oder eine andere geeignete Maßnahme zu beantragen, es sei denn, das Unternehmen ist gesetzlich daran gehindert. Das Unternehmen wird personenbezogene Daten nicht freiwillig an eine Strafverfolgungsbehörde oder eine Regierungsbehörde preisgeben. Der Datenexporteur und der Datenimporteur werden (sobald dies vernünftig möglich ist) diskutieren und feststellen, ob alle oder einige Übertragungen personenbezogener Daten gemäß dieser Vereinbarung im Lichte solcher Anfragen von Regierungsbehörden eingestellt werden sollten; und

6.6.3 Der Datenexporteur und der Datenimporteur werden sich nach Bedarf treffen, um zu prüfen, ob:

(i) der Schutz, den die Gesetze des Landes des Datenimporteurs den betroffenen Personen bieten, die personenbezogene Daten erhalten, ausreichend ist, um einen im Wesentlichen gleichwertigen Schutz wie im EWR oder im Vereinigten Königreich zu bieten, je nachdem, was zutrifft;

(ii) zusätzliche Maßnahmen erforderlich sind, um die Übertragung konform mit den Datenschutzgesetzen zu machen; und

(iii) es weiterhin angemessen ist, personenbezogene Daten an den relevanten Datenimporteur zu übermitteln, unter Berücksichtigung aller relevanten Informationen, die den Parteien zur Verfügung stehen, zusammen mit Leitlinien, die von den Aufsichtsbehörden bereitgestellt werden.

6.6.4 Wenn das Datenschutzgesetz erfordert, dass der Datenexporteur die Standardvertragsklauseln für eine bestimmte Übertragung personenbezogener Daten an einen Datenimporteur als separate Vereinbarung ausführt, wird der Datenimporteur auf Anfrage des Datenexporteurs unverzüglich solche Standardvertragsklauseln unterzeichnen, die solche Änderungen einbeziehen, wie sie vom Datenexporteur vernünftigerweise gefordert werden, um die geltenden Anhänge und Zusatzverträge, die Einzelheiten der Übertragung und die Anforderungen der entsprechenden Datenschutzgesetze zu berücksichtigen.

6.6.5 Wenn (i) eines der Mittel zur Legitimierung der Übertragungen von personenbezogenen Daten außerhalb des EWR oder UK, die in dieser Vereinbarung festgelegt sind, als ungültig betrachtet wird oder (ii) eine Aufsichtsbehörde verlangt, dass die Übertragungen von personenbezogenen Daten gemäß diesen Mitteln eingestellt werden, kann der Datenimporteur durch Mitteilung an den Datenexporteur mit Wirkung zum Datum, das in dieser Mitteilung festgelegt ist, solche Übertragungen ändern oder alternative Regelungen für solche Übertragungen gemäß den Datenschutzgesetzen in Kraft setzen.

7. Rechte von betroffenen Personen

7.1 Das Unternehmen wird, soweit gesetzlich zulässig, den Kunden benachrichtigen, sobald es eine Anfrage eines betroffenen Rechtsstellung erhält, um das Recht des Betroffenen auf: Zugang, Berichtigung, Löschung, Datenübertragbarkeit, Einschränkung oder Einstellung der Verarbeitung, Widerruf der Zustimmung zur Verarbeitung und/oder Widerspruch gegen das Gegenstandsein von automatisierten Entscheidungsfindungen auszuüben (solche Anfragen einzeln und gemeinsam "Anfrage(n) des Betroffenen"). Wenn das Unternehmen eine Anfrage des Betroffenen in Bezug auf die Daten des Kunden erhält, wird das Unternehmen dem Betroffenen raten, seine Anfrage an den Kunden zu richten, und der Kunde ist verantwortlich für die Bearbeitung einer solchen Anfrage, einschließlich, falls erforderlich, durch Nutzung der Funktionen der Dienstleistungen. Der Kunde ist allein verantwortlich dafür, dass Anfragen von betroffenen Personen auf Löschung, Einschränkungen von Datenverarbeitungen oder Widerruf der Zustimmung zur Verarbeitung personenbezogener Daten dem Unternehmen kommuniziert werden und, falls zutreffend, sicherzustellen, dass ein Nachweis für die Zustimmung zur Verarbeitung jeder betroffenen Person geführt wird.

7.2 Das Unternehmen wird auf Anfrage des Kunden und unter Berücksichtigung der Art der Verarbeitung, die auf jede Anfrage des Betroffenen zutrifft, geeignete technische und organisatorische Maßnahmen anwenden, um dem Kunden zu helfen, seiner Verpflichtung zur Beantwortung einer solchen Anfrage des Betroffenen nachzukommen und/oder um solche Einhaltung nachzuweisen, wo dies möglich ist, sofern (i) der Kunde selbst ohne die Hilfe des Unternehmens nicht in der Lage ist, zu antworten, und (ii) das Unternehmen in der Lage ist, dies gemäß allen geltenden Gesetzen, Vorschriften und Regeln zu tun. Der Kunde ist verantwortlich, soweit gesetzlich zulässig, für Kosten und Ausgaben, die aus einer solchen Unterstützung durch das Unternehmen entstehen.

8. Maßnahmen und Zugriffsanfragen; Prüfungen

8.1 Das Unternehmen wird, unter Berücksichtigung der Art der Verarbeitung und der Informationen, die dem Unternehmen verfügbar sind, dem Kunden angemessene Zusammenarbeit und Unterstützung bieten, wo dies erforderlich ist, damit der Kunde seinen Verpflichtungen gemäß der DSGVO hinsichtlich der Durchführung einer Datenschutz-Folgenabschätzung und/oder des Nachweises dieser Einhaltung nachkommen kann. Der Kunde ist verantwortlich, soweit gesetzlich zulässig, für alle Kosten und Ausgaben, die aus einer solchen Unterstützung durch das Unternehmen entstehen.

8.2 Das Unternehmen wird, unter Berücksichtigung der Art der Verarbeitung und der Informationen, die dem Unternehmen verfügbar sind, dem Kunden angemessene Zusammenarbeit und Unterstützung in Bezug auf die Zusammenarbeit des Kunden und/oder die vorherige Konsultation mit einer Aufsichtsbehörde bieten, wo dies erforderlich und nach den Anforderungen der DSGVO erforderlich ist. Der Kunde ist verantwortlich, soweit gesetzlich zulässig, für alle Kosten und Ausgaben, die aus einer solchen Unterstützung durch das Unternehmen entstehen.

8.3 Das Unternehmen wird Aufzeichnungen führen, die ausreichen, um die Einhaltung seiner Verpflichtungen gemäß dieser Vereinbarung nachzuweisen, und solche Aufzeichnungen für einen Zeitraum von fünf (5) Jahren nach Beendigung der Vereinbarung aufbewahren. Der Kunde hat, mit angemessener Ankündigung an das Unternehmen, das Recht, diese Aufzeichnungen bei dem Unternehmen während der regulären Geschäftszeiten zu überprüfen, zu prüfen und eine Kopie dieser Aufzeichnungen zu erstellen.

8.4 Auf Aufforderung des Kunden in angemessenen Abständen wird das Unternehmen, vorbehaltlich angemessener Vertraulichkeitskontrollen, entweder (i) Kopien von Zertifizierungen oder Berichten zur Verfügung stellen, die die Einhaltung der vorherrschenden Standards der Datensicherheit des Unternehmens in Bezug auf die Verarbeitung der personenbezogenen Daten des Kunden nachweisen, oder (ii) falls die Bereitstellung von Berichten oder Zertifizierungen gemäß (i) nicht vernünftigerweise ausreichend ist, gemäß den Datenschutzgesetzen dem unabhängigen Dritten des Kunden zu ermöglichen, ein Audit oder eine Inspektion der Dateninfrastruktur und -verfahren des Unternehmens durchzuführen, die ausreichend ist, um die Einhaltung der Verpflichtungen des Unternehmens gemäß den Datenschutzgesetzen nachzuweisen, vorausgesetzt, dass (a) der Kunde dem Unternehmen eine angemessene schriftliche Ankündigung zur Anfrage eines Audits gibt und eine solche Inspektion nicht unangemessen störend für das Geschäft des Unternehmens ist; (b) ein solches Audit darf nur während der Geschäftszeiten stattfinden und maximal einmal pro Kalenderjahr erfolgen; und (c) ein solches Audit beschränkt sich auf Daten, die für den Kunden relevant sind. Der Kunde ist verantwortlich für die Kosten solcher Audits oder Inspektionen, einschließlich, ohne darauf beschränkt zu sein, einer Erstattung des Unternehmens für die während der vor Ort-Audits aufgewendete Zeit. Wenn der Kunde und das Unternehmen Standardvertragsklauseln gemäß Abschnitt 6 (Übertragungen personenbezogener Daten) abgeschlossen haben, vereinbaren die Parteien, dass die Audits, die in Klausel 5(f) und Klausel 12(2) der UK-SCCs und Klausel 8.9 der EU-SCCs beschrieben sind, gemäß diesem Abschnitt 8.4 durchgeführt werden.

8.5 Das Unternehmen wird den Kunden sofort benachrichtigen, wenn eine Anweisung seiner Meinung nach gegen die Datenschutzgesetze oder Aufsichtsbehörden verstößt. Die Parteien werden die Informationen, die in Artikel 8 genannt werden, einschließlich der Ergebnisse aller Prüfungen, auf Anfrage der Aufsichtsbehörde zur Verfügung stellen.

8.6 Im Falle einer Verletzung personenbezogener Daten wird das Unternehmen den Kunden ohne unangemessene Verzögerung und spätestens 72 Stunden, nachdem es davon Kenntnis erlangt hat, über die Verletzung personenbezogener Daten informieren und die Maßnahmen ergreifen, die das Unternehmen nach eigenem Ermessen für notwendig und angemessen hält, um eine solche Verletzung zu beheben (soweit die Behebung im zumutbaren Einflussbereich des Unternehmens liegt). Insbesondere muss die Benachrichtigung mindestens:

(i) die Art der Verletzung personenbezogener Daten beschreiben, einschließlich, wo möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen und der Kategorien und der ungefähren Anzahl der betroffenen personenbezogenen Datensätze;

(ii) den Namen und die Kontaktdaten des Datenschutzbeauftragten oder eines anderen Ansprechpartners mitteilen, bei dem weitere Informationen eingeholt werden können;

(iii) die wahrscheinlichen Folgen der Verletzung personenbezogener Daten beschreiben; und beschreiben, welche Maßnahmen vom Verantwortlichen zur Behebung der Verletzung personenbezogener Daten ergriffen oder vorgeschlagen werden, einschließlich, falls angemessen, Maßnahmen zur Minderung möglicher negativer Auswirkungen.

Wo und soweit es nicht möglich ist, die Informationen gleichzeitig bereitzustellen, können die Informationen schrittweise ohne unangemessene weitere Verzögerungen bereitgestellt werden.

8.7 Im Falle einer Verletzung personenbezogener Daten wird das Unternehmen, unter Berücksichtigung der Art der Verarbeitung und der Informationen, die dem Unternehmen zur Verfügung stehen, dem Kunden angemessene Zusammenarbeit und Unterstützung bereitstellen, die erforderlich sind, damit der Kunde seine Verpflichtungen gemäß der DSGVO hinsichtlich der Benachrichtigung (i) der zuständigen Aufsichtsbehörde und (ii) der von einer solchen Verletzung personenbezogener Daten betroffenen betroffenen Personen ohne unangemessene Verzögerung nachkommen kann.

8.8 Die in den Abschnitten 8.5 und 8.6 beschriebenen Verpflichtungen gelten nicht für den Fall, dass eine Verletzung personenbezogener Daten aus den Handlungen oder Unterlassungen des Kunden resultiert. Die Verpflichtung des Unternehmens zur Meldung oder Reaktion auf eine Verletzung personenbezogener Daten gemäß den Abschnitten 8.5 und 8.6 wird nicht als Anerkennung des Unternehmens für ein etwaiges Verschulden oder eine Haftung in Bezug auf die Verletzung personenbezogener Daten ausgelegt.

9\. Die Rolle des Unternehmens als Verantwortlicher

Die Parteien erkennen an und stimmen zu, dass das Unternehmen in Bezug auf die Kundendaten und die Nutzungsdaten des Kunden ein unabhängiger Verantwortlicher ist, nicht ein gemeinsamer Verantwortlicher mit dem Kunden. Das Unternehmen verarbeitet personenbezogene Daten des Kunden und Nutzungsdaten des Kunden als Verantwortlicher (i) um die Beziehung zum Kunden zu verwalten; (ii) um die Kernbetriebsvorgänge des Unternehmens durchzuführen, wie Buchhaltung, Prüfungen, Steuererstellung und -einreichung sowie Compliance-Zwecke; (iii) um Betrugsfälle, Sicherheitsvorfälle und andere Missbräuche der Dienstleistungen zu überwachen, zu untersuchen, zu verhindern und zu erkennen und um dem Kunden keinen Schaden zuzufügen; (iv) zu Identitätsprüfungszwecken; (v) um allen gesetzlichen oder regulatorischen Verpflichtungen nachzukommen, die für die Verarbeitung und Aufbewahrung personenbezogener Daten gelten, denen das Unternehmen unterliegt; und (vi) wie anderweitig gemäß den Datenschutzgesetzen und gemäß dieser Vereinbarung und der Vereinbarung zulässig. Das Unternehmen kann auch Nutzungsdaten des Kunden als Verantwortlicher verarbeiten, um die Dienstleistungen bereitzustellen, zu optimieren und zu pflegen, soweit dies durch die Datenschutzgesetze gestattet ist. Alle Verarbeitungen durch das Unternehmen als Verantwortlicher erfolgen gemäß der Datenschutzerklärung des Unternehmens, die unter[ https://www.breakcold.com/en/privacy-policy](https://www.breakcold.com/en/privacy-policy) dargelegt ist.

10. Konflikt

Im Falle eines Konflikts oder eines Widerspruchs zwischen den folgenden Dokumenten hat die folgende Reihenfolge der Priorität: (1) die anwendbaren Bestimmungen in den Standardvertragsklauseln; (2) die Bestimmungen dieser Vereinbarung; (3) die Vereinbarung; und (4) die Datenschutzerklärung des Unternehmens. Alle Ansprüche, die im Zusammenhang mit dieser Vereinbarung erhoben werden, unterliegen den Bedingungen und Regelungen, einschließlich, aber nicht beschränkt auf die Ausschlüsse und Einschränkungen, die in der Vereinbarung festgelegt sind.

11. Nichteinhaltung der Vereinbarung und Kündigung.

(a) Unbeschadet der Bestimmungen der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725, im Falle einer Verletzung der Verpflichtungen des Unternehmens aus dieser Vereinbarung kann der Kunde das Unternehmen anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis letzteres dieser Vereinbarung nachkommt oder der Vertrag gekündigt wurde. Das Unternehmen wird den Kunden umgehend informieren, falls es nicht in der Lage ist, dieser Vereinbarung nachzukommen, aus welchem Grund auch immer.

(b) Der Kunde ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten betrifft, die in dieser Vereinbarung gehandhabt werden, wenn: (1) die Verarbeitung personenbezogener Daten durch das Unternehmen auf Initiative des Kunden gemäß Punkt (a) ausgesetzt wurde und die Einhaltung dieser Vereinbarung nicht innerhalb einer angemessenen Frist und in jedem Fall innerhalb eines Monats nach der Aussetzung wiederhergestellt wird; (2) das Unternehmen wesentliche oder anhaltende Verstöße dieser Vereinbarung oder seiner Verpflichtungen gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 hat; (3) das Unternehmen es versäumt, eine verbindliche Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde in Bezug auf seine Verpflichtungen aus dieser Vereinbarung oder nach der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 einzuhalten.

(c) Das Unternehmen ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten betrifft, die in dieser Vereinbarung geregelt sind, wenn es den Kunden darüber informiert hat, dass seine Anweisungen gegen geltende rechtliche Anforderungen verstoßen, der Kunde jedoch auf der Einhaltung dieser Anweisungen besteht.

(d) Mit der Beendigung des Vertrags wird das Unternehmen, nach Wahl des Kunden, alle personenbezogenen Daten, die im Auftrag des Kunden verarbeitet werden, löschen und dem Kunden bestätigen, dass dies geschehen ist, oder alle personenbezogenen Daten an den Kunden zurückgeben und vorhandene Kopien löschen, es sei denn, das Recht der Union oder die Gesetze der Mitgliedstaaten erfordern die Speicherung personenbezogener Daten. Bis die Daten gelöscht oder zurückgegeben werden, wird das Unternehmen weiterhin sicherstellen, dass es dieser Vereinbarung nachkommt.

Anlage A

---------

Einzelheiten zur Verarbeitung

Art und Zweck der Verarbeitung

Das Unternehmen wird die personenbezogenen Daten des Kunden verarbeiten, soweit dies erforderlich ist, um die Dienstleistungen gemäß der Vereinbarung bereitzustellen, zu den in der Vereinbarung und dieser Vereinbarung dargelegten Zwecken und gemäß den Anweisungen des Kunden gemäß dieser Vereinbarung.

Dauer der Verarbeitung

Das Unternehmen wird die personenbezogenen Daten des Kunden so lange verarbeiten, wie erforderlich (i) zur Bereitstellung der Dienstleistungen an den Kunden gemäß der Vereinbarung; (ii) für die legitimen Geschäftsbedürfnisse des Unternehmens; oder (iii) gemäß geltendem Recht oder Vorschrift. Kundendaten und Nutzungsdaten des Kunden werden gemäß der Datenschutzerklärung des Unternehmens verarbeitet und gespeichert.

Kategorien von betroffenen Personen

Die Mitarbeiter, Berater, Auftragnehmer und/oder Vertreter des Kunden.

Kategorien personenbezogener Daten

Das Unternehmen verarbeitet personenbezogene Daten, die in den Kundendaten, Nutzungsdaten des Kunden und sonstigen personenbezogenen Daten enthalten sind, die vom Kunden bereitgestellt oder vom Unternehmen gesammelt werden, um die Dienstleistungen bereitzustellen oder wie anderswo in der Vereinbarung oder dieser Vereinbarung dargelegt. Zu den Kategorien personenbezogener Daten gehören Name, E-Mail, Berufsbezeichnung, Benutzername, Geräteidentifikatoren des Unternehmens (z. B. Seriennummer), IP-Adresse von Unternehmensgeräten.

Sensible Daten oder besondere Kategorien von Daten

Kunden ist es untersagt, sensible Daten oder besondere Kategorien von Daten an das Unternehmen bereitzustellen, einschließlich aller Daten, die die Straffälligkeit von Personen offenlegen.

Anlage B

Folgendes enthält die Informationen, die von Anhang I und Anhang III der EU-SCCs sowie Anhang 1 der UK-SCCs erforderlich sind.

1. Die Parteien

Datenexporteur(e):

Name: Die Partei zu den Nutzungsbedingungen mit Logike oder dessen verbundenem Unternehmen (je nach dem, was zutrifft).

Adresse: Die Adresse des Datenexporteurs.

Name, Position und Kontaktdaten der kontaktperson: Der Name, die Position und die Kontaktdaten, die vom Datenexporteur bereitgestellt werden.

Aktivitäten, die für die Daten, die unter diesen Klauseln übermittelt werden, relevant sind: Wie in Abschnitt 2 der Vereinbarung beschrieben.

Unterschrift und Datum: Durch die Nutzung der Dienstleistungen zur Übertragung personenbezogener Daten an den Datenimporteur wird der Datenexporteur als die Vereinbarung unterzeichnet angesehen, die diese Anlage B unterzeichnet hat.

Rolle (Verantwortlicher/Auftragsverarbeiter): Verantwortlicher

Datenimporteur(e):

Name: Logike

Adresse: 128 rue de la Boétie, 75008 Paris, FRANKREICH

E-Mail: contact@breakcold.com

Aktivitäten, die für die Daten, die unter diesen Klauseln übermittelt werden, relevant sind: Wie in Abschnitt 2 der Vereinbarung beschrieben.

Unterschrift und Datum: Der Datenimporteur wird als diese Anlage B unterzeichnet angesehen, wenn personenbezogene Daten vom Datenexporteur im Zusammenhang mit den Dienstleistungen übertragen werden.

Rolle (Verantwortlicher/Auftragsverarbeiter): Auftragsverarbeiter

2. Beschreibung der Übertragung

Betroffene Personen

Der Datenexporteur kann personenbezogene Daten an den Datenimporteur über seine Software, Dienste, Systeme, Produkte und/oder Technologien übermitteln, deren Umfang und Kontrolle der Datenexporteur in Übereinstimmung mit den geltenden Datenschutzgesetzen und -vorschriften bestimmt und steuert und die, ohne darauf beschränkt zu sein, auch personenbezogene Daten, die sich auf die folgenden Kategorien von betroffenen Personen beziehen: die Mitarbeiter, Berater, Auftragnehmer und/oder Vertreter des Datenexporteurs.

Kategorien personenbezogener Daten

Die übermittelten personenbezogenen Daten betreffen die folgenden Kategorien von Daten: Alle personenbezogenen Daten, die alle Daten und Informationen umfassen, die der Datenexporteur dem Software, den Diensten, Systemen, Produkten und/oder Technologien des Datenimporteurs übermittelt, die auch Namen, Kontaktinformationen und Informationen über Sicherheitspraktiken und Compliance umfassen können.

Besondere Kategorien personenbezogener Daten (sofern zutreffend)

Datenexporteur ist es untersagt, sensible Daten oder besondere Kategorien an den Datenimporteur zu übermitteln.

Art der Verarbeitung

Daten werden verarbeitet, damit der Kunde seine Informationssicherheits- und Datenschutzprogramme verwalten und für Dritte nachweisen kann.

Zwecke der Verarbeitung

Um die Verpflichtungen jeder Partei gegenüber der Vereinbarung zu erfüllen.

Dauer der Verarbeitung und Aufbewahrung (oder die Kriterien zur Bestimmung dieser Frist)

Während der Laufzeit der Vereinbarung

Häufigkeit der Übertragung | Während der gesamten Laufzeit der Vereinbarung regelmäßig im Tagesverlauf und/oder nach Ermessen des Kunden.

Empfänger der an den Datenimporteur übermittelten personenbezogenen Daten

Das Unternehmen wird eine Liste von Unterauftragsverarbeitern führen (Anlage D).

3\. Zuständige Aufsichtsbehörde

Die Aufsichtsbehörde ist die Aufsichtsbehörde des Datenexporteurs, die gemäß Klausel 13 festgelegt wird.

Anlage C

---------

Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, die der Datenimporteur implementiert hat

Folgendes enthält die Informationen, die von Anhang II der EU-SCCs und Anhang 2 der UK-SCCs erforderlich sind.

Maßnahmen zur Gewährleistung der fortlaufenden Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit von Verarbeitungssystemen und -diensten

Die Kundenvereinbarungen des Unternehmens enthalten strenge Vertraulichkeitsverpflichtungen. Darüber hinaus verlangt das Unternehmen von jedem nachgeschalteten Unterauftragsverarbeiter, dass er Vertraulichkeitsklauseln unterzeichnet, die erheblich mit denen in den Kundenvereinbarungen des Unternehmens vergleichbar sind.

Maßnahmen zur Gewährleistung der Wiederherstellung der Verfügbarkeit und des Zugriffs auf personenbezogene Daten innerhalb eines angemessenen Zeitrahmens im Fall eines physischen oder technischen Vorfalls

Die Sicherungsdatenbank wird in einer separaten Infrastruktur gespeichert.

Maßnahmen zur Benutzeridentifizierung und -autorisierung

Das Unternehmen hat strenge Passwortanforderungen implementiert und überprüft, dass keines der verwendeten Passwörter geleakt wurde. Die Benutzer melden sich über Google an, was Sicherheitsmerkmale wie die Multifaktor-Authentifizierung bietet.

Maßnahmen zum Schutz von Daten während der Übertragung

Das Unternehmen hat sichere Methoden und Protokolle für die Übertragung vertraulicher oder sensibler Informationen über öffentliche Netzwerke implementiert. Das Unternehmen verwendet nur empfohlene sichere Chiffrierprotokolle und -suites, um den gesamten Datenverkehr während der Übertragung zu verschlüsseln (d.h., TLS 1.2).

Maßnahmen zur Gewährleistung der physischen Sicherheit an Standorten, an denen personenbezogene Daten verarbeitet werden

Physische Sicherheitsmaßnahmen umfassen Zäune, Sicherheitspatrouillen, Videokameras, Wärmekameras, biometrische Authentifizierung, Zugangskarten, Metalldetektoren und mehr.

Maßnahmen zur Gewährleistung der Ereignisprotokollierung

Alle HTTP-Anfragen werden protokolliert. Die Überwachung der Sicherheitsprotokolle wird vom Engineering-Team geleitet. Protokollaktivitäten werden bei Bedarf untersucht und entsprechend eskaliert.

Maßnahmen zur Gewährleistung der Systemkonfiguration, einschließlich der Standardkonfiguration

Alle Produktionsänderungen werden automatisiert durch kontinuierliche Integrations- und Bereitstellungstools durchgeführt, um konsistente Konfigurationen sicherzustellen.

Maßnahmen zur Gewährleistung der Datenminimierung

Die Kunden des Unternehmens bestimmen einseitig, welche personenbezogenen Daten ihrer Identität (PII) sie über die Dienstleistungen verarbeiten. Daher funktioniert das Unternehmen nach einem geteilten Verantwortungsmodell. Das Unternehmen gibt den Kunden die Kontrolle darüber, welche PII-Daten die Plattform betreten. Zudem hat das Unternehmen eine Selbstbedienungsfunktion in die Dienstleistungen implementiert, die es den Kunden ermöglicht, PII nach ihrem Ermessen zu löschen und zu unterdrücken.

Maßnahmen zur Gewährleistung der Datenqualität

Alle Software, die zur Verarbeitung von personenbezogenen Daten des Kunden verwendet wird, durchläuft automatisierte Tests und eine manuelle Paarprüfung, bevor sie in die Produktion eingeführt wird. Die Daten müssen sowohl den Datenbankschema-Struktur- als auch Formatvalidierungen bestehen, die von der Anwendung definiert sind. Es gibt eine QA-Pipeline für die kritischsten Daten, mit angemessenen Warnungen, falls die Daten verändert werden.

Maßnahmen zur Gewährleistung der begrenzten Datenaufbewahrung

Die Kunden des Unternehmens bestimmen einseitig, welche Daten sie über die Dienstleistungen verarbeiten. Daher funktioniert das Unternehmen nach einem geteilten Verantwortungsmodell. Wenn ein Kunde nicht in der Lage ist, über die Selbstbedienungsfunktion der Dienstleistungen personenbezogene Daten zu löschen, löscht das Unternehmen die Daten auf schriftliche Anfrage des Kunden innerhalb des Zeitrahmens, der im Datenschutzabkommen und gemäß den geltenden Datenschutzgesetzen festgelegt ist.

Maßnahmen zur Gewährleistung der Verantwortlichkeit

Das Unternehmen hat Maßnahmen zur Gewährleistung der Verantwortlichkeit ergriffen, wie zum Beispiel die Implementierung von Datenschutz- und Informationssicherheitsrichtlinien im gesamten Unternehmen, das Aufzeichnen und Berichten von Sicherheitsvorfällen, die personenbezogene Daten betreffen, und die formelle Zuordnung von Rollen und Verantwortlichkeiten für Informationssicherheits- und Datenschutzfunktionen. Darüber hinaus führt das Unternehmen regelmäßige Prüfungen durch Dritte durch, um sicherzustellen, dass es den Datenschutz- und Sicherheitsstandards entspricht.

Maßnahmen zur Gewährleistung der Datenportabilität und zur Erleichterung der Löschung

Alle PII in den Dienstleistungen kann vom Kunden gelöscht werden oder auf Anfrage des Kunden.

Technische und organisatorische Maßnahmen von Unterauftragsverarbeitern

Das Unternehmen schließt Datenverarbeitungsvereinbarungen mit seinen autorisierten Unterauftragsverarbeitern ab, die datenschutzrechtliche Verpflichtungen enthalten, die den Bedingungen dieser Vereinbarung im Wesentlichen ähnlich sind.

Anlage D

---------

Unterauftragsverarbeiter

Logike engagiert Dritte, um beschränkte Aktivitäten im Zusammenhang mit den Logike-Diensten durchzuführen.

Wenn Logike Dritte als Datenverarbeiter für die personenbezogenen Daten der Logike-Nutzer einsetzt, nennt die Datenschutz-Grundverordnung ("DSGVO") diese Anbieter Unterauftragsverarbeiter.

Name / Daten / Zweck der Verarbeitung /Land

1°) Stripe Inc. /E-Mails, Rechnungsadresse, Zahlungsinformationen, Transaktionen, IP-Adressen von Brekacold-Nutzern / "Cloud-Serviceanbieter" / USA

2°) AWS / Daten von Brekacold-Nutzern / "Cloud-Serviceanbieter"/ Frankfurt

3°) Azure / Daten von Brekacold-Nutzern / "Cloud-Serviceanbieter" / Frankfurt

4°) Fly.io, Inc. / Daten von Brekacold-Nutzern / "Cloud-Serviceanbieter" / Frankfurt

5°) Functional Software, Inc. (Sentry)/ Daten von Brekacold-Nutzern/ "Überwachung der Anwendungsleistung" / USA

6°) PostHog, Inc./ Daten von Brekacold-Nutzern / Überwachung der Anwendungsleistung / Frankfurt

7°) Elasticsearch B.V. / Daten von Brekacold-Nutzern / Cloud-Serviceanbieter / Frankfurt

8°) Cloudflare, Inc. / Daten von Brekacold-Nutzern / Inhaltsbereitstellungsnetzwerk / USA

9°) SplitBee (Vercel Inc.) / Daten von Brekacold-Nutzern / Anwendungsanalysen / USA

10°) Vercel Inc / Daten von Brekacold-Nutzern / Cloud-Serviceanbieter / USA

11°) Upstash Inc / Daten von Brekacold-Nutzern / Cloud-Serviceanbieter / USA

12°) Firebase (Google Cloud Platform, Google LLC) / Daten von Brekacold-Nutzern / Cloud-Serviceanbieter / USA