GoDaddy

ZUSATZ DATENVERABEITUNG (KUNDEN)

Fassung vom: 27.09.2021

Dieser Zusatz über die Datenverarbeitung („Zusatz“) gilt zwischen GoDaddy.com, LLC, a Delaware limited liability company und seinen verbundenen Unternehmen („GoDaddy“) und Ihnen („Kunde“) und ergänzt unsere Universellen Nutzungsbedingungen, Datenschutzbestimmungen und sämtliche Verträge der einschlägigen Dienste (“Nutzungsbedingungen“).  Sofern nicht anderweitig in diesem Zusatz definiert, haben alle nicht in diesem Zusatz definierten großgeschriebenen Begriffe die Bedeutung, die in den Nutzungsbedingungen definiert ist.

1. Definitionen

Verbundenes Unternehmen“ bezeichnet Unternehmen, die von GoDaddy kontrolliert werden, es kontrollieren oder mit ihm gemeinsam unter Kontrolle stehen.

CCPA“ bezeichnet den California Consumer Privacy Act, Cal. Civ. Code 1798.100ff., einschließlich jeglicher zugehöriger Ergänzungen und Umsetzungsbestimmungen, die am oder nach dem Tag des Inkrafttretens dieses Zusatzes zur Datenverarbeitung gültig sind bzw. werden.

Abgedeckte Services“bezeichnet gehostete Services, die unsere Verarbeitung personenbezogener Daten beinhalten könnten und für die die AGB der folgenden Verträge gelten: (1) E-Mail-Marketing-Services, (2) Hosting, (3) Online-Shop/Express-Warenkorb, (4) Website-Services, (5) Workspace-Service.

Kundendaten“ bezeichnet personenbezogene Daten Betroffener, die GoDaddy im GoDaddy-Netzwerk im Auftrag des Kunden gemäß oder in Verbindung mit den Nutzungsbedingungen verarbeitet werden.

Datenverantwortlicher“ bezeichnet den Kunden als Rechtspersönlichkeit, die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt.

Datenverarbeiter“ bezeichnet GoDaddy als Rechtsperson, die personenbezogene Daten im Auftrag des Datenverantwortlichen bzw. des Service Provider im Sinne des CCPA verarbeitet.

Datenschutzgesetze“ bezeichnet alle Datenschutzgesetze und -vorschriften bezüglich der Verarbeitung personenbezogener Daten gemäß des Vertrags, einschließlich (i) der Australian Privacy Principles und des Australian Privacy Act (1988), (ii) des brasilianischen Lei Geral de Proteção de Dados (LGPD), (iii) des California Consumer Privacy Act (CCPA), (iv) des kanadischen Federal Personal Information Protection and Electronic Documents Act (PIPEDA), (v) der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, (vi) jeglicher nationaler Datenschutzgesetze gemäß der DSGVO, (vii) der EU-Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG), (viii) des Personal Data Protection Act 2012 (PDPA) aus Singapur, (ix) des Schweizer Bundesgesetz über den Datenschutz vom 19. Juni 1992 und seine Verordnungen, (x) des GDPR oder Data Protection Act 2018 des Vereinigten Königreichs; jeweils in der geänderten, ergänzten oder ersetzten Fassung.

Betroffene Person“ bezeichnet die Person, auf die sich die personenbezogenen Daten beziehen.

EWR“ bezeichnet den Europäischen Wirtschaftsraum.

DSGVO“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).

GoDaddy-Netzwerk“ bezeichnet Rechenzentren, Server, Netzwerkausrüstungen und Host-Softwaresysteme (beispielsweise virtuelle Firewalls) von GoDaddy und unter der Kontrolle von GoDaddy, die zur Bereitstellung der einschlägigen Dienste verwendet werden.

Personenbezogene Daten“ bezeichnet jegliche Informationen gemäß Datenschutzgesetzen, die sich auf eine identifizierte oder identifizierbare Person oder einen identifizierten oder identifizierbaren Haushalt beziehen.

Verarbeitung“ bezeichnet jeglichen Vorgang oder jegliche Abfolge von Vorgängen, die an personenbezogenen Daten automatisch oder auf andere Weise vorgenommen werden, wie Erfassung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Übernahme oder Änderung, Abruf, Abfrage, Offenlegung durch Übertragung, Verbreitung oder sonstige Verfügbarmachung, Anpassung oder Kombination, Einschränkung, Löschung oder Vernichtung. Die Begriffe „verarbeiten“ und „verarbeitet“ sind entsprechend zu interpretieren. Details der Verarbeitung werden in Anlage 1 dargelegt.

Sicherheitsvorfall“ bezeichnet (a) einen Verstoß gegen die GoDaddy-Sicherheitsstandards, der Vernichtung, Verlust, Veränderung, unberechtigter Offenlegung oder Zugriff auf oder von Kundendaten durch Zu- oder Unfall oder eine ungesetzliche Handlung zur Folge hat; oder (b) den unberechtigten Zugriff auf Ausrüstungen oder Einrichtungen von GoDaddy, der Vernichtung, Verlust, unberechtigter Offenlegung oder Änderung von Kundendaten zur Folge hat.

Sicherheitsstandards“ bezeichnet die Sicherheitsstandards, die diesem Zusatz als Anlage 2 angefügt sind.

Sensible Daten“bezeichnet (a) Sozialversicherungsnummer, Passnummer, Führerscheinnummer oder ähnliche Kennungen (oder Teile davon); (b) Kredit- oder Debit-Kartennummer (außer der abgekürzten letzten vier Ziffern einer Kredit- oder Debit-Karte), finanzielle Informationen, Bankkontonummern oder -passwörter, (c) beschäftigungsbezogene, finanzielle, genetische, biometrische oder Gesundheitsinformationen; (d) Informationen zur Herkunft, Ethnie, Religionszugehörigkeit, Gewerkschaftsmitgliedschaft, zum Sexualleben oder zur sexuellen Orientierung; (e) Kontopasswörter, Mädchenname der Mutter oder Geburtsdatum; (f) kriminelle Vergangenheit; oder (g) alle anderen Informationen oder Kombinationen an Informationen, die unter die Definition von „besondere Kategorien von Daten“ gemäß der DSGVO oder einem anderen anwendbaren Recht oder einer Vorschrift bezüglich Privatsphäre und Datenschutz fallen.

Standardvertragsklauseln“ oder „SCCs“ bezeichnet die Standarddatenschutzklauseln für die Übertragung personenbezogener Daten von einem Datenverantwortlichen an einen Datenverarbeiter in Drittländern, die kein ausreichendes Datenschutzniveau gewährleisten, wie in Artikel 46 der DSGVO beschrieben und durch den Beschluss der Europäischen Kommission 2021/914 vom 4. Juni 2021 genehmigt. Standardvertragsklauseln des zweiten Moduls (Datenverantwortlicher an Datenverarbeiter) sind in Anlage 4 dargelegt.

Weiterverarbeiter“ bezieht sich auf Datenverarbeiter, die vom Verarbeiter zum Zweck der Verarbeitung von Daten im Auftrag des Datenverantwortlichen beauftragt werden.

Standardvertragsklauseln des Vereinigten Königreichs“ bezeichnet die Standarddatenschutzklauseln für die Übertragung personenbezogener Daten an Datenverarbeiter in Drittländern, die kein ausreichendes Datenschutzniveau gewährleisten, wie in Artikel 46 des GDPR des Vereinigten Königreichs beschrieben und durch den Beschluss der Europäischen Kommission 2010/87/EU genehmigt. Die Standardvertragsklauseln für das Vereinigte Königreich sind in Anlage 4 dargelegt.                            

2. Datenverarbeitung

2.1 Umfang und Rollen. Dieser Zusatz findet Anwendung, wenn Kundendaten durch GoDaddy verarbeitet werden, wobei GoDaddy im Auftrag des Kunden (als für die Verarbeitung Verantwortlicher) als Datenverarbeiter bezüglich der Kundendaten agiert.

2.2 Details der Datenverarbeitung. Gegenstand der Verarbeitung von Kundendaten durch GoDaddy ist die Erbringung der einschlägigen Services gemäß den Nutzungsbedingungen. GoDaddy verarbeitet Kundendaten ausschließlich im Auftrag des Kunden und gemäß dessen dokumentierten Anweisungen für folgende Zwecke: (i) Verarbeitung gemäß Nutzungsbedingungen; (ii) Verarbeitung, die durch Endnutzer in ihrer Nutzung der einschlägigen Dienste initiiert wird; (iii) Verarbeitung, um sonstigen dokumentierten, sinnvollen Anweisungen von Kunden (beispielsweise per E-Mail) nachzukommen, wenn solche Anweisungen den Nutzungsbedingungen entsprechen. GoDaddy ist nicht berechtigt, (a) Kundendaten zu verarbeiten, vorzuhalten, zu nutzen, zu veräußern oder offenzulegen, sofern dies nicht zur Erbringung der in den Nutzungsbedingungen beschriebenen einschlägigen Services erforderlich oder aber gesetzlich vorgeschrieben ist, (b) solche Kundendaten an Dritte zu veräußern oder (c) solche Kundendaten außerhalb der direkten Geschäftsbeziehung zwischen GoDaddy und dem Kunden vorzuhalten, zu nutzen oder offenzulegen.

Um jeden Zweifel auszuschließen, müssen die Anweisungen des Kunden zur Verarbeitung personenbezogener Daten allen geltenden Datenschutzgesetzen entsprechen. Der Kunde trägt die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit personenbezogener Daten wie auch der Mittel, mit denen der Kunde die personenbezogenen Daten erfasst hat. GoDaddy ist nicht verpflichtet, den Anweisungen des Kunden nachzukommen oder diese zu beachten, sofern diese Anweisungen einen Verstoß gegen Datenschutzgesetze darstellen würden. Die Dauer der Verarbeitung, Wesen und Zweck der Verarbeitung, die Arten personenbezogener Daten und die Kategorien Betroffener, die im Rahmen dieses Zusatzes verarbeitet werden, sind in Anhang 1 dieses Zusatzes („Details der Verarbeitung“) ausführlicher beschrieben.

3. Vertraulichkeit der Kundendaten

GoDaddy ist ausschließlich insoweit zur Offenlegung von Kundendaten gegenüber Behörden oder Dritten berechtigt, als dies zur Einhaltung gesetzlicher Anforderungen oder einer gültigen und bindenden Anordnung einer Vollstreckungsbehörde (einschließlich Vorladungen und gerichtliche Verfügungen) notwendig ist. Sofern GoDaddy eine gültige zivilrechtliche Vorladung zugestellt wird, wird GoDaddy im Rahmen des Zulässigen versuchen, den Kunden in angemessener Weise per E-Mail oder auf dem Postweg über die Forderung zu informieren, damit der Kunde eine Schutzanordnung oder ein anderes geeignetes Rechtsmittel beantragen kann.

4. Sicherheit

4.1 GoDaddy hat technische und organisatorische Maßnahmen für das GoDaddy-Netzwerk gemäß diesem Abschnitt und wie weiter in „Anlage 2“ dieses Zusatzes (Sicherheitsstandards) dargelegt, implementiert und wird diese umsetzen. Speziell hat GoDaddy folgende technische und organisatorische Maßnahmen implementiert und wird diese umsetzen, welche folgende Aspekte betreffen: (i) Sicherheit des Netzwerks von GoDaddy; (ii) physische Sicherheit der Einrichtungen; (iii) Kontrollen des Zugriffs für Mitarbeiter und Auftragnehmer auf (i) und (ii); sowie (iv) Verfahren für Tests, Einstufungen und Bewertungen der Effektivität technischer und organisatorischer Maßnahmen, die von GoDaddy implementiert wurden. Sollten wir nicht in der Lage sein, die hierin dargelegten Pflichten zu erfüllen, so zeigen wir dies (über unsere Website und per E-Mail) schriftlich an, sobald dies praktisch durchführbar ist.

4.2 GoDaddy macht eine Reihe von Sicherheitsfunktionen und -einrichtungen verfügbar, welche der Kunde für die einschlägigen Dienste nutzen kann. Der Kunde ist verantwortlich dafür: (a) die einschlägigen Dienste angemessen zu konfigurieren, (b) die in Verbindung mit den einschlägigen Diensten verfügbaren Steuerungen zu nutzen (darunter Steuerung der Sicherheit), um die fortgesetzte Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und Dienste zu gewährleisten, (c) die in Verbindung mit den einschlägigen Diensten verfügbaren Steuerungen zu nutzen (darunter Steuerung der Sicherheit), die dem Kunden ermöglichen, rechtzeitig Verfügbarkeit von und Zugriff auf Kundendaten wiederherzustellen, wenn ein physischer oder technischer Zwischenfall eintritt (beispielsweise Backups und regelmäßige Archivierung von Kundendaten), sowie (d) Schritte zu unternehmen, welche der Kunde als angemessen erachtet, um die angemessene Sicherheit, den Schutz und die Löschung von Kundendaten zu pflegen, darunter Nutzung von Verschlüsselungstechnik zum Schutz von Kundendaten vor unberechtigtem Zugriff sowie Maßnahmen zur Steuerung der Berechtigung zum Zugriff auf Kundendaten.

5. Betroffenenrecht

In Anbetracht der Natur der einschlägigen Dienste bietet GoDaddy dem Kunden bestimmte Möglichkeiten der Steuerung und Kontrolle, die im Abschnitt „Sicherheit“ dieses Zusatzes dargelegt sind. Der Kunde kann diese nutzen, um Kundendaten abzurufen, zu korrigieren, zu löschen und deren Nutzung und Weitergabe zu beschränken, wie dies in den einschlägigen Diensten dargelegt ist. Der Kunde kann diese Steuerungsmöglichkeiten als technische und organisatorische Maßnahmen in Verbindung mit seinen Verpflichtungen im Rahmen geltender Datenschutzgesetze nutzen. Dazu gehören Verpflichtungen der Reaktion auf Anfragen von Betroffenen. GoDaddy benachrichtigt den Kunden umgehend (wenn dies wirtschaftlich machbar und gesetzlich gestattet oder gefordert ist), wenn GoDaddy eine direkte Anfrage eines Betroffenen bezüglich der Ausübung solcher Rechte im Rahmen geltender Datenschutzgesetze erhält („Anfrage von Betroffenen“). Zudem kann GoDaddy, wenn die Nutzung der einschlägigen Dienste durch den Kunden dessen Möglichkeiten der Reaktion auf die Anfrage von Betroffenen beschränkt, auf die spezifische Anfrage des Kunden (und wenn rechtlich gestattet und angemessen) wirtschaftlich machbare Hilfestellung bei der Beantwortung dieser Anfrage bereitstellen. Dies geschieht ggf. auf Kosten des Kunden.

6. Weiterverarbeiter

6.1 Autorisierte Weiterverarbeiter. Der Kunde stimmt zu, dass GoDaddy zur Erfüllung seiner vertraglichen Verpflichtungen im Rahmen der Nutzungsbedingungen und dieses Zusatzes Weiterverarbeiter heranziehen kann, sowie um bestimmte Dienste in seinem Auftrag bereitzustellen, beispielsweise Supportdienste. Der Kunde stimmt hiermit zu, dass GoDaddy Weiterverarbeiter wie in diesem Abschnitt dargelegt nutzen kann. Außer, wie in diesem Abschnitt dargelegt oder wenn von Ihnen explizit gestattet, wird GoDaddy keine sonstigen Aktivitäten der Weiterverarbeitung gestatten.

6.2 Verpflichtungen des Weiterverarbeiters. Wenn GoDaddy autorisierte Weiterverarbeiter nutzt, wie in Abschnitt 6.1 dargelegt:

(i) GoDaddy wird den Zugriff von Weiterverarbeitern auf Kundendaten auf das Notwendige für Pflege oder Bereitstellung der einschlägigen Dienste für die Kunden und Endbenutzer gemäß den einschlägigen Diensten beschränken. GoDaddy wird dem Weiterverarbeiter den Zugriff auf Kundendaten für andere Zwecke untersagen;

(ii) GoDaddy geht einen schriftlichen Vertrag mit dem Weiterverarbeiter ein und GoDaddy wird, in dem Maß, in dem der Weiterverarbeiter dieselben Dienste der Datenverarbeitung durchführt, die im Rahmen dieses Zusatzes von GoDaddy bereitgestellt werden, dem Weiterverarbeiter dieselben vertraglichen Verpflichtungen auferlegen, die GoDaddy unter dem Zusatz auferlegt sind; und

(iii) GoDaddy bleibt verantwortlich für die Einhaltung der Verpflichtungen dieses Zusatzes und für sämtliche Handlungen und Unterlassungen des Weiterverarbeiters, welche dazu führen, dass GoDaddy Verpflichtungen von GoDaddy im Rahmen dieses Zusatzes verletzt.

6.3 Neue Weiterverarbeiter.  Gelegentlich können wir neue Weiterverarbeiter im Rahmen und gemäß den Bedingungen dieses Zusatzes beauftragen.  In einem solchen Fall informieren wir Sie hierüber (auf unserer Website und per E-Mail) mit dreißig (30) Tagen Frist, bevor ein neuer Weiterverarbeiter Zugriff auf Kundendaten erhält. Ist Ihr Kunde mit einem neuen Weiterverarbeiter nicht einverstanden, so hat der Kunde das Recht, jegliche abgedeckte Services ohne Sanktionen zu kündigen. Die Kündigung bedarf der Schriftform und muss innerhalb von zehn (10) Tagen ab Erhalt unserer Mitteilung bei uns eingehen. Im Kündigungsschreiben sind die Gründe für die Ablehnung anzugeben. Sind die abgedeckten Services Teil eines Pakets oder eines Paketkaufs, so gilt die Kündigung für das gesamte Paket.

7. Sicherheitsvorfälle

7.1 Sicherheitsvorfälle. Wird GoDaddy ein Sicherheitsvorfall bekannt, so wird GoDaddy unverzüglich (a) den Kunden über den Sicherheitsvorfall informieren und (b) angemessene Schritte unternehmen, um die Auswirkungen des Sicherheitsvorfalls zu beschränken und daraus entstehende Schäden zu minimieren.

7.2 GoDaddyHilfestellung.  Zur Unterstützung des Kunden bei Benachrichtigungen über Verletzungen des Schutzes personenbezogener Daten, die der Kunde im Rahmen geltender Datenschutzgesetze vornehmen muss, integriert GoDaddy in die Benachrichtigung solche Informationen über den sicherheitsrelevanten Vorfall, die GoDaddy dem Kunden gegenüber billigerweise offenlegen kann, wobei das Wesen der einschlägigen Services, die GoDaddy vorliegenden Informationen und jegliche Einschränkungen der Offenlegung der Daten (beispielsweise Vertraulichkeit) in Betracht zu ziehen sind.  

7.3 Nichtige Sicherheitsvorfälle. Der Kunde stimmt Folgendem zu:

(i)Ein nichtiger Sicherheitsvorfall unterliegt nicht den Bedingungen dieses Zusatzes. Ein nichtiger Sicherheitsvorfall ist ein Sicherheitsvorfall, der keinen Zugriff auf Kundendaten oder das Netzwerk, Ausrüstungen oder Einrichtungen von GoDaddy, die Kundendaten speichern, durch Unbefugte zur Folge hatte. Dies schließt insbesondere Pings und weitere Übertragungsattacken auf Firewalls oder Edge-Server, Port-Scans, fehlgeschlagene Anmeldeversuche, Denial-of-Service-Attacken, Packet Sniffing (und sonstiger unberechtigter Zugriff auf Trafficdaten, der nicht zu Zugriff über Kopfzeilen hinaus führt) und Ähnliches ein.

(ii) Die Verpflichtung von GoDaddy, einen Sicherheitsvorfall im Sinne dieses Abschnittes zu melden oder darauf zu reagieren, ist weder jetzt noch künftig als Eingeständnis der Schuld oder der Haftung aufseiten von GoDaddy im Hinblick auf den bei GoDaddy aufgetretenen Sicherheitsvorfall aufzufassen.

7.4 Benachrichtigung. Benachrichtigungen zu Sicherheitsvorfällen sind ggf. dem oder den Administratoren des Kunden über die von GoDaddy gewählten Kanäle, einschließlich E-Mail, zuzustellen. Es liegt in der alleinigen Verantwortung des Kunden, dafür Sorge zu tragen, dass die Administratoren des Kunden in der GoDaddy-Verwaltungskonsole korrekte und vollständige Kontaktdaten pflegen und deren Übertragung jederzeit schützen.

8. Kundenrechte

8.1 Unabhängige Feststellung. Der Kunde ist dafür verantwortlich, die Daten, die durch GoDaddy bezüglich der Datensicherheit und dessen Sicherheitsstandards zur Verfügung gestellt werden, zu prüfen und unabhängig festzustellen, ob die einschlägigen Dienste den Anforderungen und rechtlichen Verpflichtungen des Kunden und den Verpflichtungen des Kunden im Rahmen dieses Zusatzes entsprechen. Die verfügbar gemachten Daten dienen dazu, Kunden dabei zu helfen, ihren Verpflichtungen im Rahmen geltender Datenschutzgesetze (darunter der DSGVO) nachzukommen, und zwar hinsichtlich Einschätzungen der Auswirkungen des Datenschutzes und voriger Beratung.

8.2 Audit-Rechte der Kunden. Der Kunde hat das Recht, die Einhaltung dieses Zusatzes durch GoDaddy für die abgedeckten Services zu bestätigen, indem er in angemessenen Zeitabständen eine spezifische, schriftliche Anfrage an die in den Nutzungsbedingungen angegebene Adresse stellt. Lehnt GoDaddy ab, Anweisungen des Kunden bezüglich eines ordnungsgemäß angeforderten und definierten Audits oder einer Inspektion nachzukommen, hat der Kunde das Recht, diesen Zusatz und die Nutzungsbedingungen zu kündigen.

9. Übertragung von Kundendaten

9.1 Verarbeitung in den USA. Sofern nicht in den Nutzungsbedingungen gesondert angegeben, werden Kundendaten außerhalb des Vereinigten Königreiches oder des EWR übertragen und in den USA verarbeitet.

9.2 Anwendung der Standard-Vertragsklauseln. Die Standardvertragsklauseln gelten für Kundendaten, die direkt oder auf Umwegen in ein Land außerhalb des EWR übermittelt werden, das von der Europäischen Kommission als Drittland eingestuft wurde, d. h. ein Land, in dem nach Einschätzung der Europäischen Kommission kein ausreichender Schutz für Kundendaten gewährleistet werden kann. Die Standardvertragsklauseln finden keine Anwendung auf Kundendaten, die weder durch direkte Übertragung noch auf Umwegen in Länder außerhalb des EWR übertragen werden. Unbeschadet des Voranstehenden finden die Standardvertragsklauseln keine Anwendung, wenn die Daten gemäß einem anerkannten Konformitätsstandard für die rechtmäßige Übertragung personenbezogener Daten außerhalb des EWR übertragen werden, beispielsweise wenn dies für die Erbringung der Leistungen im Rahmen der Nutzungsbedingungen erforderlich ist oder mit Ihrer Zustimmung erfolgt.

9.3 Application of UK Standard Contractual Clauses. The UK Standard Contractual Clauses will apply to Customer Data transferred via Covered Services from the United Kingdom, either directly or via onward transfer, to any country not recognized by the competent United Kingdom regulatory authority or governmental body as providing an adequate level of protection for Customer Data. The UK Standard Contractual Clauses will not apply to Customer Data that is not transferred, either directly or via onward transfer, outside the United Kingdom. Notwithstanding the foregoing, the UK Standard Contractual Clauses will not apply where the data is transferred in accordance with a recognized compliance standard for the lawful transfer of Customer Data outside the United Kingdom, such as when necessary for the performance of Covered Services pursuant to the Terms of Service or with your consent.

10. Kündigung des Zusatzes

Dieser Zusatz bleibt bis zur Kündigung unserer Verarbeitung in Übereinstimmung mit den Nutzungsbedingungen („Kündigungsdatum“) in Kraft.

11. Rückgabe oder Löschung von Kundendaten

Wie in den einschlägigen Diensten dargelegt, können Kunden Steuerungsmöglichkeiten gegeben werden, die sie dazu nutzen können, Kundendaten abzurufen oder zu löschen. Die Löschung von Kundendaten erfolgt dreißig (30) Tage nach dem Kündigungsdatum unter Einhaltung der Bedingungen der entsprechenden abgedeckten Services.

12. Haftungsbeschränkungen

Die Haftbarkeit der Parteien im Rahmen dieses Zusatzes unterliegt den Ausschlüssen und Haftungsbeschränkungen, welche in den Nutzungsbedingungen festgelegt sind. Der Kunde stimmt zu, dass gesetzliche Strafzahlungen, die GoDaddy in Verbindung mit Kundendaten entstehen oder im Ergebnis oder in Verbindung mit dem Versäumnis des Kunden anfallen, seinen Verpflichtungen im Rahmen dieses Zusatzes und geltender Datenschutzgesetze nachzukommen, auf die Haftbarkeit von GoDaddy gemäß den Nutzungsbedingungen angerechnet werden (bzw. diese reduzieren), als handele es sich um Haftbarkeit gegenüber dem Kunden gemäß den Nutzungsbedingungen.

13. Gesamte Nutzungsbedingungen; Konflikt

Dieser Zusatz tritt bezüglich des Gegenstandes des Zusatzes an Stelle sämtlicher voriger oder gleichzeitiger Zusicherungen, Einverständnisse, Verträge und Kommunikationen zwischen dem Kunden und GoDaddy, seien diese schriftlich oder mündlich, darunter sämtliche Zusätze bezüglich der Datenverarbeitung, die von GoDaddy und dem Kunden bezüglich der Verarbeitung personenbezogener Daten und der freien Übertragung solcher Daten eingegangen wurden.  Die Nutzungsbedingungen bleiben vollständig in Kraft, außer wenn durch diesen Zusatz ergänzt.  Treten Konflikte bei Verträgen zwischen den Nutzungsbedingungen und diesem Zusatz auf, gelten die Regelungen dieses Zusatzes.

Anlage 1

 DETAILS DER VERARBEITUNG

 1. Natur und Zweck der Verarbeitung. GoDaddy wird Kundendaten in dem Maß verarbeiten, das zur Ausübung der einschlägigen Dienste gemäß der Nutzungsbedingungen und gemäß weiterer Anweisungen des Kunden im Verlauf seiner Nutzung der einschlägigen Dienste erforderlich ist.

 2. Dauer der Verarbeitung. Gemäß Abschnitt 10 und 11 dieses Zusatzes verarbeitet GoDaddy Kundendaten während des Gültigkeitszeitraums der Nutzungsbedingungen. Ungeachtet des Vorstehenden, kann GoDaddy Kundendaten oder einen Teil davon aufbewahren, wenn die geltenden Gesetze oder Vorschriften dies erfordern, einschließlich geltender Datenschutzgesetze, vorausgesetzte, die Kundendaten bleiben in Übereinstimmung mit den Bedingungen dieses Zusatzes und geltenden Datenschutzgesetzen geschützt.

3. Kategorien der Betroffenen. Der Kunde kann bei seiner Nutzung der einschlägigen Dienste personenbezogene Daten hochladen, deren Umfang im alleinigen Ermessen des Kunden liegt. Zu diesen können folgende Kategorien personenbezogener Daten Betroffener gehören:

  • Potenzielle Kunden, Kunden, Geschäftspartner und Anbieter des Kunden (natürliche Personen)
  • Mitarbeiter und Kontaktpersonen potenzieller Kunden des Kunden, Kunden, Geschäftspartner und Anbieter
  • Mitarbeiter, Agenten, Berater und freiberuflich Tätige des Kunden (natürliche Personen)
  • Nutzer des Kunden, welche der Kunde zur Verwendung der einschlägigen Dienste autorisiert

4. Kategorien personenbezogener Daten. Der Kunde kann bei seiner Nutzung der einschlägigen Dienste personenbezogene Daten hochladen, deren Art und Umfang im alleinigen Ermessen des Kunden liegen. Zu diesen können folgende Kategorien personenbezogener Daten Betroffener gehören: 

  • Name
  • Anschrift
  • Telefonnummer
  • Geburtsdatum
  • E-Mail-Adresse
  • Weitere erfasste Daten, welche die betroffenen Personen direkt oder indirekt identifizieren könnten.

5. Sensible Daten oder besondere Kategorien von Daten. Der Kunde lädt im Rahmen der Nutzung der abgedeckten Services möglicherweise sensible Daten hoch, deren Art und Umfang vom Kunden nach eigenem Ermessen bestimmt und kontrolliert wird. Der Kunde ist für die Verwendung von Beschränkungen und Schutzvorkehrungen verantwortlich, die die Art der Daten und die bestehenden Risiken vor der Übertragung oder Verarbeitung sensibler Daten über die abgedeckten Services vollständig berücksichtigen.

Anlage 2

Sicherheitstandards

I. Technische und organisatorische Maßnahmen  

Wir nehmen den Schutz der Daten unserer Kunden ernst.  Unter Berücksichtigung der Best Practices, der Implementierungskosten sowie Art, Umfang, Umstände und Zweck der Verarbeitung sowie der Eintrittswahrscheinlichkeit und des Ausmaßes Risikos auf die Rechte und Grundfreiheiten natürlicher Personen ergreifen wir die folgenden technischen und organisatorischen Maßnahmen.  Bei der Auswahl der Maßnahmen berücksichtigen wir die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme. Eine schnelle Wiederherstellung nach einem physischen oder technischen Zwischenfall ist garantiert.

II.  Datenschutzprogramm  

Unser Datenschutzprogramm dient der Pflege einer weltweiten Struktur für die Daten-Governance und sichere Daten im gesamten Zyklus. Dieses Programm wird vom Büro des Datenschutzbeauftragten gesteuert, der die Implementierung der Datenschutzpraktiken und Sicherheitsmaßnahmen beaufsichtigt. Die Effektivität des Datenschutzprogramms und der Sicherheitsstandards wird von uns regelmäßig geprüft, bewertet und ausgewertet.

1. Vertraulichkeit. „Vertraulichkeit bezieht sich auf den Schutz personenbezogener Daten vor unberechtigter Offenlegung.“  

Wir nutzen eine Reihe physischer und digitaler Maßnahmen, um die Vertraulichkeit der personenbezogenen Daten unserer Kunden zu schützen. Zu diesen Maßnahmen gehören:   

  Physische Sicherheit  

  • Systeme für die Kontrolle des Zugangs sind vorhanden (Zugangskontrolle über Ausweise, Überwachung von Zwischenfällen bei der Sicherheit usw.) 
  • Überwachungssysteme mit Alarm und Videoüberwachung (wenn angemessen)
  • Clean-Desk-Richtlinien (keine Unterlagen auf Schreibtisch liegenlassen) und Kontrollen sind vorhanden (Verschluss unbeaufsichtigter Computer, von Schränken usw.)  
  •  Verwaltung des Zugriffes für Besucher 
  • Vernichten von Daten auf physischen Speichermedien und Dokumenten (schreddern, entmagnetisieren usw.)

  Zugangskontrolle und Vorbeugung vor unberechtigtem Zugriff 

  • Beschränkung des Zugriffs für Benutzer und Zugriffsberechtigungen auf Basis von Rollen werden auf Grundlage des Prinzips der Aufgabentrennung vergeben/geprüft
  • Wirksame Methoden der Authentifizierung und Autorisierung (mehrstufige Authentifizierung, Autorisierung über Zertifikate, automatische Deaktivierung oder Abmeldung usw.) 
  • Zentrale Verwaltung von Passwörtern und Richtlinien für starke/komplexe Passwörter (minimale Länge, Komplexität der Zeichen, Ablauf von Passwörtern usw.)   
  • Kontrolle des Zugriffs auf E-Mails und Internet
  • Antiviren-Management
  • Verwaltung von Intrusion Prevention-Systemen

Verschlüsselung   

  • Verschlüsselung interner und externer Kommunikationen mittels starker kryptographischer Protokolle
  • Verschlüsselung gespeicherter PII/SPII Daten (Datenbanken, geteilte Verzeichnisse usw.)   
  • Vollständige Verschlüsselung der Datenträger von Firmen-PCs und -Laptops
  • Verschlüsselung von Speichermedien
  • Remote-Verbindungen mit den Netzwerken des Unternehmens sind per VPN verschlüsselt
  • Schutz von Chiffrierschlüsseln in der gesamten Laufzeit

 Datenminimierung    

  • PII/SPI-Minimierung bei Anwendung, Debugging und Sicherheitsprotokollen
  • Anonymisierung personenbezogener Daten zur Verhinderung direkter Identifizierung natürlicher Personen
  • Trennung gespeicherter Daten nach Funktion (Test, Staging, Live) 
  • Logische Abtrennung von Daten durch Zugriffsrechte auf Basis von Rollen 
  • Festgelegte Zeiträume für die Aufbewahrung personenbezogener Daten

Sicherheitstests     

  • Eindring-Tests für die wichtigsten Plattformen und Netzwerke des Unternehmens, die personenbezogene Daten hosten 
  • Regelmäßige Scans des Netzwerkes und auf Prüfung der Netzwerkanfälligkeit 

2. Integrität. „Integrität bezieht sich auf die Gewährleistung der Richtigkeit (Intaktheit) von Daten und der korrekten Funktion von Systemen. Wird der Begriff „Integrität“ in Verbindung mit dem Begriff „Daten“ genutzt, bringt er zum Ausdruck, dass die Daten vollständig und unverändert sind.“  

Angemessene Änderungs- und Protokollverwaltungskontrollen sind vorhanden, neben Zugriffskontrollen, um die Integrität personenbezogener Daten zu wahren, wie:    

Verwaltung von Änderungen und Freigaben    

  • Verwaltungsverfahren für Änderungen und Freigaben (Analyse von Auswirkungen, Genehmigungen, Tests, Sicherheitsprüfungen, Staging, Monitoring usw.)  
  • Rollen-/funktionsbasierter (Aufgabentrennung) Zugang in der Produktion

Protokolle und Überwachung

  • Protokolle des Zugriffs auf und der Änderung von Daten
  • Zentrale Audit- und Sicherheitsprotokolle
  • Überwachung der Vollständigkeit und Richtigkeit der Datenübertragung (vollständige Prüfung)

3. Verfügbarkeit. „Die Verfügbarkeit von Diensten und IT-Systemen, IT-Anwendungen und IT-Netzwerkfunktionen sowie von Daten ist garantiert, wenn die Nutzer jederzeit in der Lage sind, sie wie vorgesehen zu nutzen.“    

Wir implementieren angemessene Maßnahmen gegen Unterbrechungen und für den Schutz, um die Verfügbarkeit der Dienste und der Daten in diesen Diensten zu gewährleisten:    

  • Regelmäßige Failover-Tests (Ausfallsicherung) für geschäftskritische Dienste
  • Umfassende Überwachung und Berichte der Leistung und Verfügbarkeit entscheidender Systeme
  • Maßnahmen bei Sicherheitsvorfällen  
  • Wichtige Daten werden entweder dupliziert oder erhalten ein Backup (Cloud-Backups/Festplatten/Datenbank-Duplizierung usw.) 
  • Planmäßige Wartung von Software, Infrastruktur und Sicherheit ist vorhanden (Software-Aktualisierungen, Sicherheits-Patches usw.)   
  • Redundante und widerstandsfähige Systeme (Servercluster, gespiegelte DBs, Setups mit hoher Verfügbarkeit usw.) an Orten außerhalb des Betriebs oder geografisch entfernten Orten
  • Nutzung unterbrechungsfreier Stromzufuhr, ausfallsicherer Hardware und Netzwerksysteme  
  • Vorhandene Alarm- und Sicherheitssysteme  
  • Physische Schutzmaßnahmen für wichtige Standorte (Schutz vor Überspannung, Doppelböden, Kühlsysteme, Sensoren für Feuer und Rauch, Löschsysteme usw.) 
  • DDOS-Schutz zur Aufrechterhaltung der Verfügbarkeit
  • Belastungs- und Stress-Tests  

4Anweisungen zur Datenverarbeitung. „Anweisungen zur Datenverarbeitung bezieht sich auf die Gewährleistung, dass personenbezogene Daten ausschließlich gemäß den Anweisungen des Datenverantwortlichen und einschlägigen Maßnahmen des Unternehmens verarbeitet werden.“  

Wir haben interne Richtlinien und Verträge für den Datenschutz eingeführt und schulen unsere Mitarbeiter regelmäßig bezüglich des Datenschutzes, um zu gewährleisten, dass personenbezogene Daten in Übereinstimmung mit den Einstellungen und Einweisungen der Kunden verarbeitet werden.   

  • Klauseln bezüglich Datenschutz und Vertraulichkeit in Arbeitsverträgen 
  • Regelmäßige Schulungen der Mitarbeiter über Datenschutz und Sicherheit 
  • Angemessene vertragliche Bestimmungen in den Verträgen mit Auftragnehmern zur Aufrechterhaltung der Anweisungsrechte 
  • Regelmäßige Datenschutzüberprüfungen für externe Service-Provider 
  • Kunde hat volle Kontrolle über seine Einstellungen in Bezug auf die Datenverarbeitung 
  • Regelmäßige Sicherheitsüberprüfungen 

Anlage 3 – Weiterverarbeiter von GoDaddy

Unternehmensname
Gründungsland der juristischen Person
Beschreibung des Service
Datenkategorien
Acronis International GmbH Schweiz Kundensicherung Momentaufnahmen der Sicherung.
Automattic Inc Vereinigte Staaten von Amerika (USA) WooCommerce-Plugin und -Addons innerhalb WordPress E-Commerce. WordPress-Benutzerprofile von Kunden (einschließlich Name und E-Mail-Adresse) und die von Mitarbeitern/Auftragnehmern
Cisco International Limited, Cisco Solutions GmbH, Cisco Systems Inc Vereinigtes Königreich, Deutschland, Vereinigte Staaten von Amerika Bereitstellung und Verwaltung von Netzwerklösungen als Teil unseres Netzwerks, einschließlich Metadaten-Analyse. Verarbeitung von Metadaten von IP-Adressen, Zeitstempeln und Netzwerkverkehr
cPanel Inc Vereinigte Staaten von Amerika (USA) cPanel-Management-Software für Hosting- und Server-Produkte. Jegliche Kundendaten in cPanel.
DENIC eG Deutschland Registrierung der .DE-Domains Alle notwendigen Kontoinformationen zur Bereitstellung der Domain. Whois-Informationen.
Equinix Netherlands BV Niederlande Kolokationseinrichtungen für Rechenzentren in den Niederlanden. Es werden keine personenbezogenen Daten absichtlich verarbeitet.
EURid vzw Belgien Registrierung der .EU-Domains Alle notwendigen Kontoinformationen zur Bereitstellung der Domain. Whois-Informationen.
Juniper Networks Inc Vereinigte Staaten von Amerika (USA) Bereitstellung und Verwaltung von Netzwerklösungen als Teil unseres Netzwerks, einschließlich Metadaten-Analyse. IP-Adressen, Zeitstempel, Netzwerkverkehr
LivePerson Inc Vereinigte Staaten von Amerika (USA) Chat-Tool „LiveEngage“ auf unserer Website. Chat-Protokolle, automatisierte Informationen wie IP-Adresse, Betriebssystem und Geräteart.
LvivIT Ukraine Bereitstellung von Unterstützung zu operativen Plattformen Alle Kundenkontoinformationen.
OVH Grouppe SAS Frankreich Kolokationseinrichtungen für Rechenzentren in Deutschland, Wiederverkauf von Server-Produkten. Vom Kunden gehostete Daten, einschließlich Websites, Anwendungen und Daten von Kunden des Kunden; dies kann auch Netzwerkverkehr umfassen.
Plesk International GmbH Deutschland Plesk Control Panel für VPS und Dedicated Server und Website Builder Plus. Alle Kundendaten, die im Plesk Control Panel gespeichert sind, sowie alle Kundendaten, die auf einer gehosteten Website gespeichert sind.
Datadock SARL Frankreich Kolokationseinrichtungen für Rechenzentren in Frankreich. Hardware- und Netzwerk-Services. Es werden keine personenbezogenen Daten absichtlich verarbeitet.
GoDaddy Media Temple Inc d/b/a Sucuri Vereinigte Staaten von Amerika (USA)
SAAS-Produkt: Schutz von Kundenwebsites vor Malware
Alle notwendigen Kontoinformationen zur Bereitstellung der Website sowie die auf der gehosteten Website gespeicherten Kundendaten.
GoDaddy Media Temple Inc d/b/a Sucuri Vereinigte Staaten von Amerika (USA) Internal: Web Application Firewall auf unseren Marken-Websites und in den Kunden-Control Panels zum Schutz der Marken-IT und der Kundendaten. Überprüfung des Website-Verkehrs. Metadaten von IP-Adressen, Zeitstempeln und Netzwerkverkehr.
Starfield Technologies LLC Vereinigte Staaten von Amerika (USA) SSL-Zertifikate. Alle Kundenkontoinformationen, die für ein SSL-Zertifikat benötig werden.
DomainsByProxy LLC Vereinigte Staaten von Amerika (USA) Domaindatenschutzservice. Domain-Registrierung und Kontaktinformationen.
GoDaddy Sellbrite, Inc. Vereinigte Staaten von Amerika (USA) Online-Einzelhandelstool Transaktions- und Produktdaten aus Online-Geschäft.
GoDaddy Payments LLC Vereinigte Staaten von Amerika (USA) Tools zur Zahlungsverarbeitung  

Anlage 4

Siehe Abschnitt 9.2 des Zusatzes bezüglich Anwendbarkeit dieser Standard-Vertragsklauseln (SCC)

Standard-Vertragsklauseln (Verantwortlicher an Verarbeiter)

ABSCHNITT I

Klausel 1

Zweck und Umfang

  1. Der Zweck dieser Standardvertragsklauseln besteht darin, die Einhaltung der Bestimmungen aus Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutzgrundverordnung) für die Übertragung der Daten in ein Drittland sicherzustellen.
  2. Die Parteien:
    1. die natürliche(n) oder rechtliche(n) Person(en), öffentliche Behörde(n), Agentur(en) oder (eine) andere Einrichtung(en) (im Folgenden „Entität(en)“), die die personenbezogenen Daten übertragen, wie in Anhang I.A aufgeführt (im Folgenden jeweils „Datenexporteur“), und
    2. die Entität(en) in einem Drittland, die die Daten direkt oder indirekt über eine andere Entität, die auch Partei dieses Vertrages ist, von einem Datenexporteur erhalten, wie in Anhang I.A aufgeführt (im Folgenden „Datenimporteur“) haben sich auf diese Standardvertragsklausel (im Folgenden: „Klauseln“) geeinigt.
  3. Diese Klauseln gelten im Hinblick auf die Übertragung personenbezogener Daten, wie in Anhang I.B festgelegt.
  4. Die Anlage dieser Klauseln, die die Anhänge enthält, auf die darin Bezug genommen wird, ist wesentlicher Bestandteil dieser Klauseln.

Klausel 2

Wirksamkeit und Unveränderlichkeit der Klauseln

  1. Diese Klauseln enthalten angemessen Schutzvorkehrungen, einschließlich durchsetzbarer Rechte betroffener Personen und wirksamer Rechtsbehelfe, gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 und, in Bezug auf Datenübertragungen von Verantwortlichen an Verarbeiter und/oder Verarbeiter an Verarbeiter, Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679, sofern sie nicht geändert werden, außer um das/die geeignete(n) Modul(e) auszuwählen oder um Informationen in der Anlage hinzuzufügen oder zu aktualisieren. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfassenderen Vertrag einzubeziehen und/oder andere Klauseln oder zusätzliche Schutzvorkehrungen hinzuzufügen, soweit sie diesen Klauseln nicht direkt oder indirekt widersprechen oder die Grundrechte und -freiheiten der betroffenen Personen beeinträchtigen.
  2. Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Datenexporteur gemäß der Verordnung (EU) 2016/679 unterliegt.

Klausel 3

Drittbegünstigte

  1. Betroffene Personen können diese Klauseln als Drittbegünstigte gegenüber dem Datenexporteur und/oder Datenimporteur geltend machen und durchsetzen: dabei gelten folgende Ausnahmen:
    1. Klausel 1, Klausel 2, Klausel 3, Klausel 6, Klausel 7;
    2. Klausel 8.1(b), 8.9(a), (c), (d) und (e);
    3. Klausel 9(a), (c), (d) und (e);
    4. Klausel 12(a), (d) und (f);
    5. Klausel 13;
    6. Klausel 15.1(c), (d) und (e);
    7. Klausel 16(e); (viii) Klausel 18(a) und (b).
  2. Buchstabe a gilt unbeschadet der Rechte der betroffenen Personen gemäß Verordnung (EU) 2016/679.

Klausel 4

Auslegung

  1. Wenn in diesen Klauseln Begriffe verwendet werden, die in Verordnung (EU) 2016/679 definiert sind, haben diese Begriffe dieselbe Bedeutung wie in der Verordnung.
  2. Diese Klauseln müssen angesichts der Bestimmungen der Verordnung (EU) 2016/679 gelesen und ausgelegt werden.
  3. Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die im Widerspruch zu den rechten und Verpflichtungen gemäß der Verordnung (EU) 2016/679 steht.

Klausel 5

Hierarchie

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen verwandter Verträge zwischen den Parteien, die bei Vereinbarung dieser Klauseln bereits bestehen oder im Nachhinein abgeschlossen werden, sind diese Klauseln maßgebend.

Klausel 6

Beschreibung der Übertragung(en)

Die Einzelheiten der Übertragung(en), und insbesondere die Kategorien der übertragenen personenbezogenen Daten sowie der/die Zweck(e) der Übertragung, sind in Anhang I.B dargelegt.

Klausel 7 – ABSICHTLICH AUSGELASSEN

ABSCHNITT II – VERPFLICHTUNGEN DER PARTEIEN

Klausel 8

Datenschutzgarantien

Der Datenexporteur garantiert, dass er vernünftige Anstrengungen unternommen hat, um festzustellen, dass der Datenimporteur durch die Einführung angemessener technischer und organisatorischer Sicherheitsmaßnahmen in der Lage ist, seinen Verpflichtungen gemäß diesen Klauseln nachzukommen.

8.1 Anweisungen

  1. Der Datenimporteur darf die personenbezogenen Daten nur auf dokumentierte Anweisung des Datenexporteurs hin verarbeiten. Der Datenexporteur kann diese Anweisungen während der gesamten Vertragslaufzeit geben.
  2. Der Datenimporteur hat den Datenexporteur unverzüglich zu informieren, wenn er nicht in der Lage ist, diesen Anweisungen Folge zu leisten.

8.2 Zweckbindung

Der Datenimporteur darf die personenbezogenen Daten nur für den/die bestimmten Zweck(e) der Übertragung verarbeiten, wie in Anhang I.B beschrieben, es sei denn, es liegen weitere Anweisungen des Datenexporteurs vor.

8.3 Transparenz

Auf Anfrage stellt der Datenexporteur der betroffenen Person unentgeltlich eine Kopie dieser Klauseln, einschließlich der von den Parteien ausgefüllten Anlage, zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich der in Anhang II beschriebenen Maßnahmen und der personenbezogenen Daten, kann der Datenexporteur Teile des Textes der Anlage dieser Klauseln vor der Weitergabe einer Kopie unkenntlich machen, muss jedoch eine aussagekräftige Zusammenfassung bereitstellen, wenn die betroffene Person andernfalls nicht in der Lage wäre, die Inhalte zu verstehen oder ihre Rechte auszuüben. Auf Anfrage nennen die Parteien der betroffenen Person die Gründe für die Unkenntlichmachung, sofern dies möglich ist, ohne unkenntlich gemachte Informationen offenzulegen. Diese Klausel gilt unbeschadet der Verpflichtungen des Datenexporteurs gemäß Artikel 13 und 14 der Verordnung (EU) 2016/679.

8.4 Richtigkeit

Wenn dem Datenimporteur bewusst wird, dass die von ihm erhaltenen personenbezogenen Daten falsch oder veraltet sind, hat er den Datenexporteur unverzüglich zu informieren. In diesem Fall muss der Datenimporteur mit dem Datenexporteur zusammenarbeiten, um die Daten zu löschen oder zu berichtigen.

8.5 Verarbeitungsdauer und Löschung oder Rückgabe von Daten

Die Verarbeitung durch den Datenimporteur erfolgt ausschließlich für die in Anhang I.B festgelegte Dauer. Nach Beendigung der Erbringung der Verarbeitungsdienste löscht der Datenimporteur auf Wunsch des Datenexporteurs alle im Namen des Datenexporteurs verarbeiteten personenbezogenen Daten und bestätigt dies dem Datenexporteur, oder gibt alle im Namen des Datenexporteurs verarbeiteten personenbezogenen Daten an den Datenexporteur zurück und löscht bestehende Kopien. Bis die Daten gelöscht oder zurückgegeben wurden, hat der Datenimporteur die Einhaltung der Klauseln sicherzustellen. Falls für den Datenimporteur lokale Gesetze gelten, die die Rückgabe oder Löschung der übertragenen personenbezogenen Daten verbieten, garantiert der Datenimporteur, dass er die Einhaltung der Klauseln weiterhin sicherstellt und die Daten nur in dem Ausmaß und für den Zeitraum verarbeitet, wie nach diesen lokalen Gesetzen erforderlich. Dies gilt unbeschadet der Klausel 14, insbesondere der Verpflichtung des Datenimporteurs nach Klausel 14 Buchstabe e, den Datenexporteur während der gesamten Vertragsdauer zu benachrichtigen, wenn er Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterworfen wurde, die nicht mit den Anforderungen nach Klausel 14 Buchstabe e in Einklang stehen.

8.6 Verarbeitungssicherheit

  1. Der Datenimporteur und während der Übertragung auch der Datenexporteur hat/haben angemessene technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes gegen eine Sicherheitsverletzung, die zu einer/einem unbeabsichtigten oder unrechtmäßigen Zerstörung, Verlust, Änderung, ungenehmigten Offenlegung oder Zugriff zu diesen Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Bewertung des angemessenen Sicherheitsniveaus müssen die Parteien den Stand der Technik, die Kosten der Einführung, die Art, den Umfang, den Kontext und den/die Zweck(e) der Verarbeitung sowie die mit der Verarbeitung verbundenen Risiken für die betroffenen Personen angemessen berücksichtigen. Die Parteien müssen insbesondere den Rückgriff auf Verschlüsselung oder Pseudonymisierung in Erwägung ziehen, auch während der Übertragung, wenn der Zweck der Verarbeitung auf diese Weise erfüllt werden kann. Im Falle der Pseudonymisierung bleiben die zusätzlichen Informationen zur Zuordnung von personenbezogenen Daten zu einer bestimmten betroffenen Person nach Möglichkeit unter der ausschließlichen Kontrolle des Datenexporteurs. Bei der Erfüllung seiner Pflichten gemäß diesem Abschnitt muss der Datenimporteur mindestens die in Anhang II aufgeführten technischen und organisatorischen Maßnahmen ergreifen. Der Datenimporteur hat regelmäßige Checks durchzuführen, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Sicherheitsniveau bieten.
  2. Der Datenimporteur hat seinen Beschäftigten nur insoweit Zugriff auf die personenbezogenen Daten zu gewähren, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Er muss sichergehen, dass sich die Personen, die zur Verarbeitung der personenbezogenen Daten berechtigt sind, zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
  3. Im Falle einer Verletzung des Schutzes personenbezogener Daten, die die vom Datenimporteur gemäß diesen Klauseln verarbeiteten personenbezogenen Daten betrifft, hat der Datenimporteur geeignete Maßnahmen zu ergreifen, um die Verletzung anzugehen, einschließlich Maßnahmen zur Abschwächung ihrer möglichen nachteiligen Auswirkungen. Der Datenimporteur benachrichtigt auch den Datenexporteur unverzüglich, nachdem er von der Verletzung erfahren hat. Eine solche Benachrichtigung enthält die Angaben zu einer Kontaktstelle bei der weitere Informationen eingeholt werden können, eine Beschreibung der Art der Verletzung (möglichst einschließlich der Kategorien und der ungefähren Anzahl an betroffenen Personen und der betroffenen personenbezogenen Datensätze), die voraussichtlichen Folgen der Verletzung und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung, gegebenenfalls einschließlich Maßnahmen zur Abschwächung ihrer möglichen nachteiligen Auswirkungen. Wenn es nicht möglich ist, alle Informationen gleichzeitig zur Verfügung zu stellen, so enthält die erste Benachrichtigung die zu diesem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, unverzüglich nachgereicht.
  4. Der Datenimporteur arbeitet mit dem Datenexporteur zusammen und unterstützt ihn, damit der Datenexporteur seinen Verpflichtungen gemäß der Verordnung (EU) 2016/679 nachkommen kann, insbesondere bei der Benachrichtigung der zuständigen Aufsichtsbehörde und der betroffenen Personen, wobei die Art der Verarbeitung und die dem Datenimporteur zur Verfügung stehenden Informationen berücksichtigt werden.

8.7 Sensible Daten

Wenn die Übertragung personenbezogene Daten betrifft, aus denen rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, die Gewerkschaftszugehörigkeit, genetische Daten oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Daten über Gesundheit oder das Sexualleben oder die sexuelle Orientierung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten (im Folgenden „sensible Daten“) hervorgehen, wendet der Datenimporteur die in Anhang I.B beschriebenen besonderen Beschränkungen und/oder zusätzliche Schutzvorkehrungen an.

8.8 Weitergehende Übertragungen

Der Datenimporteur darf die personenbezogenen Daten nur auf dokumentierte Anweisung des Datenexporteurs hin an einen Dritten weitergegeben werden. Darüber hinaus dürfen die Daten nur dann an einen Dritten außerhalb der Europäischen Union (im selben Land wie der Datenimporteur oder in einem anderen Drittland, im Folgenden „weitergehende Übertragung“) weitergegeben werde, wenn der Dritte im Rahmen des entsprechenden Moduls an diese Klauseln gebunden ist oder sich damit einverstanden erklärt, oder wenn:

  1. die weitergehende Übertragung in ein Land erfolgt, für das ein Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 gilt, der die weitergehende Übertragung abdeckt;
  2. der Dritte anderweitig angemessene Schutzvorkehrungen gemäß Artikel 46 oder 47 der Verordnung (EU) 2016/679 in Bezug auf die betreffende Verarbeitung sicherstellt;
  3. die weitergehende Übertragung für die Begründung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen eines bestimmten Verwaltungs-, Aufsichts- oder Gerichtsverfahrens erforderlich ist; oder (iv) die weitergehende Übertragung erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
  4. Jede weitergehende Übertragung unterliegt der Einhaltung aller anderen Schutzvorkehrungen dieser Klauseln durch den Datenimporteur, insbesondere der Zweckbindung.

8.9 Dokumentation und Einhaltung der Klauseln

  1. Der Datenimporteur hat Anfragen des Datenexporteurs, die sich auf die Verarbeitung gemäß diesen Klauseln bezieht, unverzüglich und angemessen zu bearbeiten.
  2. Die Parteien müssen in der Lage sein, die Einhaltung dieser Klauseln nachzuweisen. Insbesondere muss der Datenimporteur eine angemessene Dokumentation über die im Auftrag des Datenexporteurs durchgeführten Verarbeitungstätigkeiten führen.
  3. Der Datenimporteur stellt dem Datenexporteur alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in diesen Klauseln festgelegten Verpflichtungen nachzuweisen, und ermöglicht auf Anfrage des Datenexporteurs in angemessenen Zeitabständen oder bei Anzeichen für eine Nichteinhaltung Audits der unter diesen Klauseln fallenden Verarbeitungstätigkeiten und trägt zu diesen bei. Bei der Entscheidung über eine Überprüfung oder ein Audit kann der Datenexporteur die einschlägigen Zertifizierungen des Datenimporteurs berücksichtigen.
  4. Der Datenexporteur kann den Audit selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Audits können Inspektionen an den Standorten oder physischen Einrichtungen des Datenimporteurs umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.
  5. Die Parteien stellen der zuständigen Aufsichtsbehörde auf Anfrage die unter den Buchstaben b und c aufgeführten Informationen, einschließlich der Ergebnisse jeglicher Audits, zur Verfügung.

Klausel 9

Verwendung von Weiterverarbeitern

  1. Der Datenimporteur hat die allgemeine Berechtigung des Datenexporteurs, Weiterverarbeiter von einer vereinbarten Liste einzusetzen. Der Datenimporteur hat speziell den Datenexporteur schriftlich über jegliche geplanten Änderungen an dieser Liste durch Hinzufügen oder Ersetzen von Weiterverarbeitern mindestens fünfzehn (15) Tage im Voraus zu informieren, und dem Datenexporteur auf diese Weise ausreichend Zeit zu geben, diesen Änderungen vor der Beschäftigung der Weiterverarbeiter zu widersprechen. Der Datenimporteur muss dem Datenexporteur die nötigen Informationen zur Ausübung seines Widerspruchsrecht zur Verfügung stellen.
  2. Wenn der Datenimporteur einen Weiterverarbeiter beschäftigt, um spezielle Verarbeitungsaktivitäten (im Auftrag des Datenexporteurs) durchzuführen, muss er dies in Form eines schriftlichen Vertrags tun, der im Wesentlichen dieselben Datenschutzverpflichtungen enthält, an die der Datenimporteur gemäß diesen Klauseln gebunden ist, einschließlich im Hinblick auf Drittbegünstigtenrechte für betroffene Personen. Die Parteien vereinbaren, dass der Datenimporteur durch Einhaltung dieser Klausel seine Verpflichtungen gemäß Klausel 8.8 erfüllt. Der Datenimporteur muss sicherstellen, dass der Weiterverarbeiter die Verpflichtungen erfüllt, die für den Datenimporteur gemäß diesen Klauseln gelten.
  3. Der Datenimporteur hat eine Kopie des Weiterverarbeitervertrages und aller darauffolgenden Zusätze auf Anfrage des Datenexporteurs zur Verfügung zu stellen. Soweit dies zum Schutz der Geschäftsgeheimnisse oder anderer vertraulicher Informationen, einschließlich personenbezogener Daten, notwendig ist, kann der Datenimporteur den Vertragstext vor der Weitergabe einer Kopie zensieren.
  4. Der Datenimporteur trägt die volle Verantwortung gegenüber dem Datenexporteur für die Erfüllung der Verpflichtungen durch den Weiterverarbeiter gemäß dessen Vertrag mit dem Datenimporteur. Der Datenimporteur muss den Datenexporteur über jegliches Versäumnis des Weiterverarbeiters, seinen Vertragsverpflichtungen nachzukommen, informieren.
  5. Der Datenimporteur muss mit dem Weiterverarbeiter eine Drittbegünstigtenklausel vereinbaren, nach der – falls der Datenimporteur faktisch oder rechtlich nicht mehr besteht oder insolvent ist – der Datenexporteur das Recht hat, den Vertrag des Weiterverarbeiters zu beenden und den Weiterverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

Klausel 10

Rechte der betroffenen Personen

  1. Der Datenimporteur benachrichtigt den Datenexporteur unverzüglich über alle Anträge, die er von einer betroffenen Person erhält. Er antwortet nicht selbst auf diesen Antrag, es sei denn, er wurde vom Datenexporteur dazu ermächtigt.
  2. Der Datenimporteur unterstützt den Datenexporteur bei der Erfüllung seiner Verpflichtungen zur Beantwortung von Anträgen betroffener Personen auf Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679. Zu diesem Zweck legen die Parteien in Anhang II die geeigneten technischen und organisatorischen Maßnahmen unter Berücksichtigung der Art der Verarbeitung fest, mit denen die Unterstützung geleistet werden soll, sowie den Umfang und das Ausmaß der erforderlichen Unterstützung.
  3. Bei der Erfüllung seiner Verpflichtungen nach den Buchstaben a und b hat der Datenimporteur die Anweisungen des Datenexporteurs zu befolgen.

Klausel 11

Abhilfe

  1. Der Datenimporteur hat die betroffenen Personen in einer transparenten und einfach zugänglichen Form, durch individuelle Nachrichten oder auf seiner Website, über eine zur Bearbeitung von Beschwerden berechtigte Kontaktstelle zu informieren. Diese hat sich unverzüglich um Beschwerden zu kümmern, die sie von betroffenen Personen erhält.
  2. Im Fall eines Konflikts zwischen einer betroffenen Person und einer der Parteien bezüglich der Einhaltung dieser Klauseln, muss diese Partei bestmöglich dafür sorgen, dass diese Unstimmigkeit gütlich in einem angemessenen Zeitrahmen beigelegt wird. Die Parteien haben sich über solche Streitigkeiten informiert zu halten und gegebenenfalls zusammenzuarbeiten, um diese beizulegen.
  3. Wenn sich eine betroffene Person auf ihre Rechte als Drittbegünstigte gemäß Klausel 3 beruft, muss der Datenimporteur folgende Entscheidungen der betroffenen Person annehmen:
    1. Einlegen einer Beschwerde bei der Aufsichtsbehörde des Mitgliedstaates, in der ihr gewöhnlicher Aufenthaltsort oder Arbeitsplatz liegt, oder bei der zuständigen Aufsichtsbehörde nach Klausel 13;
    2. Verweisen der Streitigkeit an die zuständigen Gerichte gemäß Klausel 18.
  4. Die Parteien stimmen zu, dass die betroffene Person gemäß der Bedingungen in Artikel 80 Absatz 1 der Verordnung (EU) 2016/679 von einer gemeinnützigen Einrichtung, Organisation oder Vereinigung vertreten werden kann.
  5. Der Datenimporteur hat den nach den anwendbaren EU- oder Mitgliedstaat-Gesetzen verbindlichen getroffenen Entscheidungen Folge zu leisten.
  6. Der Datenimporteur erklärt sich einverstanden, dass die Wahl der betroffenen Person ihre materiellen und Verfahrensrechte, Rechtsmittel in Übereinstimmung mit den geltenden Gesetzen einzulegen, nicht beeinträchtigt.

Klausel 12

Haftung

  1. Jede Partei haftet gegenüber der anderen Partei(en) für jegliche Schäden, die aufgrund der Nichteinhaltung dieser Klauseln entstehen.
  2. Der Datenimporteur haftet gegenüber der betroffenen Person und die betroffene Person hat Anspruch auf Entschädigung für jegliche materielle oder immaterielle Schäden, die ihr aufgrund eines Verstoßes des Datenimporteurs oder seiner Weiterverarbeiter gegen die Drittbegünstigtenrechte gemäß diesen Klauseln entstanden sind.
  3. Ungeachtet Buchstabe b haftet der Datenexporteur gegenüber der betroffenen Person und die betroffene Person hat Anspruch auf Entschädigung für jegliche materielle oder immaterielle Schäden, die ihr aufgrund eines Verstoßes des Datenexporteurs oder Datenimporteurs (oder seiner Weiterverarbeiter) gegen die Drittbegünstigtenrechte gemäß diesen Klauseln entstanden sind. Dies gilt unbeschadet der Haftung des Datenverantwortlichen und, falls der Datenexporteur ein Verarbeiter ist, der im Namen eines Verantwortlichen agiert, unbeschadet der Haftung des Verantwortlichen gemäß Verordnung (EU) 2016/679 oder Verordnung (EU) 2018/1725, soweit anwendbar.
  4. Die Parteien vereinbaren, dass der Datenexporteur, falls er gemäß Buchstabe c für Schäden haftbar gemacht wird, die ihm aufgrund des Datenimporteurs (oder seiner Weiterverarbeiter) entstanden sind, ist er berechtigt, den Teil der Entschädigung zurückzufordern, der sich auf die Verantwortlichkeit des Datenimporteurs für den Schaden bezieht.
  5. Wenn mehr als eine Partei aufgrund eines Verstoßes gegen diese Klauseln für Schäden verantwortlich sind, die der betroffenen Person entstanden sind, haften alle verantwortlichen Parteien gesamtschuldnerisch und die betroffene Person hat das Recht, gegen jede dieser Parteien Klage zu erheben.
  6. Die Parteien stimmen überein, dass eine Partei, die gemäß Buchstabe e haftbar gemacht wird, berechtigt ist, den Teil der Entschädigung von der/den andere(n) Partei(en) zurückzufordern, der sich auf deren Verantwortlichkeit für den Schaden bezieht.
  7. Der Datenimporteur kann nicht auf das Verhalten eines Weiterverarbeiters berufen, um seine eigene Haftung zu umgehen.

Klausel 13

Aufsicht

  1. Die Aufsichtsbehörde, die für die Einhaltung der Verordnung (EU) 2016/679 durch den Datenexporteur in Bezug auf die Datenübertragung verantwortlich ist, wie in Anhang I.C angegeben, agiert als zuständige Aufsichtsbehörde.
  2. Der Datenimporteur erklärt sich bereit, sich der Rechtsprechung der zuständigen Aufsichtsbehörde zu unterwerfen und mit ihr bei allen Verfahren zusammenzuarbeiten, die darauf abzielen, die Einhaltung dieser Klauseln zu gewährleisten. Insbesondere stimmt der Datenimporteur zu, auf Anfragen zu reagieren, sich Audits zu unterziehen und die von der Aufsichtsbehörde erlassenen Maßnahmen, einschließlich Abhilfe- und Ausgleichsmaßnahmen, zu befolgen. Er bestätig der Aufsichtsbehörde in schriftlicher Form, dass die erforderlichen Maßnahmen ergriffen wurde.

ABSCHNITT III – LOKALE GESETZE UND VERPFLICHTUNGEN IM FALLE VON ZUGRIFF DURCH BEHÖRDEN

Klausel 14

Lokale Gesetze und Praktiken, die die Einhaltung der Klauseln beeinträchtigen

  1. Die Parteien garantieren, dass sie keinen Grund zu der Annahme haben, dass die Gesetze und Praktiken für die Verarbeitung personenbezogener Daten durch den Datenimporteur im Bestimmungsdrittland, einschließlich etwaiger Vorschriften über die Offenlegung personenbezogener Daten oder Maßnahmen zur Genehmigung des Zugriffs von Behörden, den Datenimporteur daran hindern, seinen Verpflichtung gemäß diesen Klauseln nachzukommen. Dies beruht auf dem Verständnis, dass Gesetze und Praktiken, die den Kern der Grundrechte und -freiheiten respektieren und nicht über das hinausgehen, was in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 genannten Ziele zu schützen, nicht im Widerspruch zu diesen Klauseln stehen.
  2. Die Parteien erklären, dass sie bei der Bereitstellung der unter Buchstabe a genannten Garantie insbesondere folgende Punkte gebührend berücksichtigt haben:
    1. die besonderen Umstände der Übertragung, einschließlich der Lände der Verarbeitungskette, der Anzahl der beteiligten Akteure und die verwendeten Übertragungskanäle; beabsichtigte Weiterübertragungen; die Art des Empfängers; der Zweck der Verarbeitung, die Kategorien und das Format der übertragenen personenbezogenen Daten; der Wirtschaftssektor, in dem die Übertragung erfolgt; der Speicherort der übertragenen Daten:
    2. die Gesetze und Praktiken des Bestimmungsdrittlandes – einschließlich derer, die die Offenlegung der Daten an Behörden vorschreiben oder den Zugriff solcher Behörden genehmigen – , die in Anbetracht der besonderen Umstände der Übertragung von Bedeutung sind, sowie die geltenden Beschränkungen und Schutzvorkehrungen;
    3. alle relevanten vertraglichen, technischen oder organisatorischen Schutzvorkehrungen, die zur Ergänzung der Schutzvorkehrungen gemäß diesen Klauseln eingeführt wurden, einschließlich Maßnahmen, die während der Übertragung und der Verarbeitung der personenbezogenen Daten im Bestimmungsland angewandt werden.
  3. Der Datenimporteur gewährleistet, dass er sich bei der Durchführung der Bewertung gemäß Buchstabe b bestmöglich bemüht hat, dem Datenexporteur einschlägige Informationen zur Verfügung zu stellen, und erklärt sich bereit, weiterhin mit dem Datenexporteur zusammenzuarbeiten, um die Einhaltung dieser Klauseln sicherzustellen.
  4. Die Parteien vereinbaren die Bewertung gemäß Buchstabe b zu dokumentieren und der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
  5. Der Datenimporteur erklärt sich einverstanden, den Datenexporteur unverzüglich zu benachrichtigen, wenn er nach der Zustimmung zu diesen Klauseln und während der Laufzeit des Vertrags Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterworfen wurde, die nicht mit den Anforderungen nach Buchstabe a in Einklang sind, einschließlich einer Änderung der Gesetze des Drittlandes oder einer Maßnahme (z. B. eines Antrags zur Offenlegung), die auf eine Anwendung dieser Gesetze in der Praxis hinweist, die nicht mit den Anforderungen nach Buchstabe a in Einklang ist.
  6. Nach einer Benachrichtigung gemäß Buchstabe e oder wenn der Datenexporteur anderweitig Grund zu der Annahme hat, dass der Datenimporteur seinen Verpflichtungen gemäß diesen Klauseln nicht mehr nachkommen kann, legt der Datenexporteur unverzüglich geeignete Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit) fest, die vom Datenexporteur und/oder Datenimporteur zu ergreifen sind, um mit der Situation entsprechend umzugehen. Der Datenexporteur hat die Datenübertragung auszusetzen, wenn er der Ansicht ist, dass keine angemessenen Schutzvorkehrungen für eine solche Übertragung sichergestellt werden können, oder wenn er von der zuständigen Aufsichtsbehörde dazu angewiesen wurde. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit es die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft. Wenn der Vertrag mehr als zwei Parteien betrifft, kann der Datenexporteur dieses Kündigungsrecht nur im Hinblick auf die entsprechende Partei ausüben, es sei denn, die Parteien haben sich anderweitig geeinigt. Wenn der Vertrag gemäß diesen Klausel gekündigt wird, gilt Klausel 16(d) und (e).

Klausel 15

Verpflichtungen des Datenimporteurs im Fall von Zugriff durch öffentliche Behörden

15.1 Benachrichtigung

  1. Der Datenimporteur willigt ein, den Datenexporteur und wenn möglich auch die betroffene Person (gegebenenfalls mit der Hilfe des Datenexporteurs) unmittelbar zu benachrichtigen, wenn er:
    1. einen rechtlich verbindlichen Antrag einer Behörde, einschließlich Justizbehörden, gemäß der Gesetze des Bestimmungslandes auf Offenlegung personenbezogener Daten erhält, die entsprechend dieser Klauseln übertragen wurden; eine solche Benachrichtigung muss Informationen über die beantragten personenbezogenen Daten, die beantragende Behörde, die rechtliche Basis für den Antrag sowie die bereitgestellte Antwort enthalten; oder
    2. von dem direkten Zugriff einer Behörde auf personenbezogene Daten, die entsprechend dieser Klauseln übertragen wurden, in Übereinstimmung der Gesetze des Bestimmungslandes erfährt; eine solche Benachrichtigung muss alle dem Datenimporteur verfügbaren Informationen enthalten.
  2. Sollte es dem Datenimporteur untersagt sein, den Datenexporteur und/oder die betroffene Person gemäß der Gesetze des Bestimmungslandes zu benachrichtigen, willigt der Datenimporteur ein, bestmöglich dafür zu sorgen, einen Verzicht des Verbots zu erhalten, in der Absicht, möglichst viele Informationen so schnell wie möglich weiterzugeben. Der Datenimporteur willigt ein, seine bestmöglichen Bemühungen zu dokumentieren, um sie auf Anfrage des Datenexporteurs vorzeigen zu können.
  3. Sofern gemäß den Gesetzen des Bestimmungslandes erlaubt, willigt der Datenimporteur ein, dem Datenexporteur in regelmäßigen Zeitabständen und während des gesamten Vertragslaufzeit so viel relevante Informationen wie möglich zu den erhaltenen Anträgen (insbesondere die Anzahl der Anträge, die Art der beantragten Daten, die beantragende(n) Behörde(n), ob Anträge angefochten wurden und das Ergebnis solcher Anfechtungen usw.) bereitzustellen.
  4. Der Datenimporteur erklärt sich bereit, die Informationen gemäß den Buchstaben a bis c während der Vertragslaufzeit zu erhalten und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
  5. Die Buchstaben a bis c gelten unbeschadet der Verpflichtungen des Datenimporteurs gemäß Klausel 14(e) und Klausel 16, den Datenexporteur unverzüglich zu informieren, wenn er den Bedingungen der Klauseln nicht nachkommen kann.

15.2 Kontrolle der Rechtmäßigkeit und Datensparsamkeit

  1. Der Datenimporteur erklärt sich einverstanden, die Rechtmäßigkeit des Antrags auf Offenlegung zu prüfen, insbesondere, ob die anfordernde Behörde dazu berechtigt ist, und den Antrag anzufechten, sollte er nach sorgfältiger Prüfung zu dem Schluss kommen, dass hinreichende Gründe zur Annahme vorliegen, dass der Antrag entsprechend den Gesetzen des Bestimmungslandes, anwendbaren Verpflichtungen gemäß internationalem Recht und den Grundsätzen der Völkercourtoisie unrechtmäßig ist. Der Datenimporteur hat der Möglichkeit eines Rechtsmittels unter denselben Bedingungen nachzugehen. Bei der Anfechtung eines Antrags muss der Datenimporteur einstweilige Maßnahmen einführen, in der Absicht, die Auswirkungen des Antrags auszusetzen, bis die zuständige Justizbehörde eine Entscheidung unter Berücksichtigung der Gegebenheiten gefällt hat. Er darf die beantragten personenbezogenen Daten nicht offenlegen, bis dies gemäß den geltenden Verfahrensregeln erforderlich ist. Diese Vorschriften gelten unbeschadet der Verpflichtungen des Datenimporteurs gemäß Klausel 14(e).
  2. Der Datenimporteur stimmt zu, seine rechtliche Beurteilung und jegliche Anfechtungen eines Offenlegungsantrags zu dokumentieren und, soweit gemäß den Gesetzen des Bestimmungslandes zulässig, dem Datenexporteur diese Dokumentation zur Verfügung zu stellen. Er muss sie außerdem der zuständigen Aufsichtsbehörde auf Anfrage zugänglich machen.
  3. Der Datenimporteur erklärt sich einverstanden, die zulässige Mindestmenge an Informationen basierend auf einer vernünftigen Auslegung des Antrags bereitzustellen, wenn er auf einen Offenlegungsantrag reagiert.

ABSCHNITT IV – SCHLUSSBESTIMMUNGEN

Klausel 16

Nichteinhaltung der Klauseln und Kündigung

  1. Der Datenimporteur hat den Datenexporteur unmittelbar zu informieren, wenn er die Einhaltung der Klauseln aus einem beliebigen Grund nicht gewährleisten kann.
  2. Im Fall, dass der Datenimporteur gegen diese Klauseln verstößt oder deren Einhaltung nicht gewährleisten kann, muss der Datenexporteur die Übertragung der personenbezogenen Daten an den Datenimporteur aussetzen, bis die Einhaltung wieder sichergestellt oder der Vertrag gekündigt ist. Dies gilt unbeschadet der Klausel 14(f).
  3. Der Datenexporteur ist berechtigt, den Vertrag in Belangen der Verarbeitung personenbezogener Daten gemäß diesen Klauseln zu kündigen, wenn:
    1. der Datenexporteur die Übertragung personenbezogener Daten an den Datenimporteur entsprechend Buchstabe b ausgesetzt hat und die Einhaltung der Klauseln nicht innerhalb eines vernünftigen Zeitraums und in jedem Fall innerhalb eines Monats nach der Aussetzung wiederhergestellt wurde;
    2. der Datenimporteur materiell oder dauerhaft gegen die Klauseln verstößt; oder
    3. der Datenimporteur es versäumt, einer verbindlichen Entscheiden eines zuständigen Gerichts oder einer zuständigen Aufsichtsbehörde bezüglich seiner Verpflichtungen gemäß diesen Klauseln Folge zu leisten. In diesen Fällen muss er die zuständige Aufsichtsbehörde über eine solche Nichteinhaltung informieren. Wenn der Vertrag zwischen mehr als zwei Parteien geschlossen wird, kann der Datenexporteur Gebrauch von diesem Kündigungsrecht nur in Bezug auf die entsprechende Partei machen, es sei denn, die Parteien haben sich anderweitig geeinigt.
  4. Personenbezogene Daten, die vor Vertragskündigung entsprechend Buchstabe c übertragen wurden, müssen auf Wunsch des Datenexporteurs unverzüglich an den Datenexporteur zurückgegeben oder in ihrer Gesamtheit gelöscht werden. Dasselbe gilt für jegliche Kopien der Daten. Der Datenimporteur hat dem Datenexporteur die Löschung der Daten zu bestätigen. Bis die Daten gelöscht oder zurückgegeben wurden, hat der Datenimporteur die Einhaltung der Klauseln sicherzustellen. Falls für den Datenimporteur lokale Gesetze gelten, die die Rückgabe oder Löschung der übertragenen personenbezogenen Daten verbieten, garantiert der Datenimporteur, dass er die Einhaltung der Klauseln weiterhin sicherstellt und die Daten nur in dem Ausmaß und für den Zeitraum verarbeitet, wie nach diesen lokalen Gesetzen erforderlich.
  5. Jede Partei kann ihr Einverständnis, an diese Klauseln gebunden zu sein, widerrufen, wenn (i) die Europäische Kommission einen Beschluss gemäß Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 erlässt, der die Übertragung personenbezogener Daten abdeckt, für die diese Klauseln gelten, oder (ii) die Verordnung (EU) 2016/679 Teil des rechtlichen Rahmens des Landes wird, in das die personenbezogenen Daten übertragen werden. Dies gilt unbeschadet anderer Verpflichtungen, die für die betreffende Verarbeitung gemäß Verordnung (EU) 2016/679 gelten.

Klausel 17

Maßgebendes Recht

Diese Klauseln unterliegen dem Recht eines EU-Mitgliedstaates, sofern diese Recht Drittbegünstigtenrechte zulässt. Die Parteien vereinbaren, dass dieses Recht das der Bundesrepublik Deutschland ist.

Klausel 18

Wahl des Gerichtsstands und der Zuständigkeit

  1. Für alle Streitigkeiten, die sich aus diesen Klauseln ergeben, sind die Gerichte eines EU-Mitgliedstaates zuständig.
  2. Die Parteien vereinbaren, dass dies die Gerichte der Bundesrepublik Deutschland sind.
  3. Eine betroffene Person kann auch vor den Gerichten des Mitgliedstaats, in dem sie ihren gewöhnlichen Aufenthalt hat, Klage gegen den Datenexporteur und/oder Datenimporteur erheben.
  4. Die Parteien vereinbaren, sich der Gerichtsbarkeit dieser Gerichte zu unterwerfen.

Anhang I zu den Standardvertragsklauseln

A. LISTE DER PARTEIEN
Datenexporteur(e): Der Datenexporteur ist die Rechtspersönlichkeit, die im Zusatz als „Kunde“ identifiziert wird
Unterschrift und Datum: Ab dem Datum der elektronischen Annahme der Nutzungsbedingungen des Datenimporteurs durch den Datenexporteur, gelten die Standardvertragsklauseln als vom Datenexporteur unterzeichnet.
Rolle: Verantwortlicher

Datenimporteur(e): GoDaddy.com, LLC
Kontaktdaten: Office of the Data Protection Officer – privacy@godaddy.com
Unterschrift und Datum: Ab dem Datum der elektronischen Annahme der Nutzungsbedingungen des Datenimporteurs durch den Datenexporteur, gelten die Standardvertragsklauseln als vom Datenimporteur unterzeichnet.
Rolle: Verarbeiter

B. BESCHREIBUNG DER ÜBERTRAGUNG Kategorien der betroffenen Personen, deren personenbezogene Daten übertragen werden, sind in Anlage 1 des Zusatzes beschrieben.

Kategorien der personenbezogenen Daten, die übertragen werden, sind in Anlage 1 des Zusatzes beschrieben.

Sensible personenbezogene Daten, die übertragen werden, sind in Anlage 1 des Zusatzes beschrieben.

Die Häufigkeit der Übertragung dient als kontinuierliche Basis für die Dauer der Nutzungsbedingungen.

Die Art der Verarbeitung ist in Abschnitt 2.2 und Anlage 1 des Zusatzes beschrieben.

Der/die Zweck(e) der Datenübertragung und weiterer Verarbeitung sind in Abschnitt 2.2 und Anlage 1 des Zusatzes beschrieben.

Der Zeitraum, für den personenbezogene Daten aufbewahrt werden, ist in Anlage 1 des Zusatzes beschrieben.

Für Übertragungen an (Weiter-)Verarbeiter sind der Gegenstand, die Art und die Dauer der Verarbeitung in Anhang III der Standardvertragsklauseln dargelegt.

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE Die zuständige Aufsichtsbehörde ist die Landesbeauftragte für Datenschutz und Informationsfreiheit des Landes Nordrhein-Westfalen (LDI NRW).

Anhang II zu den Standardvertragsklauseln

Die vom Datenimporteur eingeführten technischen und organisatorischen Sicherheitsmaßnahmen sind in Anhang 2 des Zusatzes dargelegt.

Anhang III zu den Standardvertragsklauseln

Die Liste der Weiterverarbeiter ist in Anlage 3 des Zusatzes aufgeführt.

Annex I to the Standard Contractual Clauses

A. LIST OF PARTIES
Data Exporter(s): The data exporter is the entity identified as “Customer” in the Addendum
Signature and date: As of the date of Data Exporter’s electronic acceptance of Data Importer’s Terms of Service, Data Exporter is deemed to have signed these standard contractual clauses.
Role: Controller

Data importer(s): GoDaddy.com, LLC, a Delaware limited liability company
Contact details: Office of the Data Protection Officer – privacy@secureserver.net
Signature and date: As of the date of Data Exporter’s electronic acceptance of Data Importer’s Terms of Service, Data Importer is deemed to have signed these standard contractual clauses.
Role: Processor

B. DESCRIPTION OF TRANSFER Categories of data subjects whose personal data is transferred are described in Appendix 1 of the Addendum.

Categories of personal data transferred are described in Appendix 1 of the Addendum.

Sensitive data transferred are described in Appendix 1 of the Addendum.

The frequency of the transfer is a continuous basis for the duration of the Terms of Service.

Nature of the processing is described in Section 2.2 and Appendix 1 of the Addendum.

Purpose(s) of the data transfer and further processing are described in Section 2.2 and Appendix 1 of the Addendum.

The period for which the personal data will be retained described in Appendix 1 of the Addendum.

For transfers to (sub-) processors, the subject matter, nature and duration of the processing is set forth in Annex III to the Standard Contractual Clauses.

C. COMPETENT SUPERVISORY AUTHORITY The North Rhine-Westphalia State Commissioner for Data Protection and Freedom of Information ('LDI NRW') is the competent supervisory authority.

Annex II to the Standard Contractual Clauses

The technical and organizational security measures implemented by the Data Importer are as in Annex 2 of the Addendum.

Annex III to the Standard Contractual Clauses

List of sub-processors are in Appendix 3 of the Addendum.


Übersetzte Versionen der Verträge und Richtlinien werden nur bereitgestellt, um das Verständnis der englischen Version zu erleichtern. Mit der Bereitstellung von Übersetzungen der Verträge und Richtlinien wird nicht das Ziel verfolgt, eine rechtsverbindliche Vereinbarung zu schaffen, und die Übersetzungen sind kein Ersatz für die Rechtsgültigkeit der englischen Versionen. Im Fall von Widersprüchen oder Konflikten ist immer die englische Version maßgebend für unsere Beziehung und hat Vorrang vor den Bestimmungen in anderen Sprachen.