Richtlinie zur Datenverarbeitung und -übermittlung für Partner, April 2021

Version: 1.1, Gültigkeitsdatum: 9. Oktober 2019

Dieser Nachtrag zur Datenverarbeitung ("Nachtrag") ist Bestandteil der Kooperationsvereinbarung, der Allgemeinen Geschäftsbedingungen, die unter https://www.mews.com/de/terms-conditions/partners-july-2020 ("Allgemeine Geschäftsbedingungen") abrufbar sind, oder einer anderen Vereinbarung (Allgemeine Geschäftsbedingungen oder eine solche andere Vereinbarung wird im Folgenden auch als "Vereinbarung" bezeichnet), die zwischen Mews' Partner, wie in der jeweiligen Vereinbarung definiert ("Mews") und dir ("Partner"). Dieser Nachtrag ergänzt die Laufzeiten der zwischen Mews und dem Partner geschlossenen Vereinbarung. Im Falle widersprüchlicher Bestimmungen zwischen der Vereinbarung und diesem Nachtrag hat dieser Nachtrag Vorrang, es sei denn, die Parteien vereinbaren ausdrücklich und schriftlich spezifische Abweichungen von diesem Nachtrag in der Vereinbarung.

Für die Zwecke dieses Nachtrags haben die in Großbuchstaben geschriebenen Begriffe die folgenden Bedeutungen.  Großgeschriebene Begriffe, die hier nicht anders definiert sind, haben die Bedeutung, die ihnen im Vertrag oder in den Allgemeinen Geschäftsbedingungen gegeben wird.

"Verbundene(s) Unternehmen" bedeutet in Bezug auf ein Unternehmen, dass das "Verbundene Unternehmen" jedes andere Unternehmen ist, das das ursprüngliche Unternehmen direkt oder indirekt kontrolliert, von ihm kontrolliert wird oder unter direkter oder indirekter gemeinsamer Kontrolle steht. Ein Unternehmen beherrscht ein anderes Unternehmen, wenn es entweder direkt oder indirekt (i) 20 % oder mehr der Anteile mit gewöhnlichen Stimmrechten für die Wahl der Manager/Geschäftsführerinnen dieses Unternehmens besitzt; oder (ii) die Macht hat, die Leitung oder die Politik des anderen Unternehmens zu bestimmen oder zu veranlassen, sei es durch den Besitz von stimmberechtigten Wertpapieren, durch einen Vertrag oder auf andere Weise;

"Autorisierter Benutzer" ist eine Person, die vom Partner ermächtigt wurde, auf die Plattform Mews und/oder das Konto Mews zuzugreifen und Anweisungen an Mewszu erteilen sowie Mitteilungen von zu erhalten, unabhängig davon, ob dies über die Plattform Mews , das Konto Mews , per E-Mail oder auf andere Weise geschieht;

"Verantwortlicher" ist eine Person oder Einrichtung, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt;

"Datenschutzgesetzgebung" bezeichnet die DSVGO und/oder jede andere anwendbare Datenschutzgesetzgebung des Landes, in dem Mews Mitglied ist, wie in der Vereinbarung definiert;

"Betroffene Person" ist die identifizierte oder identifizierbare Person, auf die sich die personenbezogenen Daten beziehen;

"DSVGO" ist die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung);

"Personenbezogene Daten" sind alle Informationen, die sich auf (i) eine identifizierte oder identifizierbare natürliche Person und/oder (ii) eine identifizierte oder identifizierbare juristische Person beziehen (sofern diese Informationen durch die Datenschutzgesetze ähnlich wie Daten, die eine lebende Person identifizieren, geschützt sind); für die Zwecke dieses Nachtrags gehören dazu auch personenbezogene Daten der Gäste, d.h. Daten in den Kontaktformularen, Kontakt- und Identifizierungsinformationen, einschließlich Name, Titel, E-Mail-Adresse und Adresse, Ausweis- und/oder Reisepassnummern, Zahlungsdetails, Präferenzen der Gäste und Details zu den Services des Partners sowie begrenzte Verbindungs- und Standortdaten (Stadt). Die personenbezogenen Daten enthalten keine besonderen Datenkategorien.

"Verarbeitung" ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, die Strukturierung, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Restriktion, das Löschen oder die Vernichtung; um Zweifel auszuschließen, fällt die Verarbeitung anderer Informationen als personenbezogener Daten (z. B. anonymisierte Daten) zur Verbesserung der Services von Mews nicht in den Anwendungsbereich dieses Zusatzes;

"Auftragsverarbeiter" oder "Unterauftragsverarbeiter" ist eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag eines Verantwortlichen und/oder Auftragsverarbeiters verarbeitet;

"Services" im Sinne dieses Nachtrags sind die von Mews für den Partner gemäß der Vereinbarung erbrachten Services;

"Standardvertragsklauseln" sind die Standardvertragsklauseln (Auftragsverarbeiter) für die Übermittlung personenbezogener Daten gemäß dem Beschluss der EU-Kommission vom 5. Februar 2010 (2010/87/EG), wie in Anhang Nr. 1 dargelegt, oder andere Standardvertragsklauseln, die von der Europäischen Kommission in Zukunft angenommen werden (falls zutreffend);

"Aufsichtsbehörde" ist eine unabhängige öffentliche Behörde, die von einem EU-Mitgliedstaat oder einem anderen Land gemäß der DSVGO oder einem entsprechenden Gesetz eingerichtet wurde.

2.1 Verarbeitung von personenbezogenen Daten

Mews und der Auftragsverarbeiter erkennen an, dass der Partner der Verantwortliche oder der primäre Auftragsverarbeiter in Bezug auf die Verarbeitung der relevanten personenbezogenen Daten ist. Mews verarbeitet personenbezogene Daten nur als Auftragsverarbeiter oder Unterauftragsverarbeiter (je nach Nutzung der Services durch den Partner) im Namen des Partners und nur in dem Umfang und auf die Art und Weise, wie es für die in diesem Nachtrag und in der Vereinbarung festgelegten Zwecke erforderlich ist oder wie es der Partner von Zeit zu Zeit anweist. Wenn Mews vernünftigerweise davon ausgeht, dass eine Anweisung des Partners im Widerspruch steht zu: (i) gegen geltende Gesetze und Vorschriften oder (ii) gegen die Bestimmungen der Vereinbarung oder des Nachtrags verstößt, unternimmt Mews alle zumutbaren Anstrengungen, um den Partner zu informieren, und ist berechtigt, die Ausführung der betreffenden Anweisung so lange aufzuschieben, bis sie vom Partner in dem von Mews geforderten Umfang geändert wurde, um ihn davon zu überzeugen, dass die Anweisung rechtmäßig ist, oder bis sie von Partner und Mews einvernehmlich als rechtmäßig angesehen wird.

3.1 Mews' Verarbeitung von personenbezogenen Daten

Mews behandelt personenbezogene Daten als vertrauliche Informationen und verarbeitet personenbezogene Daten nur im Auftrag und in Übereinstimmung mit den dokumentierten Anweisungen des Partners zu folgenden Zwecken: (i) Verarbeitung in Übereinstimmung mit der Vereinbarung; (ii) Verarbeitung, die von autorisierten Benutzern bei der Nutzung der Services veranlasst wird; und (iii) Verarbeitung zur Erfüllung anderer dokumentierter angemessener Anweisungen des Partners (z. B. per E-Mail), sofern diese Anweisungen mit den Bedingungen der Vereinbarung übereinstimmen. Der Partner beauftragt hiermit Mews , die betroffenen Personen per E-Mail über die Verarbeitung ihrer personenbezogenen Daten im Namen des Partners und über die Möglichkeit zu informieren, die Services von Mews zur Verwaltung der Daten, Buchungen und damit verbundenen Services der betroffenen Personen zu nutzen. Mews muss ein Protokoll über die tatsächlich durchgeführten Betriebsabläufe führen.

3.2 Technische und organisatorische Maßnahmen

Mews unterhält und implementiert angemessene und geeignete technische und organisatorische Maßnahmen, die darauf abzielen, personenbezogene Daten vor versehentlicher oder unrechtmäßiger Zerstörung oder versehentlichem Verlust, Veränderung, unbefugter Offenlegung oder Zugriff zu schützen, sowie in Bezug auf die Sicherheit personenbezogener Daten und der Plattformen, die zur Bereitstellung der Services verwendet werden, wie in der Datenschutzgesetzgebung beschrieben. Bei der Implementierung solcher Maßnahmen ist Mews berechtigt, die derzeitige Standardpraxis zu berücksichtigen, um zu bestimmen, was angemessen ist, sowie die Verhältnismäßigkeit der Kosten für die Implementierung solcher Maßnahmen gegenüber dem potenziellen Schaden für die betroffenen Personen abzuwägen, vor dem die Implementierung dieser Maßnahmen schützen soll.

3.3 Personal

Mews stellt sicher, dass sein Personal, das mit der Verarbeitung personenbezogener Daten befasst ist, über seine Pflichten und Verantwortlichkeiten nach diesem Gesetz informiert ist, eine entsprechende Schulung erhalten hat und über die Vertraulichkeit der personenbezogenen Daten informiert ist.  Das "Personal" sind die Mitarbeiter und/oder Beauftragten, Berater, Unterauftragnehmer oder andere Drittanbieter: (i) die von Mews eingebunden werden, damit sie ihre Verpflichtungen gegenüber dem Partner im Rahmen der Vereinbarung oder des Nachtrags erfüllen können, und (ii) die im Wesentlichen in gleichem Maße wie in der Vereinbarung und dem Nachtrag einer Geheimhaltungspflicht unterliegen. Mews stellt sicher, dass der Zugriff des Personals auf personenbezogene Daten auf die Personen beschränkt ist, die die Services in Übereinstimmung mit der Vereinbarung erbringen, und dass die Vertraulichkeitsverpflichtungen des Personals auch nach Beendigung der Einbindung des Personals bestehen bleiben.

3.4 Benachrichtigungen.

Mews benachrichtigt den Partner so schnell wie wirtschaftlich vertretbar in schriftlicher Form:

3.4.1 jede von einer Person erhaltene Mitteilung über (i) die Rechte einer Person auf Zugang, Änderung, Berichtigung, Löschung oder Sperrung ihrer personenbezogenen Daten; (ii) das Recht einer Person auf Berichtigung, Einschränkung oder Löschung ihrer personenbezogenen Daten, auf Datenübertragbarkeit, auf Widerspruch gegen die Verarbeitung und darauf, nicht einer automatisierten Entscheidungsfindung unterworfen zu werden; und (iii) jede Beschwerde über die Verarbeitung personenbezogener Daten durch den Partner; soweit dies nicht gesetzlich verboten ist, jede Vorladung oder sonstige gerichtliche oder behördliche Bestellung oder jedes Verfahren, das den Zugang zu oder die Offenlegung von personenbezogenen Daten verlangt; 3.4.2 soweit dies nicht gesetzlich verboten ist, von jeder Beschwerde, Mitteilung oder sonstigen Mitteilung, die sich auf die Regelkonformität des Partners mit dem Datenschutz und der Verarbeitung personenbezogener Daten bezieht. Mews 3.4.3 einer wesentlichen Verletzung der Sicherheit der Services, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Weitergabe oder zum unbefugten Zugriff auf personenbezogene Daten führt, von der wir Kenntnis erlangen, in Übereinstimmung mit dem anwendbaren Recht ("Sicherheitsverletzung") zu unterstützen. Mews unternimmt angemessene Anstrengungen, um die Ursache einer solchen Sicherheitsverletzung zu ermitteln und die notwendigen und angemessenen Schritte zu unternehmen, die für den Partner akzeptabel sind, um die Ursache einer solchen Sicherheitsverletzung zu beheben, soweit die Behebung in der angemessenen Kontrolle von Mewsliegt. Die hierin enthaltenen Verpflichtungen gelten nicht für Vorfälle, die vom Partner verursacht wurden.

3.5Keine Rückmeldung

Mews Der Partner erklärt sich damit einverstanden, dass die Verpflichtung von Mews, den Sicherheitsverstoß zu melden, nicht als Anerkenntnis eines Verschuldens oder einer Haftung von Mews in Bezug auf einen solchen Sicherheitsverstoß ausgelegt werden kann und wird.

3.6 Rückgabe und Löschung von Daten

Vorbehaltlich der in den geltenden Gesetzen festgelegten Beschränkungen gibt Mews dem Partner alle dauerhaften personenbezogenen Daten (sofern sie nicht bereits gemäß den geltenden Gesetzen gelöscht wurden) nach standardisierten Verfahren und innerhalb wirtschaftlich angemessener Fristen zurück.

3.7 Mews Regelkonformität

Mews hält sich an die Datenschutzgesetze, die für seine Betriebsabläufe und die Erbringung der Services im Rahmen der Vereinbarung gelten, sowie an seine Verpflichtungen aus diesem Nachtrag.

3.8 Datenaustausch

Durch die Aktivierung oder Annahme des Datenaustauschs innerhalb des Mews Kontos mit Drittanbietern beauftragt der Partner Mews gemäß Art. 28 (3)a) DSVGO, diesem Drittanbieter Zugang zu allen personenbezogenen Daten und allen anderen Daten zu gewähren, die im Mews Konto des Partners verarbeitet werden. Der Partner ist dafür verantwortlich, alle erforderlichen Einwilligungen der betroffenen Personen oder anderer Drittanbieter in den Datenaustausch gemäß den Anforderungen der geltenden Datenschutzgesetze einzuholen. Der Partner stellt Mews und seine verbundenen Unternehmen von allen Ansprüchen der betroffenen Person oder eines Drittanbieters frei, die sich aus der Verletzung dieser Klausel ergeben, einschließlich aller Verbindlichkeiten, Schäden, Verluste, Kosten und Ausgaben.

3.9 Integrationen

Mews Die Plattform bietet verschiedene Integrationen. Mit der Verbindung oder dem Abonnement der jeweiligen Integration über das Mews Konto beauftragt der Partner Mews gemäß Art. 28 (3)a) DSVGO, dem jeweiligen Integrationspartner Zugang zu den im Mews Konto des Partners verarbeiteten personenbezogenen Daten zu gewähren, soweit dies für das Zusammenwirken der Services oder Produkte des Integrationspartners mit den Mews Services erforderlich ist.

3.10 Prüfung

Der Partner hat das Recht, ein Audit durchzuführen, um zu überprüfen, ob Mewsseine Regelkonformität gemäß Art. 28 DSVGO und in diesem Nachtrag. Mews erlaubt dem Partner die Durchführung der Prüfung unter den folgenden Bedingungen:

1. der Partner Mews mindestens 30 (dreißig) Tage im Voraus schriftlich auffordert, die Prüfung durchzuführen;
2. wird der Partner die Tagesordnung für diese Prüfung in der Meldung unter (i) angeben;
3. die Prüfung findet nicht öfter als einmal im Jahr statt;
4. alle damit verbundenen Kosten und Auslagen werden vom Partner getragen und auf Verlangen an Mews zurückerstattet; und
5. Die Prüfung darf nicht länger dauern als ein Arbeitstag (8 Stunden) des/der Mews Beauftragten.

Falls der Partner die Prüfung durch einen unabhängigen Drittanbieter - einen externen zugelassenen Wirtschaftsprüfer - verlangt, kann Mews gegen einen vom Partner mit der Prüfung beauftragten externen zugelassenen Wirtschaftsprüfer Einspruch erheben, wenn der Wirtschaftsprüfer nach Mewsangemessener Meinung nicht ausreichend qualifiziert oder unabhängig, ein Konkurrent von Mewsoder anderweitig offensichtlich ungeeignet ist. Bei einem solchen Einspruch muss der Partner einen anderen Prüfer bestellen. Falls der Partner mehr als eine Prüfung innerhalb eines Kalenderjahres verlangt, muss er die vorherige schriftliche Berechtigung von Mews einholen und die mit diesen Prüfungen verbundenen Kosten tragen sowie Mews alle angemessenen Kosten für diese Prüfungen erstatten. Auf Anfrage des Partners teilt Mews dem Partner die geschätzten Kosten mit, die ihm bei einer solchen Prüfung voraussichtlich entstehen werden, und zwar in dem Umfang, der in der vom Partner vorgelegten Agenda angegeben ist.

4.1 Die Verarbeitung personenbezogener Daten durch den Partner

Der Partner verarbeitet bei der Nutzung der Services personenbezogene Daten in Übereinstimmung mit den Anforderungen der Datenschutzgesetze. Um Zweifel auszuschließen, garantiert der Partner, dass seine Anweisungen für die Verarbeitung personenbezogener Daten mit der Datenschutzgesetzgebung übereinstimmen und dass er keine Anweisung oder Bestellung erteilt, die Mewsto zu einer rechtswidrigen oder anderweitig nicht mit der Regelkonformität übereinstimmenden Handlung oder Vorgehensweise anweist. Der Partner trägt die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der personenbezogenen Daten und für die Mittel, mit denen der Partner personenbezogene Daten erworben hat.

4.2 Regelkonformität des Partners

Zusätzlich zu den in der Vereinbarung genannten Verpflichtungen des Partners ist der Partner verantwortlich für (i) die Integrität, die Sicherheit, die Pflege und den angemessenen Schutz der personenbezogenen Daten und (ii) die Sicherstellung der Regelkonformität mit allen geltenden Gesetzen und Vorschriften zum Schutz der Privatsphäre, zum Datenschutz und zur Sicherheit in Bezug auf: (a) seine Verarbeitung der personenbezogenen Daten; (b) seine Nutzung der Services; und (c) alle Anforderungen an die Registrierung oder Meldung der Datenverarbeitung, denen der Partner nach geltendem Recht unterliegt.

4.3 Benachrichtigungen

Der Partner erklärt sich damit einverstanden, alle erforderlichen Mitteilungen an Einzelpersonen zu machen und von diesen die erforderlichen Zustimmungen und Rechte in Bezug auf die Bereitstellung von Services durch Mewseinzuholen. Wenn Mews eine in den Bereichen 3.4.1 oder 3.4.3 beschriebene Mitteilung erhält und den Partner darüber informiert, liegt es in der Verantwortung des Partners, auf die Mitteilung zu reagieren und alle anderen angemessenen Maßnahmen zu ergreifen. Der Partner verpflichtet sich, Mews unverzüglich über jede unbefugte Nutzung der Services oder des Kontos des Partners oder über jede andere Verletzung der Sicherheit der Services zu informieren.

4.4 Technische und organisatorische Maßnahmen

Der Partner ist allein für die Implementierung und Aufrechterhaltung von Sicherheitsmaßnahmen und anderen technischen und organisatorischen Maßnahmen verantwortlich, die der Art und dem Umfang der personenbezogenen Daten angemessen sind, die der Partner speichert oder anderweitig über die Services verarbeitet. Der Partner ist auch für die Nutzung der Services durch seine Mitarbeiter, alle Personen, denen der Partner den Zugriff auf die Services gestattet, und alle Personen verantwortlich, die aufgrund der Nichteinhaltung angemessener Sicherheitsvorkehrungen Zugang zu seinen persönlichen Daten oder den Services erhalten, selbst wenn diese Nutzung nicht vom Partner genehmigt wurde.

5.1 Zusammenarbeit mit Partnern und Mews

Der Partner und Mews verpflichten sich, in wirtschaftlich angemessener Weise zusammenzuarbeiten, soweit dies zum Schutz der personenbezogenen Daten gemäß den geltenden Gesetzen, Artikel 35 und 36 der DSVGO erforderlich ist, um eine Datenschutz-Folgenabschätzung in Bezug auf die Nutzung der Services durch den Partner durchzuführen, soweit der Partner nicht anderweitig Zugang zu den entsprechenden Informationen hat und soweit diese Informationen auf Mews verfügbar sind. Der Partner muss mit Mewsbei der angemessenen Untersuchung von Ausfällen des Services, Sicherheitsproblemen und vermuteten Sicherheitsverstößen zusammenarbeiten. Der Partner unterstützt Mews in angemessener Weise bei der Zusammenarbeit oder der vorherigen Konsultation mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben in Bezug auf diesen Bereich, soweit dies nach der DSVGO oder dem geltenden Recht erforderlich ist.

5.2Mews' Unterstützung bei den Anforderungen der Regelkonformität des Partners

Während der Laufzeit der Vereinbarung zwischen dem Partner und Mewskann der Partner verlangen, dass Mews den Partner bei seinen Bemühungen unterstützt, die Verpflichtungen des Partners gemäß den geltenden Datenschutzgesetzen und -vorschriften einzuhalten, vorausgesetzt, (i) die angeforderte Unterstützung bezieht sich auf Services, die die Verarbeitung von personenbezogenen Daten unterstützen, (ii) die angeforderte Unterstützung wirtschaftlich vernünftig ist und in einem angemessenen Verhältnis zum Ziel der Aufgabe steht, bei der Mews um Unterstützung gebeten wird, und (iii) wenn MEWS Systems der Unterstützung zustimmt, werden alle damit verbundenen Kosten und Ausgaben (einschließlich der Kosten für die Arbeitszeit der Mitarbeiter) vom Partner getragen und Mews auf Anfrage erstattet.

6.1 In Bezug auf Dritte oder Unterauftragnehmer für die Verarbeitung personenbezogener Daten darf Mews einen Drittanbieter (Unterauftragsverarbeiter) nur mit vorheriger Zustimmung des Partners mit der Verarbeitung personenbezogener Daten beauftragen, vorausgesetzt, dass die Bestimmungen über die Datenverarbeitung und den Datenschutz im Vertrag des Unterauftragsverarbeiters in Bezug auf die personenbezogenen Daten im Wesentlichen den Bestimmungen dieses Nachtrags entsprechen und dass der Vertrag des Unterauftragsverarbeiters in Bezug auf die personenbezogenen Daten bei Beendigung der Vereinbarung aus irgendeinem Grund automatisch endet. Mit der Unterzeichnung dieses Nachtrags genehmigt der Partner die folgenden Personen: (i) Unterauftragsverarbeiter, die in Anhang Nr. 2 aufgeführt sind, (ii) Mews' Verbundene Unternehmen und (iii) alle Unterauftragsverarbeiter, die der Partner über seinen autorisierten Benutzer autorisiert hat, indem er eine Integration mit Mews Services über das MEWS Konto oder anderweitig genehmigt hat. Mews kann während der Laufzeit der Vereinbarung neue Unterauftragsverarbeiter in die Verarbeitung einbeziehen, vorausgesetzt, dass diese Unterauftragsverarbeiter nur in dem Umfang auf personenbezogene Daten zugreifen und diese nutzen, der für die Erfüllung der an sie übertragenen Pflichten erforderlich ist.

6.2 Widerspruchsrecht für neue Unterauftragsverarbeiter

Der Partner kann dem Einsatz eines neuen Unterauftragsverarbeiters durch Mewswidersprechen, indem er Mews unverzüglich innerhalb von zehn (10) Werktagen nach Erhalt der Mitteilung von Mewsschriftlich informiert und die Mängel darlegt. Sollte der Partner einem neuen Unterauftragsverarbeiter widersprechen, wird Mews sich bemühen, zusätzliche Sicherheitsvorkehrungen hinzuzufügen (die die angegebenen Mängel abdecken) oder den Unterauftragsverarbeiter zu wechseln (gegenüber dem Unterauftragsverarbeiter); sollte Mews Systems dazu nicht in der Lage sein, wird Mews angemessene Anstrengungen unternehmen, um dem Partner eine Änderung der Services zur Verfügung zu stellen oder eine wirtschaftlich vertretbare Änderung der Konfiguration oder Nutzung der Services durch den Partner zu empfehlen, um die Verarbeitung personenbezogener Daten durch den beanstandeten neuen Unterauftragsverarbeiter zu vermeiden, ohne den Partner unangemessen zu belasten. Ist Mews nicht in der Lage, eine solche Änderung innerhalb einer angemessenen Frist, die dreißig (30) Tage nicht überschreiten darf, zur Verfügung zu stellen, kann der Partner nur den Teil der Services, der von Mews nicht ohne den beanstandeten neuen Auftragsverarbeiter erbracht werden kann, durch schriftliche Mitteilung an Mews kündigen. Mews wird dem Partner alle im Voraus gezahlten Gebühren für die verbleibende Laufzeit der Vereinbarung nach dem Datum des Inkrafttretens der Kündigung in Bezug auf den gekündigten Teil der Services zurückerstatten, was das einzige und ausschließliche Rechtsmittel des Partners im Zusammenhang mit der Einführung eines neuen Unterauftragsverarbeiters darstellt.

6.3 Haftung

Mews haftet für die Handlungen und Unterlassungen seiner Unterauftragsverarbeiter in demselben Umfang, in dem Mews haften würde, wenn er die Services jedes Unterauftragsverarbeiters gemäß den Bedingungen dieses Nachtrags direkt ausführen würde, sofern in der Vereinbarung nichts anderes festgelegt ist.

7.1 Datenübertragung

Die Parteien vereinbaren, dass personenbezogene Daten nur dann aus der Europäischen Union/dem Europäischen Wirtschaftsraum in ein Drittland übermittelt werden dürfen, wenn eine der folgenden Bedingungen zutrifft: (a) es gibt einen anwendbaren Beschluss der Europäischen Kommission, der besagt, dass das Drittland ein angemessenes Schutzniveau gewährleistet; oder (b) die Übermittlung darf stattfinden, weil Mews angemessene Garantien gemäß Art. 46 DSVGO und unter der Voraussetzung, dass durchsetzbare Rechte der betroffenen Person und wirksame Rechtsbehelfe für die betroffenen Personen verfügbar sind; oder (c) die Ausnahmeregelungen für besondere Situationen gemäß Art. 49 der DSVGO gelten. Für die Zwecke von Art. 7.1 dieses Nachtrags gelten die Standardvertragsklauseln, die Anhang Nr. 1 (Standardvertragsklauseln) dieses Nachtrags bilden, als angemessene Sicherheitsvorkehrungen. Der Partner ermächtigt Mews hiermit, die Standardvertragsklauseln abzuschließen, um personenbezogene Daten in Drittländer zu übermitteln.

7.2 Standardvertragsklauseln

Um den Datentransfer von/nach Drittländern in/aus der Europäischen Union/dem Europäischen Wirtschaftsraum zu ermöglichen, werden die Standardvertragsklauseln (Anhang Nr. 1 zu diesem Nachtrag) hiermit in diesen Nachtrag aufgenommen und sind untrennbarer Bestandteil dieses Nachtrags.

8.1 Der Partner erklärt sich damit einverstanden, dass jeder autorisierte Benutzer des Partners kontaktiert werden kann und berechtigt ist, alle Mitteilungen in Bezug auf diesen Nachtrag zu erhalten.

9.1 Mews erkennt an, dass es in Bezug auf die von ihm verarbeiteten personenbezogenen Daten der Partner als Service-Anbieter handelt.

9.2 Sofern nicht durch geltendes Recht vorgeschrieben oder zwischen den Parteien ausdrücklich vereinbart, ist es Mews nicht gestattet:

• verkaufen persönliche Informationen des Partners;
• Persönliche Daten von Partnern zu einem anderen Zweck als dem der vertragsgemäßen Erbringung der Services aufzubewahren, zu verwenden oder weiterzugeben;
• Persönliche Daten des Partners für einen anderen als den in der Vereinbarung festgelegten kommerziellen Zweck zu speichern, zu verwenden oder weiterzugeben; oder
• die persönlichen Daten des Partners außerhalb der direkten Geschäftsbeziehung zwischen Mews und dem Partner aufzubewahren, zu verwenden oder weiterzugeben.

9.3 Mews bestätigt, dass es die Verantwortlichkeiten und Restriktionen dieses Nachtrags, des CCPA und anderer anwendbarer Datenschutzgesetze und -vorschriften kennt und einhalten wird.

9.4 In dieser Klausel 9:

9.4.1 "CCPA" bezeichnet den California Consumer Privacy Act, California Civil Code §§1798.100 ff., einschließlich aller Änderungen und Implementierungen, die am oder nach dem Datum des Inkrafttretens dieses Nachtrags in Kraft treten; und

9.4.2 "Persönliche Daten des Partners" sind alle Daten des Partners, die "persönliche Daten" im Sinne des CCPA sind;

9.4.3 "Service Provider" hat die in Bereich 1798.140(v) des CCPA festgelegte Bedeutung.

10.1 Diese Klausel 10 gilt nur, wenn die Vertragsverwaltung Mews mit Sitz in den Vereinigten Staaten von Amerika ist.

10.2 COPPA

Der Schutz der Privatsphäre von Kindern ist besonders wichtig. Der Children's Online Privacy and Protection Act ("COPPA") verlangt, dass Anbieter von Online Services die Zustimmung der Eltern einholen, bevor sie wissentlich personenbezogene Daten von Kindern unter 13 Jahren in den Vereinigten Staaten von Amerika online erfassen. Mews respektiert die Rolle der übergeordneten Erziehungsberechtigten bei der Überwachung der Online-Aktivitäten ihrer Kinder. Dementsprechend beschränkt Mews die Erhebung personenbezogener Daten von Kindern auf das Maß, das für die Teilnahme an den Services und deren weitere Verbesserung notwendig ist. Mews erhebt keine personenbezogenen Daten von Kindern, die nicht in der Vereinbarung festgelegt sind. Mews behält sich das Recht vor, die Verarbeitung der vom Partner gelieferten Daten zu verweigern, die gegen diese Klausel 10.2 verstoßen.

10.3 Nutzung der Daten des Partners durch Drittanbieter

Sofern nicht anders vereinbart, sind alle Daten, die Mews vom Partner zur Verfügung gestellt werden, vertrauliche Informationen und Mews wird keine Daten für andere Zwecke verwenden als für die Ausübung seiner Rechte und die Erfüllung seiner Pflichten im Zusammenhang mit der Durchführung der Services. Der Partner erkennt an, dass zur ordnungsgemäßen Durchführung der Services die von ihm an Mews übermittelten Informationen Drittanbietern zugänglich gemacht werden, um die Erbringung der Services zu ermöglichen. Der Partner erkennt an, dass diese Drittanbieter keine Vertreter von Mews sind und Mews nicht für die Handlungen und Unterlassungen dieser Drittanbieter verantwortlich ist. Mews verlangt von Drittanbietern, denen personenbezogene Daten von Partnern zur Verfügung gestellt werden, dass sie das gleiche Datenschutzniveau anwenden, wie es in diesem Nachtrag festgelegt ist und wie es die geltenden Gesetze vorschreiben. Die Art und Weise, wie die Daten der Partner verwendet werden können, ist in der Datenschutzrichtlinie Mews geregelt, die du unter https://Mews Systems.com/privacy-policy/ findest.

11.1 Begünstigte Drittanbieter

Betroffene Personen sind die einzigen Drittanbieter, die durch die Standardvertragsklauseln begünstigt werden, und es gibt keine anderen Drittanbieter, die durch den Vertrag und diesen Nachtrag begünstigt werden. Ungeachtet des Vorstehenden gelten die Vereinbarung und die Laufzeiten dieses Nachtrags nur für die Parteien und übertragen keine Rechte auf verbundene Unternehmen des Partners, Endbenutzer des Partners oder Drittanbieter von Daten.

11.2 Geltendes Recht

Dieser Nachtrag ändert nicht den Bereich des anwendbaren Rechts in der Vereinbarung, der zur Vermeidung von Zweifeln für alle Ansprüche aus der Vereinbarung und diesem Nachtrag maßgeblich ist. Soweit die Standardvertragsklauseln anwendbar sind und soweit eine betroffene Person einen Anspruch gemäß Klausel 3.2 der Standardvertragsklauseln in Bezug auf die Verarbeitung personenbezogener Daten durch Mews geltend macht, unterliegen die Standardvertragsklauseln der Klausel 9 (Anwendbares Recht) der Standardvertragsklauseln und sind entsprechend auszulegen.

11.3 Beschränkung der Haftung

Die Rechtsmittel des Partners, einschließlich der Rechtsmittel seiner verbundenen Unternehmen, und die Haftung von Mews, die sich aus oder in Bezug auf diesen Nachtrag und die Standardvertragsklauseln ergeben, unterliegen den Haftungsbeschränkungen und Haftungsausschlüssen, die in der Vereinbarung festgelegt sind, oder, falls in der Vereinbarung keine Haftungsbeschränkungen festgelegt sind, vereinbaren und erklären die Parteien, dass der Gesamtschaden, der sich aus der Verletzung dieses Nachtrags und/oder der Standardvertragsklauseln ergeben kann, zehntausend Euro nicht übersteigen darf.

11.4 Laufzeit

Nach Beendigung der Vereinbarung gilt dieser Nachtrag weiter, bis Mews die Verarbeitung personenbezogener Daten im Auftrag des Partners einstellt.

11.5 Terminierung

Mews kann diesen Nachtrag kündigen, wenn Mews dem Partner alternative Mechanismen anbietet, die den Verpflichtungen der geltenden Datenschutzgesetze entsprechen.

11.6 Gegenstücke

Dieser Nachtrag kann in mehreren Ausfertigungen unterzeichnet werden, die zusammen als ein Original gelten.

Für die Zwecke von Artikel 26 Absatz 2 der Richtlinie 95/46/EG für die Übermittlung personenbezogener Daten an Auftragsverarbeiter mit Sitz in Drittländern, die kein angemessenes Datenschutzniveau gewährleisten

Die Partnerorganisation, die eine Partei des Nachtrags ist, dem diese Standardvertragsklauseln angehängt sind. 

Name der Daten exportierenden Organisation:

Adresse:

Tel. …; Fax …; E-Mail: …

Andere Informationen, die zur Identifizierung der Organisation erforderlich sind

…

(der Datenexporteur)

Und

Name der Organisation, die die Daten importiert: …

Adresse: …

Tel. …; Fax …; E-Mail: …

Andere Informationen, die zur Identifizierung der Organisation erforderlich sind:

…

(der Datenimporteur oder der Unterauftragsverarbeiter (je nach Fall))

jeweils eine "Partei"; zusammen "die Parteien",

SIND auf die folgenden Vertragsklauseln (die Klauseln) ÜBEREINGEKOMMEN, um angemessene Garantien für den Schutz der Privatsphäre und der Grundrechte und -freiheiten natürlicher Personen bei der Übermittlung der in Anlage 1 aufgeführten personenbezogenen Daten durch den Datenexporteur an den Datenimporteur zu schaffen.

Definitionen

Für die Zwecke der Klauseln:

1. Die Begriffe "personenbezogene Daten", "besondere Kategorien von Daten", "Verarbeitung", "Verantwortlicher", "Auftragsverarbeiter", "betroffene Person" und "Kontrollstelle" haben die gleiche Bedeutung wie in der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr;
2. Der "Datenexporteur" ist der Verantwortliche, der die personenbezogenen Daten übermittelt;
3. Der "Datenimporteur" ist der Auftragsverarbeiter, der sich damit einverstanden erklärt, vom Datenexporteur personenbezogene Daten zu erhalten, die nach der Übermittlung in seinem Namen gemäß seinen Anweisungen und den Bedingungen der Klauseln verarbeitet werden sollen, und der keinem System eines Drittlandes unterliegt, das einen angemessenen Schutz im Sinne des Artikels 25 Absatz 1 der Richtlinie 95/46/EG gewährleistet;
4. Unterauftragsverarbeiter" ist jeder vom Datenimporteur oder von einem anderen Unterauftragsverarbeiter des Datenimporteurs eingebundene Auftragsverarbeiter, der sich damit einverstanden erklärt, vom Datenimporteur oder von einem anderen Unterauftragsverarbeiter des Datenimporteurs personenbezogene Daten zu erhalten, die ausschließlich für Verarbeitungstätigkeiten bestimmt sind, die nach der Übermittlung im Namen des Datenexporteurs gemäß seinen Anweisungen, den Klauseln und den Bedingungen des schriftlichen Untervertrags durchgeführt werden;
5. das geltende Datenschutzrecht' sind die Rechtsvorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihres Rechts auf Privatsphäre bei der Verarbeitung personenbezogener Daten, die für einen Verantwortlichen in dem Mitgliedstaat gelten, in dem der Datenexporteur niedergelassen ist;
6. technische und organisatorische Sicherheitsmaßnahmen": Maßnahmen zum Schutz personenbezogener Daten gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung von Daten über ein Netzwerk umfasst, sowie gegen alle anderen Formen der unrechtmäßigen Verarbeitung.

Details der Überweisung

Die Einzelheiten der Übermittlung und insbesondere die besonderen Kategorien personenbezogener Daten, sofern zutreffend, sind in Anhang 1 aufgeführt, der integraler Bestandteil der Klauseln ist.

1. Die betroffene Person kann diese Klausel, Klausel 4(b) bis (i), Klausel 5(a) bis (e) und (g) bis (j), Klausel 6(1) und (2), Klausel 7, Klausel 8(2) und die Klauseln 9 bis 12 als Drittbegünstigter gegenüber dem Datenexporteur geltend machen.
2. Die betroffene Person kann diesen Paragraphen, Paragraphen 5 a) bis e) und g), Paragraphen 6, Paragraphen 7, Paragraphen 8 Absatz 2 und Paragraphen 9 bis 12 gegenüber dem Datenimporteur geltend machen, wenn der Datenexporteur faktisch oder rechtlich nicht mehr existiert, es sei denn, ein Nachfolgeunternehmen hat die gesamten rechtlichen Verpflichtungen des Datenexporteurs durch Vertrag oder von Rechts wegen übernommen, wodurch es in die Rechte und Pflichten des Datenexporteurs eintritt; in diesem Fall kann die betroffene Person sie gegenüber diesem Unternehmen geltend machen.
3. Die betroffene Person kann diesen Paragrafen, Paragraf 5 Buchstaben a bis e und g, Paragraf 6, Paragraf 7, Paragraf 8 Absatz 2 und die Paragrafen 9 bis 12 gegenüber dem Unterauftragsverarbeiter durchsetzen, wenn sowohl der Datenexporteur als auch der Datenimporteur faktisch oder rechtlich nicht mehr existieren oder insolvent geworden sind, es sei denn, ein Nachfolgeunternehmen ist durch Vertrag oder kraft Gesetzes in die Rechte und Pflichten des Datenexporteurs eingetreten; in diesem Fall kann die betroffene Person die Rechte und Pflichten des Datenexporteurs gegenüber diesem Unternehmen geltend machen. Die Haftung des Unterauftragsverarbeiters gegenüber Dritten ist auf seine eigenen Betriebsabläufe gemäß den Klauseln beschränkt.
4. Die Parteien haben keine Einwände dagegen, dass eine betroffene Person von einem Verband oder einer anderen Einrichtung vertreten wird, wenn die betroffene Person dies ausdrücklich wünscht und es nach nationalem Recht zulässig ist.

Pflichten des Datenexporteurs/der Datenexporteurin

Der Datenexporteur stimmt zu und garantiert:

1. dass die Verarbeitung der personenbezogenen Daten, einschließlich der Übermittlung selbst, im Einklang mit den einschlägigen Bestimmungen des anwendbaren Datenschutzrechts erfolgt ist und weiter erfolgen wird (und ggf. den zuständigen Behörden des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, gemeldet wurde) und nicht gegen die einschlägigen Bestimmungen dieses Staates verstößt;
2. dass er den Datenimporteur angewiesen hat und während der Dauer der Services zur Verarbeitung personenbezogener Daten anweisen wird, die übermittelten personenbezogenen Daten nur im Namen des Datenexporteurs und in Übereinstimmung mit dem geltenden Datenschutzrecht und den Klauseln zu verarbeiten;
3. dass der Datenimporteur ausreichende Garantien in Bezug auf die technischen und organisatorischen Sicherheitsmaßnahmen gemäß Anlage 2 zu diesem Vertrag bietet;
4. dass die Sicherheitsmaßnahmen nach Prüfung der Anforderungen des geltenden Datenschutzrechts geeignet sind, personenbezogene Daten vor zufälliger oder unrechtmäßiger Zerstörung, zufälligem Verlust, zufälliger Veränderung, unberechtigter Weitergabe oder unberechtigtem Zugriff, insbesondere wenn die Verarbeitung die Übermittlung von Daten über ein Netzwerk umfasst, und vor jeder anderen Form der unrechtmäßigen Verarbeitung zu schützen, und dass diese Maßnahmen unter Berücksichtigung des Stands der Technik und der Kosten ihrer Implementierung ein Sicherheitsniveau gewährleisten, das den mit der Verarbeitung verbundenen Risiken und der Art der zu schützenden Daten angemessen ist;
5. dass sie die Regelkonformität der Sicherheitsmaßnahmen gewährleistet;
6. dass die betroffene Person, falls die Übermittlung besondere Kategorien von Daten betrifft, vor oder so bald wie möglich nach der Übermittlung darüber informiert wurde oder wird, dass ihre Daten in ein Drittland übermittelt werden könnten, das keinen angemessenen Schutz im Sinne der Richtlinie 95/46/EG bietet;
7. jede vom Datenimporteur oder einem Unterauftragsverarbeiter erhaltene Meldung gemäß Klausel 5(b) und Klausel 8(3) an die Datenschutzaufsichtsbehörde weiterzuleiten, wenn der Datenexporteur beschließt, die Übermittlung weiterzuführen oder die Aussetzung aufzuheben;
8. den betroffenen Personen auf Anfrage ein Exemplar der Klauseln, mit Ausnahme von Anhang 2, und eine Übersicht über die Sicherheitsmaßnahmen zur Verfügung zu stellen, sowie ein Exemplar des Vertrages über Services zur Unterverarbeitung, der gemäß den Klauseln geschlossen werden muss, es sei denn, die Klauseln oder der Vertrag enthalten kommerzielle Informationen; in diesem Fall kann er diese kommerziellen Informationen entfernen;
9. dass im Falle einer Unterverarbeitung die Verarbeitungstätigkeit gemäß Klausel 11 von einem Unterauftragsverarbeiter durchgeführt wird, der mindestens das gleiche Schutzniveau für die personenbezogenen Daten und die Rechte der betroffenen Person gemäß den Klauseln bietet wie der Datenimporteur; und j) dass er die Regelkonformität gemäß Klausel 4 Buchstaben a bis i gewährleistet.

Pflichten des Datenimporteurs/der Datenimporteurin

Der Datenimporteur stimmt zu und garantiert:

1. die personenbezogenen Daten nur im Auftrag des Datenexporteurs und unter Einhaltung der Regelkonformität und der Klauseln zu verarbeiten; kann er diese Regelkonformität aus welchen Gründen auch immer nicht gewährleisten, verpflichtet er sich, den Datenexporteur unverzüglich darüber zu informieren, dass er dazu nicht in der Lage ist; in diesem Fall ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder den Vertrag zu kündigen;
2. dass er keinen Grund zu der Annahme hat, dass die auf ihn anwendbaren Rechtsvorschriften ihn daran hindern, die vom Datenexporteur erhaltenen Anweisungen und seine Verpflichtungen aus dem Vertrag zu erfüllen, und dass er im Falle einer Änderung dieser Rechtsvorschriften, die erhebliche nachteilige Auswirkungen auf die in den Klauseln vorgesehenen Garantien und Verpflichtungen haben könnte, dem Datenexporteur die Änderung unverzüglich mitteilen wird, sobald er davon Kenntnis hat; in diesem Fall ist der Datenexporteur berechtigt, die Übermittlung der Daten auszusetzen und/oder den Vertrag zu kündigen;
3. dass er die in Anlage 2 genannten technischen und organisatorischen Sicherheitsmaßnahmen vor der Verarbeitung der übermittelten personenbezogenen Daten implementiert hat; (d) dass er den Datenexporteur unverzüglich darüber informieren wird:
4. 1. jede rechtsverbindliche Aufforderung einer Strafverfolgungsbehörde zur Weitergabe der personenbezogenen Daten, sofern dies nicht anderweitig untersagt ist, z. B. durch ein strafrechtliches Verbot zur Wahrung der Vertraulichkeit einer strafrechtlichen Ermittlung,
   2. jeden versehentlichen oder unbefugten Zugriff und
   3. jede direkt von den betroffenen Personen erhaltene Anfrage, ohne auf diese Anfrage zu antworten, es sei denn, sie wurde anderweitig dazu ermächtigt;
5. alle Anfragen des Datenexporteurs in Bezug auf die Verarbeitung der personenbezogenen Daten, die der Übermittlung zugehören, unverzüglich und ordnungsgemäß zu bearbeiten und den Rat der Aufsichtsbehörde in Bezug auf die Verarbeitung der übermittelten Daten zu befolgen;
6. auf Verlangen des Datenexporteurs seine Datenverarbeitungsanlagen zur Prüfung der unter die Klauseln fallenden Verarbeitungstätigkeiten vorzulegen, die vom Datenexporteur oder einer vom Datenexporteur gegebenenfalls im Einvernehmen mit der Aufsichtsbehörde ausgewählten Kontrollstelle durchgeführt wird, die sich aus unabhängigen Mitgliedern zusammensetzt, die über die erforderlichen beruflichen Qualifikationen verfügen und zur Verschwiegenheit verpflichtet sind;
7. der betroffenen Person auf Anfrage eine Kopie der Klauseln oder eines bestehenden Vertrags über die Unterverarbeitung zur Verfügung zu stellen, es sei denn, die Klauseln oder der Vertrag enthalten kommerzielle Informationen; in diesem Fall kann sie diese kommerziellen Informationen entfernen, mit Ausnahme von Anhang 2, der in den Fällen, in denen die betroffene Person keine Kopie vom Datenexporteur erhalten kann, durch eine Übersicht über die Sicherheitsmaßnahmen ersetzt wird;
8. dass sie im Falle einer Unterverarbeitung den Datenexporteur vorher informiert und dessen schriftliche Zustimmung eingeholt hat;
9. dass die Services des Unterauftragsverarbeiters in Übereinstimmung mit Klausel 11 durchgeführt werden;
10. dem Datenexporteur unverzüglich eine Kopie des Unterauftragsverarbeitungsvertrags zu übermitteln, den er gemäß den Klauseln abschließt.

Haftung

1. Die Parteien sind sich darüber einig, dass jede betroffene Person, die aufgrund eines Verstoßes gegen die in Klausel 3 oder in Klausel 11 genannten Verpflichtungen durch eine Partei oder einen Unterauftragsverarbeiter einen Schaden erlitten hat, das Recht hat, von dem Datenexporteur eine Entschädigung für den erlittenen Schaden zu erhalten.
2. Ist eine betroffene Person nicht in der Lage, einen Schadensersatzanspruch nach Absatz 1 gegen den Datenexporteur geltend zu machen, der sich aus einem Verstoß des Datenimporteurs oder seines Unterauftragsverarbeiters gegen eine der in Klausel 3 oder in Klausel 11 genannten Pflichten ergibt, weil der Datenexporteur faktisch oder rechtlich nicht mehr existiert oder insolvent geworden ist, erklärt sich der Datenimporteur damit einverstanden, dass die betroffene Person den Datenimporteur so in Anspruch nehmen kann, als wäre er der Datenexporteur, es sei denn, ein Nachfolgeunternehmen hat die gesamten rechtlichen Verpflichtungen des Datenexporteurs durch Vertrag von Rechts wegen übernommen; in diesem Fall kann die betroffene Person ihre Rechte gegenüber diesem Unternehmen durchsetzen. Der Datenimporteur kann sich nicht darauf berufen, dass ein Unterauftragsverarbeiter gegen seine Verpflichtungen verstoßen hat, um seine eigene Haftung zu umgehen.
3. Ist eine betroffene Person nicht in der Lage, einen Anspruch gegen den Datenexporteur oder den Datenimporteur gemäß den Absätzen 1 und 2 geltend zu machen, der sich aus einem Verstoß des Unterauftragsverarbeiters gegen eine der in Klausel 3 oder in Klausel 11 genannten Verpflichtungen ergibt, weil sowohl der Datenexporteur als auch der Datenimporteur faktisch oder rechtlich nicht mehr existieren oder insolvent geworden sind, Der Unterauftragsverarbeiter erklärt sich damit einverstanden, dass die betroffene Person den Unterauftragsverarbeiter in Bezug auf seine eigenen Betriebsabläufe gemäß den Klauseln so in Anspruch nehmen kann, als wäre er der Datenexporteur oder der Datenimporteur, es sei denn, ein Nachfolgeunternehmen hat die gesamten rechtlichen Verpflichtungen des Datenexporteurs oder des Datenimporteurs durch Vertrag oder kraft Gesetzes übernommen; in diesem Fall kann die betroffene Person ihre Rechte gegenüber diesem Unternehmen durchsetzen. Die Haftung des Unterauftragsverarbeiters ist auf seine eigenen Betriebsabläufe gemäß den Klauseln beschränkt.

Mediation und Gerichtsbarkeit

1. Der Datenimporteur erklärt sich damit einverstanden, dass der Datenimporteur die Entscheidung der betroffenen Person annimmt, wenn sich die betroffene Person gegenüber ihm auf die Rechte eines Drittanbieters beruft und/oder Schadensersatzansprüche gemäß den Klauseln geltend macht:
2. 1. den Streitfall zur Schlichtung an eine unabhängige Person oder gegebenenfalls an die Aufsichtsbehörde zu verweisen;
   2. den Streitfall an die Gerichte des Mitgliedstaats zu verweisen, in dem der Datenexporteur ansässig ist.
3. Die Parteien sind sich darüber einig, dass die Wahl der betroffenen Person ihre materiell- und verfahrensrechtlichen Rechte auf Rechtsbehelfe nach anderen Bestimmungen des nationalen oder internationalen Rechts nicht beeinträchtigt.

Zusammenarbeit mit Aufsichtsbehörden

1. Der Datenexporteur verpflichtet sich, eine Kopie dieses Vertrags bei der Aufsichtsbehörde zu hinterlegen, wenn diese dies verlangt oder wenn eine solche Hinterlegung nach dem geltenden Datenschutzrecht erforderlich ist.
2. Die Parteien vereinbaren, dass die Aufsichtsbehörde das Recht hat, eine Prüfung des Datenimporteurs und aller Unterauftragsverarbeiter durchzuführen, die denselben Umfang hat und denselben Bedingungen unterliegt, wie sie für eine Prüfung des Datenexporteurs nach dem geltenden Datenschutzrecht gelten würden.
3. Der Datenimporteur informiert den Datenexporteur unverzüglich über das Bestehen von Rechtsvorschriften, die auf ihn oder einen Unterauftragsverarbeiter anwendbar sind und die die Durchführung einer Prüfung des Datenimporteurs oder eines Unterauftragsverarbeiters gemäß Absatz 2 verhindern. In einem solchen Fall ist der Datenexporteur berechtigt, die in Klausel 5 (b) vorgesehenen Maßnahmen zu ergreifen.

Geltendes Recht

Die Klauseln unterliegen dem Recht des Mitgliedstaats, in dem der Datenexporteur ansässig ist.

Änderung des Vertrags

Die Parteien verpflichten sich, die Klauseln nicht zu ändern oder zu modifizieren. Dies schließt nicht aus, dass die Parteien bei Bedarf Klauseln zu zugehörigen geschäftlichen Fragen hinzufügen, solange sie der Klausel nicht widersprechen.

Weiterverarbeitung

1. Der Datenimporteur darf keine seiner Betriebsabläufe, die er im Auftrag des Datenexporteurs gemäß den Klauseln durchführt, ohne die vorherige schriftliche Zustimmung des Datenexporteurs an Unterauftragnehmer vergeben. Wenn der Datenimporteur seine Verpflichtungen gemäß den Klauseln mit Zustimmung des Datenexporteurs an einen Unterauftragnehmer vergibt, darf er dies nur im Wege einer schriftlichen Vereinbarung mit dem Unterauftragsverarbeiter tun, die dem Unterauftragsverarbeiter dieselben Verpflichtungen auferlegt, die dem Datenimporteur gemäß den Klauseln auferlegt werden. Kommt der Unterauftragsverarbeiter seinen Datenschutzverpflichtungen aus einer solchen schriftlichen Vereinbarung nicht nach, bleibt der Datenimporteur gegenüber dem Datenexporteur in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters aus dieser Vereinbarung haftbar.
2. Der vorherige schriftliche Vertrag zwischen dem Datenimporteur und dem Unterauftragsverarbeiter sieht auch eine Drittbegünstigungsklausel gemäß Klausel 3 für den Fall vor, dass die betroffene Person den in Klausel 6 Absatz 1 genannten Schadensersatzanspruch gegen den Datenexporteur oder den Datenimporteur nicht geltend machen kann, weil diese faktisch oder rechtlich nicht mehr existieren oder insolvent sind und kein Nachfolgeunternehmen die gesamten rechtlichen Verpflichtungen des Datenexporteurs oder Datenimporteurs durch Vertrag oder kraft Gesetzes übernommen hat. Die Haftung des Unterauftragsverarbeiters gegenüber Dritten ist auf seine eigenen Betriebsabläufe gemäß den Klauseln beschränkt.
3. Die Bestimmungen zu den Datenschutzaspekten bei der Unterverarbeitung des in Absatz 1 genannten Vertrags unterliegen dem Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.
4. Der Datenexporteur führt ein Verzeichnis der gemäß den Klauseln geschlossenen und vom Datenimporteur gemäß Klausel 5 (j) gemeldeten Unterverarbeitungsverträge, das mindestens einmal pro Jahr aktualisiert wird. Die Liste muss der Datenschutzaufsichtsbehörde des Datenexporteurs zur Verfügung stehen.

Verpflichtung nach Beendigung der Services zur Verarbeitung personenbezogener Daten

• Die Parteien vereinbaren, dass der Datenimporteur und der Unterauftragsverarbeiter bei Beendigung der Erbringung von Services zur Datenverarbeitung nach Wahl des Datenexporteurs alle übermittelten personenbezogenen Daten und die Kopien davon an den Datenexporteur zurückgeben oder alle personenbezogenen Daten vernichten und dies dem Datenexporteur bescheinigen, es sei denn, der Datenimporteur ist aufgrund gesetzlicher Vorschriften daran gehindert, alle oder einen Teil der übermittelten personenbezogenen Daten zurückzugeben oder zu vernichten. In diesem Fall garantiert der Datenimporteur, dass er die Vertraulichkeit der importierten personenbezogenen Daten gewährleistet und die übertragenen personenbezogenen Daten nicht mehr aktiv verarbeiten wird.
• Der Datenimporteur und der Unterauftragsverarbeiter garantieren, dass sie auf Verlangen des Datenexporteurs und/oder der Aufsichtsbehörde ihre Datenverarbeitungsanlagen für eine Prüfung der in Absatz 1 genannten Maßnahmen vorlegen werden.

Im Namen des Datenexporteurs:

Name (vollständig ausgeschrieben):

Position: Adresse:

Weitere Informationen, die für die Verbindlichkeit der Bestellung erforderlich sind (falls zutreffend):

Unterschrift……………………………………….

(Stempel der Organisation)

Im Namen des Daten-Importeurs:

Name (vollständig ausgeschrieben):

Position: Adresse:

Weitere Informationen, die für die Verbindlichkeit der Bestellung erforderlich sind (falls zutreffend):

Unterschrift……………………………………….

(Stempel der Organisation)

Datenexporteur

Der Datenexporteur ist Mews, ein Anbieter von Services wie in der Vereinbarung angegeben (falls zutreffend).

Daten importieren

Der Datenimporteur ist das Unternehmen (ein Unterauftragsverarbeiter), das personenbezogene Daten außerhalb des EWR erhält und bestimmte Services für Mews in Verbindung mit den Services für den Partner erbringt.

Betroffene Personen

Die übermittelten personenbezogenen Daten können Personen betreffen, über die der Datenexporteur über das von Mews gehostete System und/oder die Services personenbezogene Daten übermittelt oder speichert, wozu in der Regel Personen (Gäste oder potentielle Neukunden) gehören, die die Services des Partners nutzen.

Kategorien von Daten

Die übermittelten personenbezogenen Daten betreffen die folgenden Datenkategorien: Daten der Gäste, die in den Kontaktformularen enthalten sind, Kontakt- und Identifizierungsinformationen, einschließlich Name, Titel, E-Mail-Adresse und Adresse, Ausweis- und/oder Reisepassnummern, Zahlungsdaten, Präferenzen der Gäste und Details zu den Services der Partner sowie begrenzte Verbindungs- und Standortdaten (Stadt) in elektronischer Form, die im Rahmen der Mews' Services an den Datenimporteur übertragen werden (bereitgestellt durch den jeweiligen Unterverarbeiter/Importeur)

Betriebsabläufe der Verarbeitung

Die übermittelten personenbezogenen Daten unterliegen den folgenden grundlegenden Verarbeitungstätigkeiten: Erheben, Erfassen, Organisieren, Strukturieren, Speichern, Anpassen oder Verändern, Abrufen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreiten oder sonstiges Zugänglichmachen, Abgleichen oder Kombinieren, Einschränken, Löschen oder Vernichten.Der Partner muss im Zusammenhang mit der Nutzung der Services angemessene Sicherheitsvorkehrungen treffen, einschließlich einer angemessenen Verschlüsselung aller personenbezogenen Daten, die auf dem gehosteten System gespeichert sind oder von diesem übertragen werden.

Dieser Anhang ist Teil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden

Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, die der Datenimporteur gemäß Klausel 4(d) und 5(c) implementiert hat (oder Dokument/Rechtsvorschrift im Anhang):

Der Datenimporteur hat Sicherheitsmaßnahmen zu implementieren, die den Anforderungen des Abkommens, des Nachtrags und aller Zusatzdokumente entsprechen, die gemäß dem Abkommen abgeschlossen wurden.

Die Liste der genehmigten Auftragsverarbeiter von Mews ist verfügbar unter https://www.mews.com/de/platform-documentation#subprocessors