Datenaustauschvereinbarung

Die Snyk-Datenaustauschvereinbarung samt Beilagen („DAV“) enthält das Übereinkommen der beteiligten Parteien mit Blick auf die Verarbeitung personenbezogener Daten durch Snyk Limited und seine Konzerngesellschaften (zusammengenommen „uns“) und Ihnen („Vertragspartner“) (zusammengenommen die „Parteien“) im Rahmen Ihrer für uns erbrachten Dienstleistungen („Dienstleistungen“) gemäß der von den Parteien geschlossenen Dienstleistungsvereinbarung(en) (jeweils eine „Dienstleistungsvereinbarung“). 

Diese DAV versteht sich ergänzend zu den von Ihnen vertraglich für uns erbrachten Dienstleistungen und ist ab dem Datum des Inkrafttretens gemäß der Dienstleistungsvereinbarung gültig. Bei Widersprüchen oder Unvereinbarkeit zwischen dieser DAV und der Dienstleistungsvereinbarung hat diese DAV Vorrang gegenüber der Dienstleistungsvereinbarung.

Da wir diese DAV gelegentlich ändern können, sollten Sie diese Website regelmäßig auf Änderungen überprüfen. Wir werden stets den Zeitpunkt der letzten Änderung dieser Webseite angegeben. 

Die Laufzeit dieser DAV entspricht der Laufzeit der Dienstleistungsvereinbarung. Nicht eigens in der DAV definierte Begriffe haben dieselbe Bedeutung wie in der Dienstleistungsvereinbarung.

(A) Zum Zwecke der Leistungserbringung gegenüber Snyk kann Snyk oder Ihnen Zugang zu personenbezogenen Daten (Definition siehe unten) gewährt werden, für die bestimmte Verpflichtungen gelten.

(B) Snyk tritt als Verantwortlicher für die personenbezogenen Daten auf und die vorliegende DAV regelt die Bedingungen rund um die Bereitstellung und Nutzung dieser personenbezogenen Daten.

(C) Der Vertragspartner tritt je nach Verarbeitungstätigkeit und -zweck als Verantwortlicher oder Auftragsverarbeiter auf. Die genaue Rolle des Vertragspartners im Hinblick auf die Leistungserbringung und die Verarbeitungstätigkeiten werden in der Dienstleistungsvereinbarung festgelegt. 

1. Begriffsbestimmungen und Auslegung

   1.1 Die folgenden Begriffe haben in dieser DAV die jeweils angegebene Bedeutung:
   (a) „CCPA“ ist der California Consumer Privacy Act von 2018 in seiner jeweils gültigen Form (Cal. Civ. Code §§ 1798.100 bis 1798.199), die CCPA-Bestimmungen (Cal. Code Regs. tit. 11, §§ 999.300 bis 999.337) und alle zugehörigen Bestimmungen und Empfehlungen der Generalstaatsanwaltschaft von Kalifornien. Begriffe wie personenbezogene Daten, Dienstleister und Geschäftszwecke, die im CCPA definiert werden, haben in der vorliegenden DAV dieselbe Bedeutung.
   (b) „Vertragliche Geschäftszwecke“ sind die in der Dienstleistungsvereinbarung aufgeführten Leistungen, zu deren Zweck der Vertragspartner personenbezogene Daten oder einen Zugriff auf solche erhält.
   (c) „Snyk“ beinhaltet die Snyk Limited mit Sitz Highlands House, Basingstoke Road, Spencers Wood, Reading, Berkshire, RG7 1NT United Kingdom, einschließlich Konzerngesellschaften.
   (d) „Vertragspartner“ ist die andere an der Dienstleistungsvereinbarung beteiligte Partei.
   (e) Die Begriffe „Verantwortlicher“, „betroffene Person“, „personenbezogene Daten“, „verarbeiten/Verarbeitung“, „Auftragsverarbeiter“ und „Angemessenheitsfeststellung“ haben die laut DSGVO vorgesehene Bedeutung.
   (f) „Transferklauseln“ sind: (i) die von der EU-Kommission am 27. Dezember 2004 beschlossenen Standardvertragsklauseln zur Übertragung personenbezogener Daten aus dem Europäischen Wirtschaftsraum („EWR“) in Drittländer in ihrer jeweils gültigen Form gemäß Beilage 1 der vorliegenden DAV; und (ii) die von der EU-Kommission am 5. Februar 2010 beschlossenen Standardvertragsklauseln zur Übertragung personenbezogener Daten aus dem EWR in Drittländer in ihrer jeweils gültigen Form gemäß Beilage 2 dieser DAV.
   (g) „Datenschutzgesetze“ bezeichnet alle anwendbaren Gesetze und Bestimmungen zum Schutz personenbezogener Daten sowie der Privatsphäre natürlicher Personen in ihrer jeweils gültigen Form, darunter insbesondere die DSGVO, Gesetze der EU-Mitgliedstaaten zur deren Umsetzung sowie der California Consumer Privacy Act von 2018.
   (h) „DSGVO“ ist die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates.

   1.2 Nennungen im Singular beinhalten den Plural und umgekehrt.

   1.3 Formulierungen wie „darunter“, „einschließlich“ und „insbesondere“ oder ähnliche Ausdrücke sind nicht als Eingrenzungen zu verstehen und beschneiden die Allgemeingültigkeit des Vorangegangenen in keiner Weise.

Die folgenden Bestimmungen gelten, sofern der Vertragspartner als Verantwortlicher auftritt:

1. Befolgung geltenden Rechts (Compliance)

   2.1 Beide Parteien befolgen bei der Erhebung und Verarbeitung selbst erhobener sowie von Dritten gemäß dieser DAV erhaltener personenbezogener Daten die geltenden Datenschutzgesetze. 

   2.2 Die Vertragsparteien erklären und vereinbaren, dass keine von ihnen als Auftragsverarbeiter im Auftrag der jeweils anderen auftritt und sie jeweils für ihre eigene Einhaltung der geltenden Datenschutzgesetze haften.

2. Zusicherungen der Gegenpartei

   3.1 Die Gegenpartei versichert, dass: 
   (a) sie binnen 14 Tagen nach Erhalt personenbezogener Daten von Snyk allen betroffenen Personen eine Datenschutzerklärung gemäß anwendbaren Datenschutzgesetzen zustellt; und
   (b) sie unverzüglich alle Anfragen von Snyk und betroffenen Personen mit Bezug zu den personenbezogenen Daten beantworten und insbesondere Anfragen von betroffenen Personen und Snyk zur Ausübung ihrer laut Datenschutzgesetz bestehenden Rechte nachkommen wird.

Die folgenden Bestimmungen gelten, sofern der Vertragspartner als Auftragsverarbeiter auftritt:

4.1 Als Auftragsverarbeiter verpflichten Sie sich:
(a) personenbezogene Daten ausschließlich gemäß vorliegender DAV und etwaigen weiteren Anweisungen zu verarbeiten;
(b) uns unverzüglich und ohne schuldhaftes Zögern zu unterrichten, sollten unsere Anweisungen gegen geltende Datenschutzgesetze verstoßen;
(c) geeignete technische und organisatorische Vorkehrungen zu treffen, um ein den durch die Verarbeitung bedingten Risiken angemessenes Sicherheitsniveau zu gewährleisten, das u. a. Schutz vor versehentlicher und unrechtmäßiger Zerstörung, Verlust, Veränderung und unerlaubter Offenlegung sowie unbefugtem Zugriff auf personenbezogene Daten bietet;
(d) Ihren Mitarbeitern, Vertretern und Auftragnehmern („Personal“) Zugang zu personenbezogenen Daten nur soweit zu gestatten, wie dies zur Dienstleistungserbringung und Erfüllung der Geheimhaltungspflichten des Personals erforderlich ist;
(e) uns unverzüglich über Sicherheitsverstöße zu unterrichten, die zu versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Veränderung, Offenlegung und oder dem unbefugten Zugriff auf personenbezogene Daten in Ihrem Besitz oder unter Ihrer Kontrolle führen;
(f) uns angemessene Unterstützung mit Blick auf Sicherheitsverstöße zu leisten und sämtliche in Ihrem Besitz befindlichen Informationen dazu auszuhändigen;
(g) uns auf unsere angemessene Aufforderung hin bei Datenschutz-Folgenabschätzungen, der Beantwortung von Anträgen betroffener Personen auf Ausübung ihrer laut DSGVO bestehenden Rechte und der Zusammenarbeit mit Aufsichtsbehörden zu unterstützen; und 
(h) ein Verzeichnis Ihrer Verarbeitungstätigkeiten gemäß Art. 30.2 DSGVO zu führen und dieses den zuständigen Aufsichtsbehörden auf Aufforderung zugänglich zu machen.

5.1 Des Weiteren treten Sie laut CCPA als Dienstleister (Service Provider) auf und sind als solcher verpflichtet: 
(a) personenbezogene Daten ausschließlich für die vertraglichen Geschäftszwecke zu erheben, zu nutzen und zu speichern, für die Kunden ihre personenbezogenen Daten gemäß der Dienstleistungsvereinbarung abgeben bzw. den Zugriff auf diese gestatten; 
(b) personenbezogene Daten nicht zu eigenen gewerblichen Zwecken oder unter Zuwiderhandlung gegen den CCPA zu erheben, zu nutzen, zu speichern, weiterzugeben, zu verkaufen oder anderweitig zugänglich zu machen. Ist der Vertragspartner gesetzlich zur Offenlegung personenbezogener Daten zu anderen Zwecken als den vertraglichen Geschäftszwecken verpflichtet, zeigt er Snyk diese gesetzliche Anforderung zunächst an und räumt Snyk die Möglichkeit ein, dieser zu widersprechen oder sie anzufechten, soweit gesetzlich zulässig.
(c) die Erhebung, Nutzung, Speicherung und Offenlegung personenbezogener Daten auf solche Tätigkeiten zu beschränken, die zur Erfüllung der vertraglichen Geschäftszwecke oder anderer damit zu vereinbarender betrieblicher Zwecke vernünftigerweise notwendig und angemessen sind; 
(d) von Snyk gestellten Aufforderungen und Anweisungen zur Aushändigung, Änderung, Übertragung oder Löschung personenbezogener Daten oder der Unterlassung, Abschwächung oder Beseitigung einer unerlaubten Verarbeitung unverzüglich nachzukommen;
(e) sofern die vertraglichen Geschäftszwecke die Erhebung personenbezogener Daten natürlicher Personen im Auftrag von Snyk erforderlich machen, legt der Vertragspartner bei der Datenerhebung stets eine von Snyk im Vorfeld einzeln schriftlich genehmigte CCPA-konforme Erklärung vor. Diese Erklärung darf der Vertragspartner ohne vorherige schriftliche Zustimmung durch Snyk weder ändern noch ergänzen.

5.2 Wir stimmen Ihrer Nutzung zugelassener Unterauftragsverarbeiter bei der Verarbeitung personenbezogener Daten zu. Sie sind verpflichtet, Ihre Unterauftragsverarbeiter sowie alle künftigen Unterauftragsverarbeiter auf Bedingungen zu verpflichten, die im Wesentlichen den Ihnen auf dem Wege dieser DAV auferlegten entsprechen. Sie übernehmen die Haftung für etwaige Handlungen, Fehler und Unterlassungen der Unterauftragsverarbeiter. 

5.3 Sie können weitere Unterauftragsverarbeiter zulassen, sofern Sie entsprechende Änderungen mindestens 14 Tage im Voraus schriftlich ankündigen. Wir behalten uns vor, der Beauftragung künftiger Unterauftragsverarbeiter unter Berufung auf Datenschutzbelange vor Inkrafttreten derartiger Änderungen zu widersprechen. Gelangen beide Parteien zu keiner Lösung mit Blick auf einen solchen Widerspruch, behalten wir uns vor, die Dienstleistungsvereinbarung straffrei zu kündigen.

6.1 Unser gemäß Datenschutzgesetzen bestehendes Prüfrecht können wir folgendermaßen ausüben:
(a) Sie verpflichten sich, bei Prüfungen mit Blick auf Ihre Einhaltung der Datenschutzgesetze im Rahmen Ihrer Verarbeitung personenbezogener Daten durch uns oder durch von uns beauftragten Dritten angemessene Unterstützung zu leisten. Derartige Prüfungen kündigen wir Ihnen 30 Tage im Voraus schriftlich an, sofern nach unserer gerechtfertigten Annahme kein Sicherheitsverstoß begangen wurde oder droht und Sie hinsichtlich dieser DAV nicht vertragsbrüchig geworden sind. Sie verpflichten sich, uns bzw. unseren Vertretern bei derartigen Prüfungen angemessene Unterstützung zu leisten.
(b) Unser gemäß Datenschutzgesetzen bestehendes Prüfrecht können wir ebenfalls wahrnehmen, indem wir Sie zur Vorlage eines höchstens zwölf Monate alten Prüfberichts oder Zertifikats eines unabhängigen externen Gutachters auffordern, aus dem hervorgeht, dass Ihre technischen und organisatorischen Vorkehrungen den aufsichtsrechtlichen Standards entsprechen. 

Für alle Parteien:

7. Internationale Übermittlung personenbezogener Daten

7.1 Sollen personenbezogene Daten von Snyk, die aus dem Europäischen Wirtschaftsraum („EWR“) stammen oder anderweitig der Datenschutz-Grundverordnung der EU unterliegen, von einem Vertragspartner außerhalb des EWR ohne aktuelle Angemessenheitsfeststellung („Land mit angemessenem Datenschutzniveau“) verarbeitet werden, verpflichtet sich der Vertragspartner zur Einhaltung der Transferklauseln, denen zufolge Snyk als Datenexporteur und der Vertragspartner als Datenimporteur anzusehen ist.

7.2 Bei Widersprüchen zwischen den Transferklauseln und der vorliegenden DAV oder anderer zwischen den Parteien geschlossenen Vereinbarungen besitzen die Transferklauseln Vorrang. Durch diese DAV werden die Transferklauseln in keiner Weise abgewandelt; zudem können die Transferklauseln ausschließlich auf dem hier ausdrücklich angegebenen Wege geändert oder gekündigt werden.

8. Neben der Einhaltung der Transferklauseln verpflichtet sich der Vertragspartner:
(a) alle notwendigen technischen Vorkehrungen zum Schutz der Übertragung personenbezogener Daten aufzustellen, bei Bedarf insbesondere mittels durchgängiger Verschlüsselung und Pseudonymisierung;
(b) Snyk alle Überwachungsgesetze, denen der Vertragspartner unterliegt, sowie im rechtlich und vertraglich zulässigen Ausmaße ungeachtet des konkreten Bezugs zu den personenbezogenen Daten von Snyk alle behördlichen Ersuchen zu personenbezogenen Daten anzuzeigen, die der Vertragspartner bislang erhalten hat;
(c) Snyk schriftlich und vor jeglicher Offenlegung personenbezogener Daten in Kenntnis zu setzen, wenn der Vertragspartner seinen gemäß DAV bestehenden Vertragspflichten nicht mehr nachkommen kann;
(d) bei Erhalt eines behördlichen Offenlegungsersuchen bezüglich der personenbezogenen Daten von Snyk dessen Rechtmäßigkeit zu prüfen und es anzufechten, sofern der Vertragspartner laut innerstaatlichem Recht dazu Anlass sieht. Im gesetzlich zulässigen Ausmaß setzt der Vertragspartner Snyk über alle behördlichen Anfragen unverzüglich, spätestens jedoch binnen 72 Stunden ab ihrem Erhalt, schriftlich in Kenntnis;
(e) sofern er bei der Rechtmäßigkeitsprüfung bezüglich einer solchen Anfrage zu dem Schluss gelangt, dass er rechtlich zur Herausgabe personenbezogener Daten gezwungen ist, wird der Vertragspartner:
i. so wenige personenbezogene Daten wie unbedingt notwendig offenlegen; und
ii. Belege (etwa in Form von Prüfprotokollen) aufbewahren, die die Einhaltung der laut DAV bestehenden Einschränkungen bei der Offenlegung personenbezogener Daten gegenüber öffentlichen Stellen belegen und diese Snyk auf Anfrage unverzüglich aushändigen; und
(f) personenbezogene Daten gegenüber öffentlichen Stellen im gesetzlich zulässigen Ausmaß freiwillig nur mit vorheriger schriftlicher Zustimmung durch Snyk offenlegen.

9. Die Parteien erklären, dass die Europäische Kommission eine überarbeitete Version der Transferklauseln („überarbeitete SVK“) veröffentlicht hat, die zum Zeitpunkt der Unterzeichnung der Dienstleistungsvereinbarung als Entwurf vorliegen. Sobald die überarbeiteten SVK fertiggestellt und von der Europäischen Kommission verabschiedet worden sind, unterwerfen sich beide Parteien diesen überarbeiteten SVK.

10. Sollten die Transferklauseln anders als unter 8.2 vorgesehen von der Europäischen Kommission oder gemäß geltendem Recht geändert, ergänzt oder widerrufen werden, veröffentlicht Snyk die aktuelle Fassung der Transferklauseln auf dieser Internetseite oder anderweitig, damit die Übermittlung personenbezogener Daten in Einklang mit den geltenden Datenschutzgesetzen erfolgen kann.

11. Sonstige Bestimmungen

11.1 Wird eine Bestimmung dieser DAV von einem zuständigen Gericht für undurchsetzbar oder ungültig erklärt, wird diese Bestimmung in dem erforderlichen Mindestmaß eingeschränkt oder entfernt, um die Durchsetzbarkeit und Gültigkeit der restlichen DAV aufrechtzuerhalten.

11.2 Snyk kann diese DAV (mit Ausnahme der materiellen Bestimmungen der Transferklauseln) ändern. Etwaige Änderungen an der DAV werden auf der Webseite https://snyk.io/procurement/data-sharing-amendments/ veröffentlicht.

BEILAGE 1: Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer (Datenübermittlung zwischen zwei Verantwortlichen)

Datenübermittlungsvereinbarung

zwischen
Snyk Limited mit Sitz Highlands House, Basingstoke Road, Spencers Wood, Reading, Berkshire, RG7 1NT United Kingdom (nachstehend „Datenexporteur“)
und
Vertragspartner gemäß der Dienstleistungsvereinbarung (nachstehend „Datenimporteur“),
jeweils einzeln „Partei“ und zusammengenommen die „Parteien“.

Begriffsbestimmungen

Im Rahmen der Vertragsklauseln gelten folgende Begriffsbestimmungen:
a) Die Begriffe „personenbezogene Daten“, „besondere Kategorien personenbezogener Daten/sensibler Daten“, „verarbeiten/Verarbeitung“, „für die Verarbeitung Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Kontrollstelle“ werden entsprechend den Begriffsbestimmungen der Richtlinie 95/46/EG vom 24. Oktober 1995 verwendet (wobei mit „Kontrollstelle“ die Datenschutzkontrollstelle gemeint ist, die für das Sitzland des Datenexporteurs zuständig ist).
b) „Datenexporteur“ bezeichnet den für die Verarbeitung Verantwortlichen, der die personenbezogenen Daten übermittelt.
c) „Datenimporteur“ bezeichnet den für die Verarbeitung Verantwortlichen, der sich bereit erklärt, vom Datenexporteur personenbezogene Daten für die Verarbeitung gemäß den Bestimmungen dieser Vertragsklauseln entgegenzunehmen, und der nicht an ein System eines Drittlandes gebunden ist, das angemessenen Schutz gewährleistet.
d) „Klauseln“ bezeichnet diese Standardvertragsklauseln als eigenständiges Dokument, das keine Geschäftsbedingungen beinhaltet, die von den Parteien im Rahmen gesonderter geschäftlicher Vereinbarungen getroffen wurden.

Die Einzelheiten zur Übermittlung (und zu den personenbezogenen Daten) sind in Anhang B aufgeführt, der integraler Bestandteil dieser Klauseln ist.

I. Pflichten des Datenexporteurs

Der Datenexporteur gibt folgende Zusicherungen: Die personenbezogenen Daten wurden nach den für den Datenexporteur geltenden Gesetzen gesammelt, verarbeitet und übermittelt.

Er hat sich im Rahmen des Zumutbaren davon überzeugt, dass der Datenimporteur seine Rechtspflichten aus diesen Klauseln zu erfüllen in der Lage ist.

Er stellt dem Datenimporteur auf Antrag Exemplare der einschlägigen Datenschutzgesetze oder entsprechende Fundstellennachweise seines Sitzlandes zur Verfügung (erteilt aber keine Rechtsberatung).

Er beantwortet Anfragen der betroffenen Personen und der Kontrollstelle bezüglich der Verarbeitung der personenbezogenen Daten durch den Datenimporteur, es sei denn, die Parteien haben vereinbart, dass der Datenimporteur die Beantwortung übernimmt; der Datenexporteur übernimmt die Beantwortung im Rahmen der Zumutbarkeit und aufgrund der ihm zugänglichen Informationen auch dann, wenn der Datenimporteur nicht antworten will oder kann. Die Beantwortung erfolgt innerhalb einer angemessenen Frist.

Er stellt betroffenen Personen, die Drittbegünstigte im Sinne von Klausel III sind, auf Verlangen ein Exemplar der Klauseln zur Verfügung, es sei denn, die Klauseln enthalten vertrauliche Angaben; in diesem Fall hat er das Recht, diese Angaben zu entfernen. Werden Angaben entfernt, teilt der Datenexporteur den betroffenen Personen schriftlich die Gründe für die Entfernung mit und belehrt sie über ihr Recht, die Kontrollstelle auf die Entfernung aufmerksam zu machen. Der Datenexporteur leistet indessen der Entscheidung der Kontrollstelle Folge, den betroffenen Personen Zugang zum Volltext der Klauseln zu gewähren, wenn diese sich zur Geheimhaltung der entfernten vertraulichen Informationen verpflichten. Der Datenexporteur stellt ferner auch der Kontrollstelle auf Antrag ein Exemplar der Klauseln zur Verfügung.

II. Pflichten des Datenimporteurs

Der Datenimporteur gibt folgende Zusicherungen:
a) Er verfügt über die technischen und organisatorischen Voraussetzungen zum Schutz der personenbezogenen Daten gegen die unbeabsichtigte oder rechtswidrige Zerstörung, den unbeabsichtigten Verlust, die unbeabsichtigte Änderung, die unberechtigte Offenlegung oder den unberechtigten Zugriff; damit ist ein Sicherheitsniveau gewährleistet, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten gerecht wird.
b) Seine Verfahrensregeln gewährleisten, dass von ihm zum Zugriff auf die personenbezogenen Daten befugte Dritte, einschließlich des Auftragsverarbeiters, die Geheimhaltung und Sicherheit der personenbezogenen Daten beachten und wahren. Die unter der Verantwortung des Datenimporteurs tätigen Personen, darunter auch Auftragsverarbeiter, dürfen die personenbezogenen Daten nur auf seine Anweisung hin verarbeiten. Diese Bestimmung gilt nicht für Personen, die von Rechts wegen zum Zugriff auf die personenbezogenen Daten befugt oder verpflichtet sind.
c) Zum Zeitpunkt des Vertragsabschlusses bestehen seines Wissens in seinem Land keine entgegenstehenden Rechtsvorschriften, die die Garantien aus diesen Klauseln in gravierender Weise beeinträchtigen; er benachrichtigt den Datenexporteur (der die Benachrichtigung erforderlichenfalls an die Kontrollstelle weiterleitet), wenn er Kenntnis von derartigen Rechtsvorschriften erlangt.
d) Er verarbeitet die personenbezogenen Daten zu den in Anhang B dargelegten Zwecken und ist ermächtigt, die Zusicherungen zu geben und die Verpflichtungen zu erfüllen, die sich aus diesem Vertrag ergeben.
e) Er nennt dem Datenexporteur eine Anlaufstelle innerhalb seines Unternehmens, die befugt ist, Anfragen bezüglich der Verarbeitung der personenbezogenen Daten zu behandeln, und arbeitet redlich mit dem Datenexporteur, der betroffenen Person und der Kontrollstelle zusammen, damit derartige Anfragen innerhalb einer angemessenen Frist beantwortet werden Wenn der Datenexporteur nicht mehr besteht oder wenn die Parteien Entsprechendes vereinbaren, verpflichtet sich der Datenimporteur zur Einhaltung der Bestimmungen von Klausel I Buchstabe e).
f) Auf Antrag des Datenexporteurs weist er nach, dass er über ausreichende Finanzmittel verfügt, um die Verpflichtungen aus Klausel III zu erfüllen (wozu auch ein Versicherungsschutz zählen kann).
g) Auf Antrag des Datenexporteurs und sofern dies nicht willkürlich ist, überlässt er seine zur Verarbeitung benötigten Datenverarbeitungseinrichtungen, Dateien und Unterlagen der Überprüfung, dem Audit und/oder der Zertifizierung durch den Datenexporteur (oder von ihm ausgewählte unabhängige oder unparteiische Prüfer oder Auditoren, gegen die der Datenimporteur keine begründeten Einwände erhebt), um zu gewährleisten, dass die Zusicherungen in diesen Klauseln eingehalten werden, wobei die Überprüfung rechtzeitig anzukündigen und während der üblichen Geschäftszeiten durchzuführen ist. Sofern die Zustimmung oder Genehmigung durch eine Regulierungs- oder Kontrollstelle im Land des Datenimporteurs erforderlich ist, bemüht sich dieser, die Zustimmung oder Genehmigung zügig zu erhalten.
h) Er verarbeitet die personenbezogenen Daten gemäß:
i. den Datenschutzbestimmungen des Landes, in dem der Datenexporteur ansässig ist, oder
ii. den einschlägigen Bestimmungen () etwaiger Kommissionsentscheidungen nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG, sofern der Datenimporteur die einschlägigen Bestimmungen derartiger Genehmigungen bzw. Entscheidungen einhält und in einem Land ansässig ist, für das diese Genehmigungen oder Entscheidungen gelten, obwohl diese hinsichtlich der Übermittlung personenbezogener Daten auf ihn keine Anwendung finden (), oder
iii. den Grundsätzen für die Datenverarbeitung in Anhang A.

Der Datenimporteur wählt die Möglichkeit:

Paraphe des Datenimporteurs: Vertragspartner;
i) Er verzichtet auf die Offenlegung oder Übermittlung personenbezogener Daten an für die Verarbeitung Verantwortliche Dritte, die außerhalb des Europäischen Wirtschaftsraums (EWR) ansässig sind, es sei denn, er setzt den Datenexporteur von der Übermittlung in Kenntnis und
i. der für die Verarbeitung Verantwortliche Dritte verarbeitet die personenbezogenen Daten im Einklang mit einer Kommissionsentscheidung, in der die Kommission einem Drittland ein angemessenes Datenschutzniveau zuerkennt, oder
ii. der für die Verarbeitung Verantwortliche Dritte unterzeichnet diese Klauseln oder eine andere, von einer zuständigen Stelle in der EU genehmigte Datenübermittlungsvereinbarung oder
iii. die betroffenen Personen haben das Recht zum Widerspruch, nachdem sie über den Zweck der Übermittlung informiert wurden, ferner über die Empfängerkategorien und darüber, dass das Empfängerland der Daten möglicherweise andere Datenschutzstandards aufweist, oder
iv. die betroffenen Personen haben im Hinblick auf die Weiterübermittlung sensibler Daten zweifelsfrei ihre Zustimmung zu der Weiterübermittlung erteilt.

III. Haftung und Rechte Dritter

a) Jede Partei haftet gegenüber den anderen Parteien für Schäden, die sie durch einen Verstoß gegen diese Klauseln verursacht. Die gegenseitige Haftung der Parteien ist auf den tatsächlich erlittenen Schaden begrenzt. Strafschadenersatzansprüche (d. h. die Zahlung von Strafen für grobes Fehlverhalten einer Partei) sind ausdrücklich ausgeschlossen. Jede Partei haftet gegenüber den betroffenen Personen für Schäden, die sie durch die Verletzung von Rechten Dritter im Rahmen dieser Klauseln verursacht. Die Haftung des Datenexporteurs gemäß den für ihn maßgeblichen Datenschutzgesetzen bleibt davon unberührt.

b) Die Parteien räumen betroffenen Personen das Recht ein, diese Klausel sowie Klausel I Buchstaben b), d) und e), Klausel II Buchstaben a), c), d), e), h), i), Klausel III Buchstabe a) sowie die Klauseln V, VI Buchstabe d) und VII als Drittbegünstigte gegenüber dem Datenimporteur oder dem Datenexporteur durchzusetzen, wenn diese im Hinblick auf die Daten der betroffenen Personen ihre Vertragspflichten verletzen; zu diesem Zweck erkennen sie die Zuständigkeit der Gerichte im Sitzland des Datenexporteurs an. Wirft die betroffene Person dem Datenimporteur Vertragsverletzung vor, muss sie den Datenexporteur zunächst auffordern, ihre Rechte gegenüber dem Datenimporteur durchzusetzen; wird der Datenexporteur nicht innerhalb einer angemessenen Frist tätig (im Regelfall innerhalb eines Monats), kann die betroffene Person ihre Rechte direkt gegenüber dem Datenimporteur durchsetzen. Eine betroffene Person kann direkt gegen einen Datenexporteur vorgehen, wenn dieser sich im Rahmen des Zumutbaren nicht davon überzeugt hat, dass der Datenimporteur seine rechtlichen Verpflichtungen aus diesen Klauseln zu erfüllen in der Lage ist (der Datenexporteur muss beweisen, dass er alle zumutbaren Anstrengungen unternommen hat).

IV. Anwendbares Recht

Diese Klauseln unterliegen dem Recht des Landes, in dem der Datenexporteur ansässig ist; davon ausgenommen sind die Rechtsvorschriften über die Verarbeitung der personenbezogenen Daten durch den Datenimporteur gemäß Klausel II Buchstabe h), die nur gelten, wenn sich der Datenimporteur nach dieser Klausel dafür entschieden hat.

V. Beilegung von Streitigkeiten mit betroffenen Personen oder der Kontrollstelle

a) Bei einer Streitigkeit oder einer Klage einer betroffenen Person oder der Kontrollstelle gegen eine Partei oder beide Parteien bezüglich der Verarbeitung personenbezogener Daten setzen die Parteien einander davon in Kenntnis und bemühen sich gemeinsam um eine zügige, gütliche Beilegung.

b) Die Parteien erklären sich bereit, sich jedem allgemein zugänglichen, nicht bindenden Schlichtungsverfahren zu unterwerfen, das von einer betroffenen Person oder der Kontrollstelle angestrengt wird. Beteiligen sie sich an dem Verfahren, können sie dies auf dem Weg der Telekommunikation tun (z. B. per Telefon oder anderer elektronischer Mittel). Die Parteien erklären sich ferner bereit, eine Beteiligung an anderen Vermittlungsverfahren, Schiedsverfahren oder sonstigen Verfahren der Streitbeilegung zu erwägen, die für die Zwecke des Datenschutzes entwickelt werden.

c) Die Parteien unterwerfen sich den rechtskräftigen Endentscheidungen des zuständigen Gerichts im Sitzland des Datenexporteurs oder der Kontrollstelle, gegen die keine weitere Berufung möglich ist.

VI. Beendigung des Vertrags

a) Verstößt der Datenimporteur gegen seine Verpflichtungen aus diesen Klauseln, kann der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur vorläufig aussetzen, bis der Verstoß beseitigt oder der Vertrag beendet ist.

b) Tritt einer der folgenden Fälle ein:
i. Die Übermittlung personenbezogener Daten an den Datenimporteur wird vom Datenexporteur gemäß Buchstabe a) länger als einen Monat ausgesetzt;
ii. die Einhaltung dieser Klauseln durch den Datenimporteur verstößt gegen Rechtsvorschriften des Importlandes;
iii. der Datenimporteur missachtet Zusicherungen, die er im Rahmen dieser Klauseln gegeben hat, in erheblichem Umfang oder fortdauernd;
iv. das zuständige Gericht im Sitzland des Datenexporteurs oder der Kontrollstelle stellt rechtskräftig fest, dass der Datenimporteur oder der Datenexporteur gegen die Klauseln verstoßen hat, oder
v. es wird ein Antrag auf Insolvenzverwaltung oder Abwicklung des Datenimporteurs in dessen privater oder geschäftlicher Eigenschaft gestellt, der nicht innerhalb der nach geltendem Recht vorgesehenen Frist abgewiesen wird; die Abwicklung wird gerichtlich angeordnet; für einen beliebigen Teil seines Vermögens wird ein Zwangsverwalter bestellt; ein Treuhänder wird bestellt, falls es sich bei dem Datenimporteur um eine Privatperson handelt; dieser leitet einen außergerichtlichen Vergleich ein, oder es kommt zu einem je nach Rechtsordnung gleichwertigen Verfahren,

so ist der Datenexporteur berechtigt, unbeschadet etwaiger sonstiger Ansprüche gegen den Datenimporteur, diesen Vertrag zu kündigen, wovon er gegebenenfalls die Kontrollstelle in Kenntnis setzt. Tritt einer der in Ziffer i), ii) oder iv) genannten Fälle ein, kann der Datenimporteur seinerseits den Vertrag kündigen.

c) Jede Partei kann den Vertrag kündigen, wenn i) die Kommission eine positive Angemessenheitsfeststellung gemäß Artikel 25 Absatz 6 der Richtlinie 95/46/EG (oder einer Vorschrift, die diese Vorschrift ersetzt) in Bezug auf das Land (oder einen Bereich davon) trifft, in das die Daten übermittelt und in dem sie vom Datenimporteur verarbeitet werden, oder ii) die Richtlinie 95/46/EG (oder eine Vorschrift, die diese Vorschrift ersetzt) in dem betreffenden Land unmittelbar zur Anwendung gelangt.

d) Die Parteien vereinbaren, dass sie auch nach der Beendigung dieses Vertrags, ungeachtet des Zeitpunkts, der Umstände oder der Gründe (ausgenommen die Kündigung gemäß Klausel VI Buchstabe c), weiterhin an die Verpflichtungen und/oder Bestimmungen dieser Klauseln in Bezug auf die Verarbeitung der übermittelten Daten gebunden sind.

VII. Änderungen der Klauseln

Die Parteien dürfen diese Klauseln nur zum Zwecke der Aktualisierung von Anhang B ändern; gegebenenfalls müssen sie die Kontrollstelle davon in Kenntnis setzen. Es steht den Parteien allerdings frei, erforderlichenfalls weitere Geschäftsklauseln hinzuzufügen.

VIII. Beschreibung der Übermittlung

Die Einzelheiten zur Übermittlung und zu den personenbezogenen Daten sind in Anhang B aufgeführt. Die Parteien vereinbaren, dass sie gegebenenfalls in Anhang B enthaltene vertrauliche Informationen nicht gegenüber Dritten offenlegen, es sei denn, sie sind gesetzlich dazu verpflichtet oder handeln auf Aufforderung einer zuständigen Regulierungsstelle oder staatlichen Einrichtung oder gemäß Klausel I Buchstabe e). Die Parteien können weitere Anhänge vereinbaren, die zusätzliche Übermittlungen betreffen; diese sind gegebenenfalls der Kontrollstelle zu unterbreiten. Ersatzweise kann Anhang B so formuliert werden, dass er eine Vielzahl von Übermittlungen abdeckt.

() „Einschlägige Bestimmungen“ sind sämtliche unter diese Klauseln fallende Genehmigungen oder Entscheidungen mit Ausnahme der Vollzugsbestimmungen.

() Wird diese Möglichkeit gewählt, sind jedoch die Bestimmungen von Anhang A Ziffer 5 über das Recht auf Zugriff, Berichtigung, Löschung und Widerspruch anzuwenden, die dann vergleichbaren Bestimmungen der gewählten Kommissionsentscheidung vorgehen.

BEILAGE 1: ANHANG A – GRUNDSÄTZE DER DATENVERARBEITUNG

1. Zweckbindung: Personenbezogene Daten dürfen nur für die in Anhang B festgelegten oder anschließend von der betroffenen Person genehmigten Zwecke verarbeitet und danach verwendet oder weiter übermittelt werden.

2. Datenqualität und Verhältnismäßigkeit: Personenbezogene Daten müssen sachlich richtig sein und nötigenfalls auf dem neuesten Stand gehalten werden. Sie müssen den Übermittlungs- und Verarbeitungszwecken angemessen und dafür erheblich sein und dürfen nicht über das erforderliche Maß hinausgehen.

3. Transparenz: Die betroffenen Personen müssen Informationen erhalten, die eine Verarbeitung nach Treu und Glauben gewährleisten (beispielsweise Angaben zum Verarbeitungszweck und zur Übermittlung), sofern diese Informationen nicht bereits vom Datenexporteur erteilt wurden.

4. Sicherheit und Geheimhaltung: Der für die Verarbeitung Verantwortliche muss geeignete technische und organisatorische Sicherheitsvorkehrungen gegen die Risiken der Verarbeitung treffen, beispielsweise gegen die unbeabsichtigte oder rechtswidrige Zerstörung oder gegen den unbeabsichtigten Verlust oder die unbeabsichtigte Änderung, die unberechtigte Offenlegung oder den unberechtigten Zugriff. Alle unter der Verantwortung des für die Verarbeitung Verantwortlichen tätigen Personen, darunter auch Auftragsverarbeiter, dürfen die Daten nur auf Anweisung des für die Verarbeitung Verantwortlichen verarbeiten.

5. Recht auf Auskunft, Berichtigung, Löschung und Widerspruch: Nach Artikel 12 der Richtlinie 95/46/EG hat die betroffene Person das Recht, entweder direkt oder durch Dritte, Auskunft über alle ihre personenbezogenen Daten zu erhalten, die von einer Organisation vorgehalten werden; dies gilt nicht für Auskunftsersuchen, die aufgrund ihrer unzumutbaren Periodizität oder ihrer Zahl, Wiederholung oder Systematik offensichtlich übertrieben sind, oder für Daten, über die nach dem für den Datenexporteur geltenden Recht keine Auskunft erteilt werden muss. Vorbehaltlich der vorherigen Genehmigung durch die Kontrollstelle muss auch dann keine Auskunft erteilt werden, wenn die Interessen des Datenimporteurs oder anderer Organisationen, die mit dem Datenimporteur in Geschäftsverkehr stehen, dadurch ernsthaft geschädigt würden und die Grundrechte und Grundfreiheiten der betroffenen Personen hierdurch nicht beeinträchtigt werden. Die Quellen der personenbezogenen Daten müssen nicht angegeben werden, wenn dazu unzumutbare Anstrengungen erforderlich wären oder die Rechte Dritter dadurch verletzt würden. Die betroffene Person muss das Recht haben, ihre personenbezogenen Daten berichtigen, ändern oder löschen zu lassen, wenn diese unzutreffend sind oder entgegen den vorliegenden Grundsätzen verarbeitet wurden. Bei begründeten Zweifeln an der Rechtmäßigkeit des Ersuchens kann das Unternehmen weitere Belege verlangen, bevor die Berichtigung, Änderung oder Löschung erfolgt. Dritte, gegenüber denen die Daten offengelegt wurden, müssen von der Berichtigung, Änderung oder Löschung nicht in Kenntnis gesetzt werden, wenn dies mit einem unverhältnismäßigen Aufwand verbunden wäre. Die betroffene Person muss auch aus zwingenden legitimen Gründen, die mit ihrer persönlichen Situation zusammenhängen, Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten einlegen können. Die Beweislast liegt im Fall einer Ablehnung beim Datenimporteur; die betroffene Person kann eine Ablehnung jederzeit vor der Kontrollstelle anfechten.

6. Vertrauliche Daten: Der Datenimporteur trifft die zusätzliche Vorkehrungen (beispielsweise sicherheitsbezogener Art), die entsprechend seinen Verpflichtungen nach Klausel II zum Schutz vertraulicher Daten erforderlich sind.

7. Direktmarketing: Werden Daten zum Zwecke des Direktmarketings verarbeitet, sind wirksame Verfahren vorzusehen, damit die betroffene Person sich jederzeit gegen die Verwendung ihrer Daten für derartige Zwecke entscheiden kann („Opt-out“).

8. Automatisierte Entscheidungen: „Automatisierte Entscheidungen“ im Sinne dieser Klauseln sind mit Rechtsfolgen behaftete Entscheidungen des Datenexporteurs oder des Datenimporteurs bezüglich einer betroffenen Person, die allein auf der automatisierten Verarbeitung personenbezogener Daten zum Zwecke der Bewertung einzelner Aspekte ihrer Person beruhen, beispielsweise ihrer beruflichen Leistungsfähigkeit, ihrer Kreditwürdigkeit, ihrer Zuverlässigkeit oder ihres Verhaltens. Der Datenimporteur darf keine automatisierten Entscheidungen über eine betroffene Person fällen, es sei denn:
   a) i. Der Datenimporteur fällt die Entscheidungen im Rahmen eines Vertragsabschlusses oder der Ausführung eines Vertrags mit der betroffenen Person, und
   ii. die betroffene Person erhält die Möglichkeit, die Ergebnisse einer einschlägigen automatisierten Entscheidung mit einem Vertreter der Entscheidungen treffenden Partei zu erörtern, oder aber Erklärungen gegenüber dieser Partei abzugeben,

   oder
   b) die für den Datenexporteur geltenden Rechtsvorschriften sehen etwas anderes vor.

BEILAGE 1: ANHANG B: BESCHREIBUNG DER ÜBERMITTLUNG

Betroffene Personen
Die übermittelten personenbezogenen Daten beziehen sich auf folgende Kategorien betroffener Personen: siehe Dienstleistungsvereinbarung 

Übermittlungszweck(e)
Die Übermittlung ist zu folgenden Zwecken erforderlich: siehe Dienstleistungsvereinbarung 

Kategorien übermittelter Daten
Die übermittelten personenbezogenen Daten betreffen folgende Datenkategorien: siehe Dienstleistungsvereinbarung 

Empfänger
Die übermittelten personenbezogenen Daten dürfen nur gegenüber folgenden Empfängern oder Kategorien von Empfängern offengelegt werden: siehe Dienstleistungsvereinbarung 

Vertrauliche Daten (falls zutreffend)
Die übermittelten personenbezogenen Daten betreffen folgende Kategorien vertraulicher Daten: siehe Dienstleistungsvereinbarung 

Datenschutzmelderegister-Angaben des Datenexporteurs (falls zutreffend)  siehe Dienstleistungsvereinbarung 

Sonstige nützliche Informationen (Aufbewahrungsfristen und sonstige einschlägige Angaben): siehe Dienstleistungsvereinbarung 

Anlaufstelle für Datenschutzauskünfte: Privacy@snyk.io

BEILAGE 2: Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer (Datenübermittlung zwischen zwei Verantwortlichen)

Datenübermittlungsvereinbarung

zwischen

Snyk Limited mit Sitz Highlands House, Basingstoke Road, Spencers Wood, Reading, Berkshire, RG7 1NT United Kingdom (nachstehend „Datenexporteur“)

und

Vertragspartner gemäß der Dienstleistungsvereinbarung (nachstehend „Datenimporteur“),

jeweils einzeln „Partei“ und zusammengenommen die „Parteien“.

Begriffsbestimmungen

Im Rahmen der Vertragsklauseln gelten folgende Begriffsbestimmungen:
a) Die Begriffe „personenbezogene Daten“, „besondere Kategorien personenbezogener Daten/sensibler Daten“, „verarbeiten/Verarbeitung“, „für die Verarbeitung Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Kontrollstelle“ werden entsprechend den Begriffsbestimmungen der Richtlinie 95/46/EG vom 24. Oktober 1995 verwendet (wobei mit „Kontrollstelle“ die Datenschutzkontrollstelle gemeint ist, die für das Sitzland des Datenexporteurs zuständig ist).
b) „Datenexporteur“ bezeichnet den für die Verarbeitung Verantwortlichen, der die personenbezogenen Daten übermittelt.
c) „Datenimporteur“ bezeichnet den für die Verarbeitung Verantwortlichen, der sich bereit erklärt, vom Datenexporteur personenbezogene Daten für die Verarbeitung gemäß den Bestimmungen dieser Vertragsklauseln entgegenzunehmen, und der nicht an ein System eines Drittlandes gebunden ist, das angemessenen Schutz gewährleistet.
d) „Klauseln“ bezeichnet diese Standardvertragsklauseln als eigenständiges Dokument, das keine Geschäftsbedingungen beinhaltet, die von den Parteien im Rahmen gesonderter geschäftlicher Vereinbarungen getroffen wurden.

Die Einzelheiten zur Übermittlung (und zu den personenbezogenen Daten) sind in Anhang B aufgeführt, der integraler Bestandteil dieser Klauseln ist.

I. Pflichten des Datenexporteurs

Der Datenexporteur gibt folgende Zusicherungen:
a) Die personenbezogenen Daten wurden nach den für den Datenexporteur geltenden Gesetzen erhoben, verarbeitet und übermittelt.
b) Er hat sich im Rahmen des Zumutbaren davon überzeugt, dass der Datenimporteur seine Rechtspflichten aus diesen Klauseln zu erfüllen in der Lage ist.
c) Er stellt dem Datenimporteur auf Antrag Exemplare der einschlägigen Datenschutzgesetze oder entsprechende Fundstellennachweise seines Sitzlandes zur Verfügung (erteilt aber keine Rechtsberatung).
d) Er beantwortet Anfragen der betroffenen Personen und der Kontrollstelle bezüglich der Verarbeitung der personenbezogenen Daten durch den Datenimporteur, es sei denn, die Parteien haben vereinbart, dass der Datenimporteur die Beantwortung übernimmt; der Datenexporteur übernimmt die Beantwortung im Rahmen der Zumutbarkeit und aufgrund der ihm zugänglichen Informationen auch dann, wenn der Datenimporteur nicht antworten will oder kann. Die Beantwortung erfolgt innerhalb einer angemessenen Frist.
e) Er stellt betroffenen Personen, die Drittbegünstigte im Sinne von Klausel III sind, auf Verlangen ein Exemplar der Klauseln zur Verfügung, es sei denn, die Klauseln enthalten vertrauliche Angaben; in diesem Fall hat er das Recht, diese Angaben zu entfernen. Werden Angaben entfernt, teilt der Datenexporteur den betroffenen Personen schriftlich die Gründe für die Entfernung mit und belehrt sie über ihr Recht, die Kontrollstelle auf die Entfernung aufmerksam zu machen. Der Datenexporteur leistet indessen der Entscheidung der Kontrollstelle Folge, den betroffenen Personen Zugang zum Volltext der Klauseln zu gewähren, wenn diese sich zur Geheimhaltung der entfernten vertraulichen Informationen verpflichten. Der Datenexporteur stellt ferner auch der Kontrollstelle auf Antrag ein Exemplar der Klauseln zur Verfügung.

II. Pflichten des Datenimporteurs

Der Datenimporteur gibt folgende Zusicherungen:
a) Er verfügt über die technischen und organisatorischen Voraussetzungen zum Schutz der personenbezogenen Daten gegen die unbeabsichtigte oder rechtswidrige Zerstörung, den unbeabsichtigten Verlust, die unbeabsichtigte Änderung, die unberechtigte Offenlegung oder den unberechtigten Zugriff; damit ist ein Sicherheitsniveau gewährleistet, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten gerecht wird.
b) Seine Verfahrensregeln gewährleisten, dass von ihm zum Zugriff auf die personenbezogenen Daten befugte Dritte, einschließlich des Auftragsverarbeiters, die Geheimhaltung und Sicherheit der personenbezogenen Daten beachten und wahren. Die unter der Verantwortung des Datenimporteurs tätigen Personen, darunter auch Auftragsverarbeiter, dürfen die personenbezogenen Daten nur auf seine Anweisung hin verarbeiten. Diese Bestimmung gilt nicht für Personen, die von Rechts wegen zum Zugriff auf die personenbezogenen Daten befugt oder verpflichtet sind.
c) Zum Zeitpunkt des Vertragsabschlusses bestehen seines Wissens in seinem Land keine entgegenstehenden Rechtsvorschriften, die die Garantien aus diesen Klauseln in gravierender Weise beeinträchtigen; er benachrichtigt den Datenexporteur (der die Benachrichtigung erforderlichenfalls an die Kontrollstelle weiterleitet), wenn er Kenntnis von derartigen Rechtsvorschriften erlangt.
d) Er verarbeitet die personenbezogenen Daten zu den in Anhang B dargelegten Zwecken und ist ermächtigt, die Zusicherungen zu geben und die Verpflichtungen zu erfüllen, die sich aus diesem Vertrag ergeben.
e) Er nennt dem Datenexporteur eine Anlaufstelle innerhalb seines Unternehmens, die befugt ist, Anfragen bezüglich der Verarbeitung der personenbezogenen Daten zu behandeln, und arbeitet redlich mit dem Datenexporteur, der betroffenen Person und der Kontrollstelle zusammen, damit derartige Anfragen innerhalb einer angemessenen Frist beantwortet werden Wenn der Datenexporteur nicht mehr besteht oder wenn die Parteien Entsprechendes vereinbaren, verpflichtet sich der Datenimporteur zur Einhaltung der Bestimmungen von Klausel I Buchstabe e).
f) Auf Antrag des Datenexporteurs weist er nach, dass er über ausreichende Finanzmittel verfügt, um die Verpflichtungen aus Klausel III zu erfüllen (wozu auch ein Versicherungsschutz zählen kann).
g) Auf Antrag des Datenexporteurs und sofern dies nicht willkürlich ist, überlässt er seine zur Verarbeitung benötigten Datenverarbeitungseinrichtungen, Dateien und Unterlagen der Überprüfung, dem Audit und/oder der Zertifizierung durch den Datenexporteur (oder von ihm ausgewählte unabhängige oder unparteiische Prüfer oder Auditoren, gegen die der Datenimporteur keine begründeten Einwände erhebt), um zu gewährleisten, dass die Zusicherungen in diesen Klauseln eingehalten werden, wobei die Überprüfung rechtzeitig anzukündigen und während der üblichen Geschäftszeiten durchzuführen ist. Sofern die Zustimmung oder Genehmigung durch eine Regulierungs- oder Kontrollstelle im Land des Datenimporteurs erforderlich ist, bemüht sich dieser, die Zustimmung oder Genehmigung zügig zu erhalten.
h) Er verarbeitet die personenbezogenen Daten gemäß:
i. den Datenschutzbestimmungen des Landes, in dem der Datenexporteur ansässig ist, oder
ii. den einschlägigen Bestimmungen () etwaiger Kommissionsentscheidungen nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG, sofern der Datenimporteur die einschlägigen Bestimmungen derartiger Genehmigungen bzw. Entscheidungen einhält und in einem Land ansässig ist, für das diese Genehmigungen oder Entscheidungen gelten, obwohl diese hinsichtlich der Übermittlung personenbezogener Daten auf ihn keine Anwendung finden (), oder
iii. den Grundsätzen für die Datenverarbeitung in Anhang A.
Der Datenimporteur wählt die Möglichkeit:
Paraphe des Datenimporteurs: Vertragspartner
i) Er verzichtet auf die Offenlegung oder Übermittlung personenbezogener Daten an für die Verarbeitung Verantwortliche Dritte, die außerhalb des Europäischen Wirtschaftsraums (EWR) ansässig sind, es sei denn, er setzt den Datenexporteur von der Übermittlung in Kenntnis und
i. der für die Verarbeitung Verantwortliche Dritte verarbeitet die personenbezogenen Daten im Einklang mit einer Kommissionsentscheidung, in der die Kommission einem Drittland ein angemessenes Datenschutzniveau zuerkennt, oder
ii. der für die Verarbeitung Verantwortliche Dritte unterzeichnet diese Klauseln oder eine andere, von einer zuständigen Stelle in der EU genehmigte Datenübermittlungsvereinbarung oder
iii. die betroffenen Personen haben das Recht zum Widerspruch, nachdem sie über den Zweck der Übermittlung informiert wurden, ferner über die Empfängerkategorien und darüber, dass das Empfängerland der Daten möglicherweise andere Datenschutzstandards aufweist, oder
iv. die betroffenen Personen haben im Hinblick auf die Weiterübermittlung sensibler Daten zweifelsfrei ihre Zustimmung zu der Weiterübermittlung erteilt.

III. Haftung und Rechte Dritter

a) Jede Partei haftet gegenüber den anderen Parteien für Schäden, die sie durch einen Verstoß gegen diese Klauseln verursacht. Die gegenseitige Haftung der Parteien ist auf den tatsächlich erlittenen Schaden begrenzt. Strafschadenersatzansprüche (d. h. die Zahlung von Strafen für grobes Fehlverhalten einer Partei) sind ausdrücklich ausgeschlossen. Jede Partei haftet gegenüber den betroffenen Personen für Schäden, die sie durch die Verletzung von Rechten Dritter im Rahmen dieser Klauseln verursacht. Die Haftung des Datenexporteurs gemäß den für ihn maßgeblichen Datenschutzgesetzen bleibt davon unberührt.

b) Die Parteien räumen betroffenen Personen das Recht ein, diese Klausel sowie Klausel I Buchstaben b), d) und e), Klausel II Buchstaben a), c), d), e), h), i), Klausel III Buchstabe a) sowie die Klauseln V, VI Buchstabe d) und VII als Drittbegünstigte gegenüber dem Datenimporteur oder dem Datenexporteur durchzusetzen, wenn diese im Hinblick auf die Daten der betroffenen Personen ihre Vertragspflichten verletzen; zu diesem Zweck erkennen sie die Zuständigkeit der Gerichte im Sitzland des Datenexporteurs an. Wirft die betroffene Person dem Datenimporteur Vertragsverletzung vor, muss sie den Datenexporteur zunächst auffordern, ihre Rechte gegenüber dem Datenimporteur durchzusetzen; wird der Datenexporteur nicht innerhalb einer angemessenen Frist tätig (im Regelfall innerhalb eines Monats), kann die betroffene Person ihre Rechte direkt gegenüber dem Datenimporteur durchsetzen. Eine betroffene Person kann direkt gegen einen Datenexporteur vorgehen, wenn dieser sich im Rahmen des Zumutbaren nicht davon überzeugt hat, dass der Datenimporteur seine rechtlichen Verpflichtungen aus diesen Klauseln zu erfüllen in der Lage ist (der Datenexporteur muss beweisen, dass er alle zumutbaren Anstrengungen unternommen hat).

IV. Anwendbares Recht

Diese Klauseln unterliegen dem Recht des Landes, in dem der Datenexporteur ansässig ist; davon ausgenommen sind die Rechtsvorschriften über die Verarbeitung der personenbezogenen Daten durch den Datenimporteur gemäß Klausel II Buchstabe h), die nur gelten, wenn sich der Datenimporteur nach dieser Klausel dafür entschieden hat.

V. Beilegung von Streitigkeiten mit betroffenen Personen oder der Kontrollstelle

a) Bei einer Streitigkeit oder einer Klage einer betroffenen Person oder der Kontrollstelle gegen eine Partei oder beide Parteien bezüglich der Verarbeitung personenbezogener Daten setzen die Parteien einander davon in Kenntnis und bemühen sich gemeinsam um eine zügige, gütliche Beilegung.

b) Die Parteien erklären sich bereit, sich jedem allgemein zugänglichen, nicht bindenden Schlichtungsverfahren zu unterwerfen, das von einer betroffenen Person oder der Kontrollstelle angestrengt wird. Beteiligen sie sich an dem Verfahren, können sie dies auf dem Weg der Telekommunikation tun (z. B. per Telefon oder anderer elektronischer Mittel). Die Parteien erklären sich ferner bereit, eine Beteiligung an anderen Vermittlungsverfahren, Schiedsverfahren oder sonstigen Verfahren der Streitbeilegung zu erwägen, die für die Zwecke des Datenschutzes entwickelt werden.

c) Die Parteien unterwerfen sich den rechtskräftigen Endentscheidungen des zuständigen Gerichts im Sitzland des Datenexporteurs oder der Kontrollstelle, gegen die keine weitere Berufung möglich ist.

VI. Beendigung des Vertrags

a) Verstößt der Datenimporteur gegen seine Verpflichtungen aus diesen Klauseln, kann der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur vorläufig aussetzen, bis der Verstoß beseitigt oder der Vertrag beendet ist.

b) Tritt einer der folgenden Fälle ein:
i. Die Übermittlung personenbezogener Daten an den Datenimporteur wird vom Datenexporteur gemäß Buchstabe a) länger als einen Monat ausgesetzt;
ii. die Einhaltung dieser Klauseln durch den Datenimporteur verstößt gegen Rechtsvorschriften des Importlandes;
iii. der Datenimporteur missachtet Zusicherungen, die er im Rahmen dieser Klauseln gegeben hat, in erheblichem Umfang oder fortdauernd;
iv. das zuständige Gericht im Sitzland des Datenexporteurs oder der Kontrollstelle stellt rechtskräftig fest, dass der Datenimporteur oder der Datenexporteur gegen die Klauseln verstoßen hat, oder
v. es wird ein Antrag auf Insolvenzverwaltung oder Abwicklung des Datenimporteurs in dessen privater oder geschäftlicher Eigenschaft gestellt, der nicht innerhalb der nach geltendem Recht vorgesehenen Frist abgewiesen wird; die Abwicklung wird gerichtlich angeordnet; für einen beliebigen Teil seines Vermögens wird ein Zwangsverwalter bestellt; ein Treuhänder wird bestellt, falls es sich bei dem Datenimporteur um eine Privatperson handelt; dieser leitet einen außergerichtlichen Vergleich ein, oder es kommt zu einem je nach Rechtsordnung gleichwertigen Verfahren,

so ist der Datenexporteur berechtigt, unbeschadet etwaiger sonstiger Ansprüche gegen den Datenimporteur, diesen Vertrag zu kündigen, wovon er gegebenenfalls die Kontrollstelle in Kenntnis setzt. Tritt einer der in Ziffer i), ii) oder iv) genannten Fälle ein, kann der Datenimporteur seinerseits den Vertrag kündigen.

c) Jede Partei kann den Vertrag kündigen, wenn i) die Kommission eine positive Angemessenheitsfeststellung gemäß Artikel 25 Absatz 6 der Richtlinie 95/46/EG (oder einer Vorschrift, die diese Vorschrift ersetzt) in Bezug auf das Land (oder einen Bereich davon) trifft, in das die Daten übermittelt und in dem sie vom Datenimporteur verarbeitet werden, oder ii) die Richtlinie 95/46/EG (oder eine Vorschrift, die diese Vorschrift ersetzt) in dem betreffenden Land unmittelbar zur Anwendung gelangt.

d) Die Parteien vereinbaren, dass sie auch nach der Beendigung dieses Vertrags, ungeachtet des Zeitpunkts, der Umstände oder der Gründe (ausgenommen die Kündigung gemäß Klausel VI Buchstabe c), weiterhin an die Verpflichtungen und/oder Bestimmungen dieser Klauseln in Bezug auf die Verarbeitung der übermittelten Daten gebunden sind.

VII. Änderungen der Klauseln

Die Parteien dürfen diese Klauseln nur zum Zwecke der Aktualisierung von Anhang B ändern; gegebenenfalls müssen sie die Kontrollstelle davon in Kenntnis setzen. Es steht den Parteien allerdings frei, erforderlichenfalls weitere Geschäftsklauseln hinzuzufügen.

VIII. Beschreibung der Übermittlung

Die Einzelheiten zur Übermittlung und zu den personenbezogenen Daten sind in Anhang B aufgeführt. Die Parteien vereinbaren, dass sie gegebenenfalls in Anhang B enthaltene vertrauliche Informationen nicht gegenüber Dritten offenlegen, es sei denn, sie sind gesetzlich dazu verpflichtet oder handeln auf Aufforderung einer zuständigen Regulierungsstelle oder staatlichen Einrichtung oder gemäß Klausel I Buchstabe e). Die Parteien können weitere Anhänge vereinbaren, die zusätzliche Übermittlungen betreffen; diese sind gegebenenfalls der Kontrollstelle zu unterbreiten. Ersatzweise kann Anhang B so formuliert werden, dass er eine Vielzahl von Übermittlungen abdeckt.

() „Einschlägige Bestimmungen“ sind sämtliche (unter diese Klauseln fallenden) Genehmigungen oder Entscheidungen mit Ausnahme der Vollzugsbestimmungen.
() Wird diese Möglichkeit gewählt, sind jedoch die Bestimmungen von Anhang A Ziffer 5 über das Recht auf Zugriff, Berichtigung, Löschung und Widerspruch anzuwenden, die dann vergleichbaren Bestimmungen der gewählten Kommissionsentscheidung vorgehen.

BEILAGE 2: ANHANG A

GRUNDSÄTZE DER DATENVERARBEITUNG

1. Zweckbindung: Personenbezogene Daten dürfen nur für die in Anhang B festgelegten oder anschließend von der betroffenen Person genehmigten Zwecke verarbeitet und danach verwendet oder weiter übermittelt werden.

2. Datenqualität und Verhältnismäßigkeit: Personenbezogene Daten müssen sachlich richtig sein und nötigenfalls auf dem neuesten Stand gehalten werden. Sie müssen den Übermittlungs- und Verarbeitungszwecken angemessen und dafür erheblich sein und dürfen nicht über das erforderliche Maß hinausgehen.

3. Transparenz: Die betroffenen Personen müssen Informationen erhalten, die eine Verarbeitung nach Treu und Glauben gewährleisten (beispielsweise Angaben zum Verarbeitungszweck und zur Übermittlung), sofern diese Informationen nicht bereits vom Datenexporteur erteilt wurden.

4. Sicherheit und Geheimhaltung: Der für die Verarbeitung Verantwortliche muss geeignete technische und organisatorische Sicherheitsvorkehrungen gegen die Risiken der Verarbeitung treffen, beispielsweise gegen die unbeabsichtigte oder rechtswidrige Zerstörung oder gegen den unbeabsichtigten Verlust oder die unbeabsichtigte Änderung, die unberechtigte Offenlegung oder den unberechtigten Zugriff. Alle unter der Verantwortung des für die Verarbeitung Verantwortlichen tätigen Personen, darunter auch Auftragsverarbeiter, dürfen die Daten nur auf Anweisung des für die Verarbeitung Verantwortlichen verarbeiten.

5. Recht auf Auskunft, Berichtigung, Löschung und Widerspruch: Nach Artikel 12 der Richtlinie 95/46/EG hat die betroffene Person das Recht, entweder direkt oder durch Dritte, Auskunft über alle ihre personenbezogenen Daten zu erhalten, die von einer Organisation vorgehalten werden; dies gilt nicht für Auskunftsersuchen, die aufgrund ihrer unzumutbaren Periodizität oder ihrer Zahl, Wiederholung oder Systematik offensichtlich übertrieben sind, oder für Daten, über die nach dem für den Datenexporteur geltenden Recht keine Auskunft erteilt werden muss. Vorbehaltlich der vorherigen Genehmigung durch die Kontrollstelle muss auch dann keine Auskunft erteilt werden, wenn die Interessen des Datenimporteurs oder anderer Organisationen, die mit dem Datenimporteur in Geschäftsverkehr stehen, dadurch ernsthaft geschädigt würden und die Grundrechte und Grundfreiheiten der betroffenen Personen hierdurch nicht beeinträchtigt werden. Die Quellen der personenbezogenen Daten müssen nicht angegeben werden, wenn dazu unzumutbare Anstrengungen erforderlich wären oder die Rechte Dritter dadurch verletzt würden. Die betroffene Person muss das Recht haben, ihre personenbezogenen Daten berichtigen, ändern oder löschen zu lassen, wenn diese unzutreffend sind oder entgegen den vorliegenden Grundsätzen verarbeitet wurden. Bei begründeten Zweifeln an der Rechtmäßigkeit des Ersuchens kann das Unternehmen weitere Belege verlangen, bevor die Berichtigung, Änderung oder Löschung erfolgt. Dritte, gegenüber denen die Daten offengelegt wurden, müssen von der Berichtigung, Änderung oder Löschung nicht in Kenntnis gesetzt werden, wenn dies mit einem unverhältnismäßigen Aufwand verbunden wäre. Die betroffene Person muss auch aus zwingenden legitimen Gründen, die mit ihrer persönlichen Situation zusammenhängen, Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten einlegen können. Die Beweislast liegt im Fall einer Ablehnung beim Datenimporteur; die betroffene Person kann eine Ablehnung jederzeit vor der Kontrollstelle anfechten.

6. Vertrauliche Daten: Der Datenimporteur trifft die zusätzliche Vorkehrungen (beispielsweise sicherheitsbezogener Art), die entsprechend seinen Verpflichtungen nach Klausel II zum Schutz vertraulicher Daten erforderlich sind.

7. Direktmarketing: Werden Daten zum Zwecke des Direktmarketings verarbeitet, sind wirksame Verfahren vorzusehen, damit die betroffene Person sich jederzeit gegen die Verwendung ihrer Daten für derartige Zwecke entscheiden kann („Opt-out“).

8. Automatisierte Entscheidungen: „Automatisierte Entscheidungen“ im Sinne dieser Klauseln sind mit Rechtsfolgen behaftete Entscheidungen des Datenexporteurs oder des Datenimporteurs bezüglich einer betroffenen Person, die allein auf der automatisierten Verarbeitung personenbezogener Daten zum Zwecke der Bewertung einzelner Aspekte ihrer Person beruhen, beispielsweise ihrer beruflichen Leistungsfähigkeit, ihrer Kreditwürdigkeit, ihrer Zuverlässigkeit oder ihres Verhaltens. Der Datenimporteur darf keine automatisierten Entscheidungen über eine betroffene Person fällen, es sei denn:

   a) i. Der Datenimporteur fällt die Entscheidungen im Rahmen eines Vertragsabschlusses oder der Ausführung eines Vertrags mit der betroffenen Person, und
   ii. die betroffene Person erhält die Möglichkeit, die Ergebnisse einer einschlägigen automatisierten Entscheidung mit einem Vertreter der Entscheidungen treffenden Partei zu erörtern, oder aber Erklärungen gegenüber dieser Partei abzugeben,

   oder

   b) die für den Datenexporteur geltenden Rechtsvorschriften sehen etwas anderes vor.

BEILAGE 2: ANHANG B: BESCHREIBUNG DER ÜBERMITTLUNG

Betroffene Personen
siehe Dienstleistungsvereinbarung

Übermittlungszweck(e)
Die Übermittlung ist zu folgenden Zwecken erforderlich: siehe Dienstleistungsvereinbarung

Kategorien übermittelter Daten
siehe Dienstleistungsvereinbarung

Empfänger
siehe Dienstleistungsvereinbarung

Vertrauliche Daten (falls zutreffend)
Die übermittelten personenbezogenen Daten betreffen folgende Kategorien vertraulicher Daten: siehe Dienstleistungsvereinbarung

Datenschutzmelderegister-Angaben des Datenexporteurs (falls zutreffend) siehe Dienstleistungsvereinbarung

Sonstige nützliche Informationen (Aufbewahrungsfristen und sonstige einschlägige Angaben): siehe DienstleistungsvereinbarungAnlaufstelle für Datenschutzauskünfte: Privacy@snyk.io