Mews Datenverarbeitung Addendum

Dieser Nachtrag zur Datenverarbeitung ("Nachtrag") ist Bestandteil des Kooperationsvertrags, der Allgemeinen Geschäftsbedingungen für Partner ("AGB") oder einer anderen Vereinbarung (AGB oder eine solche andere Vereinbarung wird im Folgenden auch als "Vereinbarung" bezeichnet), die zwischen dem verbundenen Unternehmen von MEWS Systems, wie in der jeweiligen Vereinbarung definiert ( "MEWS Systems"), und dir ("Partner") geschlossen wurde. Dieser Nachtrag ergänzt die Laufzeiten der zwischen MEWS Systems und dem Partner abgeschlossenen Vereinbarung. Sollten sich die Laufzeiten der Vereinbarung und dieses Nachtrags widersprechen, hat dieser Nachtrag Vorrang, es sei denn, die Parteien vereinbaren in der Vereinbarung ausdrücklich schriftlich bestimmte Abweichungen von diesem Nachtrag.

Für die Zwecke dieses Nachtrags haben die in Großbuchstaben geschriebenen Begriffe die folgenden Bedeutungen.  Großgeschriebene Begriffe, die hier nicht anderweitig definiert sind, haben die Bedeutung, die ihnen im Vertrag oder in den AGB gegeben wird.

"Verbundene(s) Unternehmen" bedeutet jede Person oder Organisation, die direkt oder indirekt die Kontrolle über ein solches Unternehmen ausübt, von ihm kontrolliert wird oder mit ihm unter gemeinsamer Kontrolle steht; für die Zwecke dieser Definition bedeutet "Kontrolle" eines Unternehmens die Befugnis, direkt oder indirekt entweder: (a) 10 % oder mehr der Wertpapiere mit ordentlichem Stimmrecht für die Wahl der Manager eines solchen Unternehmens zu stimmen oder (b) die Leitung und die Politik eines solchen Unternehmens zu bestimmen oder zu veranlassen, sei es durch einen Vertrag oder auf andere Weise;

"Autorisierter Benutzer" ist eine Person, die vom Partner ermächtigt wurde, auf die Plattform MEWS und/oder das Konto MEWS zuzugreifen und Anweisungen an das System MEWS zu geben und Mitteilungen von diesem zu erhalten, unabhängig davon, ob dies über die Plattform MEWS , das Konto MEWS , per E-Mail oder auf andere Weise geschieht;

"Verantwortlicher" ist eine Person oder Einrichtung, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt;

"Datenschutzgesetzgebung" bezeichnet die DSVGO und/oder jede andere anwendbare Datenschutzgesetzgebung des Landes, in dem der MEWS Systems-Partner registriert ist, wie in der Vereinbarung definiert;

"Betroffene Person" ist die identifizierte oder identifizierbare Person, auf die sich die personenbezogenen Daten beziehen;

"DSVGO" ist die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung);

"Personenbezogene Daten" sind alle Informationen, die sich auf (i) eine identifizierte oder identifizierbare natürliche Person und/oder (ii) eine identifizierte oder identifizierbare juristische Person beziehen (sofern diese Informationen durch die Datenschutzgesetze ähnlich wie Daten, die eine lebende Person identifizieren, geschützt sind); für die Zwecke dieses Nachtrags gehören dazu auch personenbezogene Daten der Gäste, d.h. Daten in den Kontaktformularen, Kontakt- und Identifizierungsinformationen, einschließlich Name, Titel, E-Mail-Adresse und Adresse, Ausweis- und/oder Reisepassnummern, Zahlungsdetails, Präferenzen der Gäste und Details zu den Services des Partners sowie begrenzte Verbindungs- und Standortdaten (Stadt). Die personenbezogenen Daten enthalten keine besonderen Datenkategorien.

"Verarbeitung" ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, die Strukturierung, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Restriktion, das Löschen oder die Vernichtung; um Zweifel auszuschließen, fällt die Verarbeitung anderer Informationen als personenbezogener Daten (z. B. anonymisierter Daten) zur Verbesserung der Services von MEWS Systems nicht in den Anwendungsbereich dieses Zusatzes;

"Auftragsverarbeiter" oder "Unterauftragsverarbeiter" ist eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag eines Verantwortlichen und/oder Auftragsverarbeiters verarbeitet;

"Services" im Sinne dieses Nachtrags sind die Services, die MEWS Systems dem Partner gemäß der Vereinbarung zur Verfügung stellt;

"Standardvertragsklauseln" sind die Standardvertragsklauseln (Auftragsverarbeiter) für die Übermittlung personenbezogener Daten gemäß dem Beschluss der EU-Kommission vom 5. Februar 2010 (2010/87/EG), wie in Anhang Nr. 1 dargelegt;

"Aufsichtsbehörde" ist eine unabhängige öffentliche Behörde, die von einem EU-Mitgliedstaat oder den USA eingerichtet wurde. oder einem anderen Land gemäß der DSVGO, EU-U.S. Privacy Shield Framework oder ein entsprechendes Gesetz.

2.1 Verarbeitung von personenbezogenen Daten

MEWS Die Systeme und der Partner erkennen an, dass der Partner der Verantwortliche oder der primäre Auftragsverarbeiter in Bezug auf die Verarbeitung der relevanten personenbezogenen Daten ist. MEWS Systems verarbeitet personenbezogene Daten nur als Auftragsverarbeiter oder Unterauftragsverarbeiter (je nach Nutzung der Services durch den Partner) im Namen des Partners und nur in dem Umfang und auf die Art und Weise, wie es für die in diesem Nachtrag und in Übereinstimmung mit dem Vertrag festgelegten Zwecke erforderlich ist oder wie es der Partner von Zeit zu Zeit anweist. Wenn MEWS Systems vernünftigerweise davon ausgeht, dass eine Anweisung des Partners im Widerspruch steht zu: (i) den geltenden Gesetzen und Vorschriften oder (ii) den Bestimmungen der Vereinbarung oder des Nachtrags, unternimmt MEWS Systems alle zumutbaren Anstrengungen, um den Partner zu informieren, und ist berechtigt, die Ausführung der betreffenden Anweisung aufzuschieben, bis sie vom Partner in dem Umfang geändert wurde, den MEWS Systems benötigt, um sich zu vergewissern, dass die Anweisung rechtmäßig ist, oder bis sie von Partner und MEWS Systems einvernehmlich als rechtmäßig angesehen wird.

3.1 Die Verarbeitung personenbezogener Daten durch MEWS Systems MEWS Systems behandelt personenbezogene Daten als vertrauliche Informationen und verarbeitet personenbezogene Daten nur im Auftrag und in Übereinstimmung mit den dokumentierten Anweisungen des Partners zu folgenden Zwecken: (i) Verarbeitung in Übereinstimmung mit der Vereinbarung; (ii) Verarbeitung, die von autorisierten Benutzern bei der Nutzung der Services veranlasst wird; und (iii) Verarbeitung zur Erfüllung anderer dokumentierter angemessener Anweisungen des Partners (z. B. per E-Mail), sofern diese Anweisungen mit den Bedingungen der Vereinbarung übereinstimmen. Der Partner weist MEWS Systems hiermit an, die betroffenen Personen per E-Mail über die Verarbeitung ihrer personenbezogenen Daten im Namen des Partners und über die Möglichkeit zu informieren, die Services von MEWS Systems zur Verwaltung der Daten, Buchungen und damit verbundenen Services der betroffenen Personen zu nutzen. MEWS Die Systeme müssen ein Protokoll über die tatsächlich durchgeführten Betriebsabläufe führen. 3.2 Technische und organisatorische Maßnahmen MEWS Systems unterhält und implementiert angemessene und geeignete technische und organisatorische Maßnahmen, die darauf abzielen, personenbezogene Daten vor versehentlicher oder rechtmäßiger Zerstörung oder versehentlichem Verlust, Veränderung, unbefugter Offenlegung oder Zugriff zu schützen, sowie in Bezug auf die Sicherheit personenbezogener Daten und der Plattformen, die zur Bereitstellung der Services verwendet werden, wie in der Datenschutzgesetzgebung beschrieben. Bei der Implementierung solcher Maßnahmen ist MEWS Systems berechtigt, bei der Bestimmung der Angemessenheit die derzeitige Standardpraxis sowie die Verhältnismäßigkeit der Kosten für die Implementierung solcher Maßnahmen im Vergleich zu dem potenziellen Schaden für die betroffenen Personen, vor dem die Implementierung dieser Maßnahmen schützen soll, zu berücksichtigen. 3.3 Personal MEWS Systems stellt sicher, dass sein Personal, das mit der Verarbeitung personenbezogener Daten befasst ist, über seine Pflichten und Verantwortlichkeiten im Rahmen dieser Vereinbarung informiert ist, eine entsprechende Schulung erhalten hat und über die Vertraulichkeit der personenbezogenen Daten informiert ist. Das "Personal" bezeichnet die Mitarbeiter und/oder Beauftragten, Berater, Unterauftragnehmer oder andere Drittanbieter: (i) die von MEWS Systems eingebunden werden, damit sie ihre Verpflichtungen gegenüber dem Partner im Rahmen der Vereinbarung oder des Nachtrags erfüllen können, und (ii) die im Wesentlichen in demselben Umfang wie in der Vereinbarung und dem Nachtrag einer Geheimhaltungspflicht unterliegen. MEWS Die Systeme stellen sicher, dass der Zugriff des Personals auf personenbezogene Daten auf die Personen beschränkt ist, die die Services in Übereinstimmung mit der Vereinbarung erbringen, und dass die Vertraulichkeitsverpflichtungen des Personals auch nach Beendigung der Einbindung des Personals bestehen bleiben. 3.4 Benachrichtigungen MEWS Systems benachrichtigt den Partner so schnell wie wirtschaftlich vertretbar schriftlich: 3.4.1 über jede Mitteilung einer Person in Bezug auf (i) die Rechte einer Person auf Zugang, Änderung, Berichtigung, Löschung oder Sperrung ihrer personenbezogenen Daten; (ii) das Recht einer Person auf Berichtigung, Einschränkung oder Löschung ihrer personenbezogenen Daten, auf Datenübertragbarkeit, auf Widerspruch gegen die Verarbeitung und darauf, keiner automatisierten Entscheidungsfindung unterworfen zu werden; und (iii) jede Beschwerde über die Verarbeitung personenbezogener Daten durch den Partner; soweit dies nicht gesetzlich verboten ist, über Vorladungen oder andere gerichtliche oder behördliche Anordnungen oder Verfahren, die den Zugang zu personenbezogenen Daten oder deren Offenlegung verlangen; 3.4.2 soweit dies nicht gesetzlich verboten ist, von jeder Beschwerde, Mitteilung oder sonstigen Mitteilung, die sich auf die Regelkonformität des Partners mit dem Datenschutz und der Verarbeitung personenbezogener Daten bezieht. MEWS Systems stellt dem Partner eine wirtschaftlich angemessene Zusammenarbeit und Unterstützung (auf Kosten des Partners) in Bezug auf eine solche Beschwerde, Mitteilung oder Kommunikation zur Verfügung; und 3.4.3 einer wesentlichen Verletzung der Sicherheit der Services, die zu einem unbefugten Zugriff auf Partnerdaten führt, von der wir Kenntnis erlangen, in Übereinstimmung mit geltendem Recht ("Sicherheitsverletzung"). MEWS Systems unternimmt angemessene Anstrengungen, um die Ursache einer solchen Sicherheitsverletzung zu ermitteln und die notwendigen und angemessenen Schritte zu unternehmen, die für den Partner akzeptabel sind, um die Ursache einer solchen Sicherheitsverletzung zu beheben, soweit die Behebung in der angemessenen Kontrolle von MEWS Systems liegt. Die hierin enthaltenen Verpflichtungen gelten nicht für Vorfälle, die vom Partner verursacht wurden. 3.5 Kein Anerkenntnis Der Partner stimmt zu, dass die Verpflichtung von MEWS Systems, die Sicherheitsverletzung zu melden, nicht als Anerkenntnis eines Verschuldens oder einer Haftung von MEWS Systems in Bezug auf diese Sicherheitsverletzung durch MEWS Systems ausgelegt werden kann und wird. 3.6 Datenrückgabe und Löschung Vorbehaltlich der in den geltenden Gesetzen festgelegten Einschränkungen gibt MEWS Systems dem Partner alle dauerhaften Daten des Partners (sofern diese nicht bereits gemäß den geltenden Gesetzen gelöscht wurden) nach standardisierten Verfahren und innerhalb wirtschaftlich angemessener Fristen zurück. 3.7 MEWS Systems Compliance MEWS Systems hält die Regelkonformität mit den Datenschutzgesetzen ein, die für die eigenen Betriebsabläufe und die Erbringung der vertragsgemäßen Services gelten, sowie mit seinen Verpflichtungen aus diesem Nachtrag. 3.8 Audit Der Partner hat das Recht, ein Audit durchzuführen, um die Regelkonformität von MEWS Systems mit seinen Verpflichtungen gemäß Art. 28 DSVGO und in diesem Nachtrag. MEWS Systems gestattet dem Partner die Durchführung des Audits unter den folgenden Bedingungen: (i) der Partner bittet MEWS Systems mindestens 30 (dreißig) Tage im Voraus schriftlich um die Durchführung des Audits; (ii) der Partner gibt die Tagesordnung für ein solches Audit in der Mitteilung unter (i) an; (iii) das Audit findet nicht öfter als einmal im Jahr statt; (iv) alle damit verbundenen Kosten und Auslagen werden vom Partner getragen und MEWS Systems auf Verlangen erstattet; und (v) die Prüfung darf nicht länger als ein Arbeitstag (8 Stunden) des Vertreters von MEWS Systems dauern. Verlangt der Partner die Prüfung durch einen unabhängigen Drittanbieter - einen externen zugelassenen Wirtschaftsprüfer -, kann MEWS Systems einen vom Partner mit der Prüfung beauftragten externen zugelassenen Wirtschaftsprüfer ablehnen, wenn dieser nach angemessener Einschätzung von MEWS Systems nicht ausreichend qualifiziert oder unabhängig, ein Wettbewerber von MEWS Systems oder anderweitig offensichtlich ungeeignet ist. Bei einem solchen Einspruch muss der Partner einen anderen Prüfer bestellen. Falls der Partner mehr als eine Prüfung innerhalb eines Kalenderjahres verlangt, muss er die vorherige schriftliche Berechtigung von MEWS Systems einholen und die mit diesen Prüfungen verbundenen Kosten tragen sowie MEWS Systems alle angemessenen Kosten für diese Prüfungen erstatten. Auf Anfrage des Partners teilt MEWS Systems dem Partner die geschätzten Kosten mit, die ihm bei einer solchen Prüfung voraussichtlich entstehen werden, und zwar in dem Umfang, der in der vom Partner vorgelegten Agenda angegeben ist.

4.1 Die Verarbeitung personenbezogener Daten durch den Partner

Der Partner verarbeitet bei der Nutzung der Services personenbezogene Daten in Übereinstimmung mit den Anforderungen der Datenschutzgesetze. Um Zweifel auszuschließen, garantiert der Partner, dass seine Anweisungen für die Verarbeitung personenbezogener Daten mit der Datenschutzgesetzgebung übereinstimmen und dass er keine Anweisung oder Bestellung erteilt, die MEWS Systems anweist, eine rechtswidrige oder anderweitig nicht mit der Regelkonformität übereinstimmende Handlung oder Vorgehensweise vorzunehmen. Der Partner trägt die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der personenbezogenen Daten und für die Mittel, mit denen der Partner personenbezogene Daten erworben hat.

4.2 Regelkonformität des Partners

Zusätzlich zu den in der Vereinbarung genannten Verpflichtungen des Partners ist der Partner verantwortlich für (i) die Integrität, die Sicherheit, die Pflege und den angemessenen Schutz der personenbezogenen Daten und (ii) die Sicherstellung der Regelkonformität mit allen geltenden Gesetzen und Vorschriften zum Schutz der Privatsphäre, zum Datenschutz und zur Sicherheit in Bezug auf: (a) seine Verarbeitung der personenbezogenen Daten; (b) seine Nutzung der Services; und (c) alle Anforderungen an die Registrierung oder Meldung der Datenverarbeitung, denen der Partner nach geltendem Recht unterliegt.

4.3 Benachrichtigungen

Der Partner erklärt sich damit einverstanden, alle erforderlichen Mitteilungen an Einzelpersonen zu machen und von diesen die erforderlichen Zustimmungen und Rechte in Bezug auf die Bereitstellung von Services durch MEWS Systems für den Partner einzuholen. Wenn MEWS Systems eine in den Bereichen 3.4.1 oder 3.4.3 beschriebene Mitteilung erhält und den Partner darüber informiert, liegt es in der Verantwortung des Partners, auf die Mitteilung zu reagieren und alle anderen angemessenen Maßnahmen zu ergreifen. Der Partner verpflichtet sich, MEWS Systems unverzüglich über jede unbefugte Nutzung der Services oder des Kontos des Partners oder über jede andere Verletzung der Sicherheit der Services zu informieren.

4.4 Technische und organisatorische Maßnahmen

Der Partner ist allein für die Implementierung und Aufrechterhaltung von Sicherheitsmaßnahmen und anderen technischen und organisatorischen Maßnahmen verantwortlich, die der Art und dem Umfang der personenbezogenen Daten angemessen sind, die der Partner speichert oder anderweitig über die Services verarbeitet. Der Partner ist auch für die Nutzung der Services durch seine Mitarbeiter, alle Personen, denen der Partner den Zugriff auf die Services gestattet, und alle Personen verantwortlich, die aufgrund der Nichteinhaltung angemessener Sicherheitsvorkehrungen Zugang zu seinen persönlichen Daten oder den Services erhalten, selbst wenn diese Nutzung nicht vom Partner genehmigt wurde.

5.1 Zusammenarbeit mit Partnern und MEWS Systems

Der Partner und MEWS Systems verpflichten sich, in wirtschaftlich angemessener Weise zusammenzuarbeiten, soweit dies zum Schutz der personenbezogenen Daten nach den geltenden Gesetzen, Artikel 35 und 36 der DSVGO und dem EU-U.S. Recht erforderlich ist. Privacy Shield Framework, um eine Datenschutz-Folgenabschätzung zugehörig zur Nutzung der Services durch den Partner durchzuführen, soweit der Partner nicht anderweitig Zugang zu den relevanten Daten hat und soweit diese Daten MEWS Systems zur Verfügung stehen. Der Partner muss bei der angemessenen Untersuchung von Ausfällen des Services, Sicherheitsproblemen und vermuteten Sicherheitsverletzungen durch MEWS Systems kooperieren. Der Partner unterstützt MEWS Systems in angemessenem Umfang bei der Zusammenarbeit oder der vorherigen Konsultation mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben im Zusammenhang mit diesem Bereich, soweit dies nach der DSVGO oder dem geltenden Recht erforderlich ist.

5.2 Die Unterstützung von MEWS Systems bei der Einhaltung der Regelkonformität durch den Partner

Während der Laufzeit der Vereinbarung zwischen dem Partner und MEWS Systems kann der Partner verlangen, dass MEWS Systems den Partner bei seinen Bemühungen unterstützt, die Verpflichtungen des Partners gemäß den geltenden Datenschutzgesetzen und -vorschriften einzuhalten, vorausgesetzt, (i) die angeforderte Unterstützung bezieht sich auf Services, die die Verarbeitung von personenbezogenen Daten unterstützen, (ii) die angeforderte Unterstützung wirtschaftlich vernünftig ist und in einem angemessenen Verhältnis zum Ziel der Aufgabe steht, bei der MEWS Systems um Unterstützung gebeten wird, und (iii) wenn MEWS Systems der Unterstützung zustimmt, alle damit verbundenen Kosten und Auslagen (einschließlich der Kosten für die Arbeitszeit seiner Mitarbeiter) vom Partner getragen und MEWS Systems auf Anfrage erstattet werden.

6.1 In Bezug auf Dritte oder Unterauftragnehmer für die Verarbeitung personenbezogener Daten darf MEWS Systems einen Drittanbieter (Unterauftragsverarbeiter) nur mit vorheriger Zustimmung des Partners mit der Verarbeitung personenbezogener Daten beauftragen, vorausgesetzt, die Bestimmungen über die Datenverarbeitung und den Datenschutz im Vertrag des Unterauftragsverarbeiters in Bezug auf die personenbezogenen Daten entsprechen im Wesentlichen den Bestimmungen dieses Nachtrags, vorausgesetzt, der Vertrag des Unterauftragsverarbeiters in Bezug auf die personenbezogenen Daten endet automatisch bei Beendigung der Vereinbarung aus irgendeinem Grund. Mit der Unterzeichnung dieses Nachtrags genehmigt der Partner die folgenden Personen: (i) die in Anhang Nr. 2 aufgeführten Unterauftragsverarbeiter, (ii) die verbundenen Unternehmen von MEWS Systems und (iii) alle Unterauftragsverarbeiter, die der Partner über seinen autorisierten Benutzer autorisiert hat, indem er eine Integration mit den Services von MEWS Systems über das MEWS Konto oder auf andere Weise genehmigt hat. MEWS Systems kann während der Laufzeit der Vereinbarung neue Unterauftragsverarbeiter in die Verarbeitung einbeziehen, vorausgesetzt, dass diese Unterauftragsverarbeiter nur in dem Maße auf personenbezogene Daten zugreifen und diese nutzen, wie es zur Erfüllung der an sie übertragenen Pflichten erforderlich ist.

6.2 Widerspruchsrecht für neue Unterauftragsverarbeiter

Der Partner kann dem Einsatz eines neuen Unterauftragsverarbeiters durch MEWS Systems widersprechen, indem er MEWS Systems innerhalb von zehn (10) Arbeitstagen nach Erhalt der Mitteilung von MEWS Systems schriftlich benachrichtigt und die Mängel angibt. Sollte der Partner einem neuen Unterauftragsverarbeiter widersprechen, wird MEWS Systems sich bemühen, zusätzliche Sicherheitsvorkehrungen hinzuzufügen (die die angegebenen Mängel abdecken) oder den Unterauftragsverarbeiter auszutauschen (gegenüber dem Unterauftragsverarbeiter); sollte MEWS Systems dazu nicht in der Lage sein, wird MEWS Systems angemessene Anstrengungen unternehmen, um dem Partner eine Änderung der Services zur Verfügung zu stellen oder eine wirtschaftlich vertretbare Änderung der Konfiguration oder Nutzung der Services durch den Partner zu empfehlen, um die Verarbeitung personenbezogener Daten durch den beanstandeten neuen Unterauftragsverarbeiter zu vermeiden, ohne den Partner unangemessen zu belasten. Wenn MEWS Systems nicht in der Lage ist, eine solche Änderung innerhalb einer angemessenen Frist, die dreißig (30) Tage nicht überschreiten darf, zur Verfügung zu stellen, kann der Partner nur den Teil der Services kündigen, der von MEWS Systems nicht ohne den Einsatz des beanstandeten neuen Auftragsverarbeiters erbracht werden kann, indem er MEWS Systems schriftlich informiert. MEWS Systems wird dem Partner alle im Voraus gezahlten Gebühren für die verbleibende Laufzeit der Vereinbarung nach dem Datum der Kündigung für den gekündigten Teil der Services zurückerstatten, was das einzige und ausschließliche Rechtsmittel des Partners im Zusammenhang mit der Einführung eines neuen Unterprozessors darstellt.

6.3 Haftung

MEWS Systems haftet für die Handlungen und Unterlassungen seiner Unterauftragsverarbeiter in demselben Umfang, in dem MEWS Systems haften würde, wenn die Services des jeweiligen Unterauftragsverarbeiters direkt unter den Bedingungen dieses Nachtrags erbracht würden, es sei denn, in der Vereinbarung ist etwas anderes festgelegt.

7.1 Datenübertragung

Die Parteien vereinbaren, dass personenbezogene Daten nur dann aus der Europäischen Union/dem Europäischen Wirtschaftsraum in ein Drittland übermittelt werden dürfen, wenn eine der folgenden Bedingungen zutrifft: (a) es gibt einen anwendbaren Beschluss der Europäischen Kommission, der besagt, dass das Drittland ein angemessenes Schutzniveau gewährleistet; oder (b) die Übermittlung darf stattfinden, weil MEWS Systems angemessene Garantien gemäß Art. 46 DSVGO und unter der Voraussetzung, dass durchsetzbare Rechte der betroffenen Person und wirksame Rechtsbehelfe für die betroffenen Personen verfügbar sind; oder (c) die Ausnahmeregelungen für besondere Situationen gemäß Art. 49 der DSVGO gelten. Für die Zwecke von Art. 7.1 dieses Nachtrags gelten die Standardvertragsklauseln, die Anhang Nr. 1 (Standardvertragsklauseln) dieses Nachtrags bilden, als angemessene Sicherheitsvorkehrungen. Der Kunde ermächtigt MEWS Systems hiermit, die Standardvertragsklauseln einzuhalten, um personenbezogene Daten in Drittländer zu übermitteln.

7.2 Standardvertragsklauseln

Um den Datentransfer von/nach Drittländern in/aus der Europäischen Union/dem Europäischen Wirtschaftsraum zu ermöglichen, werden die Standardvertragsklauseln (Anhang Nr. 1 zu diesem Nachtrag) hiermit in diesen Nachtrag aufgenommen und sind untrennbarer Bestandteil dieses Nachtrags.

8.1 Der Partner erklärt sich damit einverstanden, dass jeder autorisierte Benutzer des Partners kontaktiert werden kann und berechtigt ist, alle Mitteilungen in Bezug auf diesen Nachtrag zu erhalten.

9.1 Begünstigte Drittanbieter

Betroffene Personen sind die einzigen Drittanbieter, die durch die Standardvertragsklauseln begünstigt werden, und es gibt keine anderen Drittanbieter, die durch den Vertrag und diesen Nachtrag begünstigt werden. Ungeachtet des Vorstehenden gelten die Vereinbarung und die Laufzeiten dieses Nachtrags nur für die Parteien und übertragen keine Rechte auf verbundene Unternehmen des Partners, Endbenutzer des Partners oder Drittanbieter von Daten.

9.2 Geltendes Recht

Dieser Nachtrag ändert nicht den Bereich des anwendbaren Rechts in der Vereinbarung, der zur Vermeidung von Zweifeln für alle Ansprüche aus der Vereinbarung und diesem Nachtrag maßgeblich ist. Soweit die Standardvertragsklauseln anwendbar sind und soweit eine betroffene Person einen Anspruch gemäß Klausel 3.2 der Standardvertragsklauseln in Bezug auf die Verarbeitung personenbezogener Daten durch MEWS Systems geltend macht, unterliegen die Standardvertragsklauseln der Klausel 9 (Anwendbares Recht) der Standardvertragsklauseln und sind entsprechend auszulegen.

9.3 Begrenzung der Haftung

Die Rechtsmittel des Partners, einschließlich der seiner verbundenen Unternehmen, und die Haftung von MEWS Systems, die sich aus oder in Bezug auf diesen Nachtrag und die Standardvertragsklauseln ergeben, unterliegen den Haftungsbeschränkungen und Haftungsausschlüssen, die in der Vereinbarung festgelegt sind, oder, falls in der Vereinbarung keine Haftungsbeschränkungen festgelegt sind, vereinbaren und erklären die Parteien, dass der Gesamtschaden, der sich aus der Verletzung dieses Nachtrags und/oder der Standardvertragsklauseln ergeben kann, zehntausend Euro nicht übersteigen darf.

9.4 Laufzeit

Dieser Nachtrag wird für den Zeitraum abgeschlossen, der der Laufzeit der Vereinbarung entspricht. Dieser Nachtrag endet zeitgleich und automatisch mit der Beendigung der Vereinbarung.

9.5 Terminierung

MEWS Systems kann diesen Nachtrag kündigen, wenn MEWS Systems dem Partner alternative Mechanismen anbietet, die den Verpflichtungen der geltenden Datenschutzgesetze entsprechen.

9.6 Gegenstücke

Dieser Nachtrag kann in mehreren Ausfertigungen unterzeichnet werden, die zusammen als ein Original gelten.

Für die Zwecke von Artikel 26 Absatz 2 der Richtlinie 95/46/EG für die Übermittlung personenbezogener Daten an Auftragsverarbeiter mit Sitz in Drittländern, die kein angemessenes Datenschutzniveau gewährleisten

Die Partnerorganisation, die eine Partei des Nachtrags ist, dem diese Standardvertragsklauseln angehängt sind.  

Name der Daten exportierenden Organisation:

Adresse:

Tel. …; Fax …; E-Mail: …

Andere Informationen, die zur Identifizierung der Organisation erforderlich sind

…

(der Datenexporteur)

Und

Name der Organisation, die die Daten importiert: …

Adresse: …

Tel. …; Fax …; E-Mail: …

Andere Informationen, die zur Identifizierung der Organisation erforderlich sind:

…

(der Datenimporteur oder der Unterauftragsverarbeiter (je nach Fall))

jeweils eine "Partei"; zusammen "die Parteien",

SIND auf die folgenden Vertragsklauseln (die Klauseln) ÜBEREINGEKOMMEN, um angemessene Garantien für den Schutz der Privatsphäre und der Grundrechte und -freiheiten natürlicher Personen bei der Übermittlung der in Anlage 1 aufgeführten personenbezogenen Daten durch den Datenexporteur an den Datenimporteur zu schaffen.

Definitionen 

Für die Zwecke der Klauseln:

1. Die Begriffe "personenbezogene Daten", "besondere Kategorien von Daten", "Verarbeitung", "Verantwortlicher", "Auftragsverarbeiter", "betroffene Person" und "Kontrollstelle" haben die gleiche Bedeutung wie in der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr;
2. Der "Datenexporteur" ist der Verantwortliche, der die personenbezogenen Daten übermittelt;
3. Der "Datenimporteur" ist der Auftragsverarbeiter, der sich damit einverstanden erklärt, vom Datenexporteur personenbezogene Daten zu erhalten, die nach der Übermittlung in seinem Namen gemäß seinen Anweisungen und den Bedingungen der Klauseln verarbeitet werden sollen, und der keinem System eines Drittlandes unterliegt, das einen angemessenen Schutz im Sinne des Artikels 25 Absatz 1 der Richtlinie 95/46/EG gewährleistet;
4. Unterauftragsverarbeiter" ist jeder vom Datenimporteur oder von einem anderen Unterauftragsverarbeiter des Datenimporteurs eingebundene Auftragsverarbeiter, der sich damit einverstanden erklärt, vom Datenimporteur oder von einem anderen Unterauftragsverarbeiter des Datenimporteurs personenbezogene Daten zu erhalten, die ausschließlich für Verarbeitungstätigkeiten bestimmt sind, die nach der Übermittlung im Namen des Datenexporteurs gemäß seinen Anweisungen, den Klauseln und den Bedingungen des schriftlichen Untervertrags durchgeführt werden;
5. das geltende Datenschutzrecht' sind die Rechtsvorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihres Rechts auf Privatsphäre bei der Verarbeitung personenbezogener Daten, die für einen Verantwortlichen in dem Mitgliedstaat gelten, in dem der Datenexporteur niedergelassen ist;

technische und organisatorische Sicherheitsmaßnahmen": Maßnahmen zum Schutz personenbezogener Daten gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung von Daten über ein Netzwerk umfasst, sowie gegen alle anderen Formen der unrechtmäßigen Verarbeitung.

Details der Überweisung 

Die Einzelheiten der Übermittlung und insbesondere die besonderen Kategorien personenbezogener Daten, sofern zutreffend, sind in Anhang 1 aufgeführt, der integraler Bestandteil der Klauseln ist.

1. Die betroffene Person kann diese Klausel, Klausel 4(b) bis (i), Klausel 5(a) bis (e) und (g) bis (j), Klausel 6(1) und (2), Klausel 7, Klausel 8(2) und die Klauseln 9 bis 12 als Drittbegünstigter gegenüber dem Datenexporteur geltend machen.
2. Die betroffene Person kann diesen Paragraphen, Paragraphen 5 a) bis e) und g), Paragraphen 6, Paragraphen 7, Paragraphen 8 Absatz 2 und Paragraphen 9 bis 12 gegenüber dem Datenimporteur geltend machen, wenn der Datenexporteur faktisch oder rechtlich nicht mehr existiert, es sei denn, ein Nachfolgeunternehmen hat die gesamten rechtlichen Verpflichtungen des Datenexporteurs durch Vertrag oder von Rechts wegen übernommen, wodurch es in die Rechte und Pflichten des Datenexporteurs eintritt; in diesem Fall kann die betroffene Person sie gegenüber diesem Unternehmen geltend machen.
3. Die betroffene Person kann diesen Paragrafen, Paragraf 5 Buchstaben a bis e und g, Paragraf 6, Paragraf 7, Paragraf 8 Absatz 2 und die Paragrafen 9 bis 12 gegenüber dem Unterauftragsverarbeiter durchsetzen, wenn sowohl der Datenexporteur als auch der Datenimporteur faktisch oder rechtlich nicht mehr existieren oder insolvent geworden sind, es sei denn, ein Nachfolgeunternehmen ist durch Vertrag oder kraft Gesetzes in die Rechte und Pflichten des Datenexporteurs eingetreten; in diesem Fall kann die betroffene Person die Rechte und Pflichten des Datenexporteurs gegenüber diesem Unternehmen geltend machen. Die Haftung des Unterauftragsverarbeiters gegenüber Dritten ist auf seine eigenen Betriebsabläufe gemäß den Klauseln beschränkt.
4. Die Parteien haben keine Einwände dagegen, dass eine betroffene Person von einem Verband oder einer anderen Einrichtung vertreten wird, wenn die betroffene Person dies ausdrücklich wünscht und es nach nationalem Recht zulässig ist.

Pflichten des Datenexporteurs/der Datenexporteurin 

Der Datenexporteur stimmt zu und garantiert:

1. dass die Verarbeitung der personenbezogenen Daten, einschließlich der Übermittlung selbst, im Einklang mit den einschlägigen Bestimmungen des anwendbaren Datenschutzrechts erfolgt ist und weiter erfolgen wird (und ggf. den zuständigen Behörden des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, gemeldet wurde) und nicht gegen die einschlägigen Bestimmungen dieses Staates verstößt;
2. dass er den Datenimporteur angewiesen hat und während der Dauer der Services zur Verarbeitung personenbezogener Daten anweisen wird, die übermittelten personenbezogenen Daten nur im Namen des Datenexporteurs und in Übereinstimmung mit dem geltenden Datenschutzrecht und den Klauseln zu verarbeiten;
3. dass der Datenimporteur ausreichende Garantien in Bezug auf die technischen und organisatorischen Sicherheitsmaßnahmen gemäß Anlage 2 zu diesem Vertrag bietet;
4. dass die Sicherheitsmaßnahmen nach Prüfung der Anforderungen des geltenden Datenschutzrechts geeignet sind, personenbezogene Daten vor zufälliger oder unrechtmäßiger Zerstörung, zufälligem Verlust, zufälliger Veränderung, unberechtigter Weitergabe oder unberechtigtem Zugriff, insbesondere wenn die Verarbeitung die Übermittlung von Daten über ein Netzwerk umfasst, und vor jeder anderen Form der unrechtmäßigen Verarbeitung zu schützen, und dass diese Maßnahmen unter Berücksichtigung des Stands der Technik und der Kosten ihrer Implementierung ein Sicherheitsniveau gewährleisten, das den mit der Verarbeitung verbundenen Risiken und der Art der zu schützenden Daten angemessen ist;
5. dass sie die Regelkonformität der Sicherheitsmaßnahmen gewährleistet;
6. dass die betroffene Person, falls die Übermittlung besondere Kategorien von Daten betrifft, vor oder so bald wie möglich nach der Übermittlung darüber informiert wurde oder wird, dass ihre Daten in ein Drittland übermittelt werden könnten, das keinen angemessenen Schutz im Sinne der Richtlinie 95/46/EG bietet;
7. jede vom Datenimporteur oder einem Unterauftragsverarbeiter erhaltene Meldung gemäß Klausel 5(b) und Klausel 8(3) an die Datenschutzaufsichtsbehörde weiterzuleiten, wenn der Datenexporteur beschließt, die Übermittlung weiterzuführen oder die Aussetzung aufzuheben;
8. den betroffenen Personen auf Anfrage ein Exemplar der Klauseln, mit Ausnahme von Anhang 2, und eine Übersicht über die Sicherheitsmaßnahmen zur Verfügung zu stellen, sowie ein Exemplar des Vertrages über Services zur Unterverarbeitung, der gemäß den Klauseln geschlossen werden muss, es sei denn, die Klauseln oder der Vertrag enthalten kommerzielle Informationen; in diesem Fall kann er diese kommerziellen Informationen entfernen;
9. dass im Falle einer Unterverarbeitung die Verarbeitungstätigkeit gemäß Klausel 11 von einem Unterauftragsverarbeiter durchgeführt wird, der mindestens das gleiche Schutzniveau für die personenbezogenen Daten und die Rechte der betroffenen Person gemäß den Klauseln bietet wie der Datenimporteur; und j) dass er die Regelkonformität gemäß Klausel 4 Buchstaben a bis i gewährleistet.

Pflichten des Datenimporteurs/der Datenimporteurin

Der Datenimporteur erklärt sich damit einverstanden und sichert zu:

1. die personenbezogenen Daten nur im Auftrag des Datenexporteurs und unter Einhaltung der Regelkonformität und der Klauseln zu verarbeiten; kann er diese Regelkonformität aus welchen Gründen auch immer nicht gewährleisten, verpflichtet er sich, den Datenexporteur unverzüglich darüber zu informieren, dass er dazu nicht in der Lage ist; in diesem Fall ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder den Vertrag zu kündigen;
2. dass er keinen Grund zu der Annahme hat, dass die auf ihn anwendbaren Rechtsvorschriften ihn daran hindern, die vom Datenexporteur erhaltenen Anweisungen und seine Verpflichtungen aus dem Vertrag zu erfüllen, und dass er im Falle einer Änderung dieser Rechtsvorschriften, die erhebliche nachteilige Auswirkungen auf die in den Klauseln vorgesehenen Garantien und Verpflichtungen haben könnte, dem Datenexporteur die Änderung unverzüglich mitteilen wird, sobald er davon Kenntnis hat; in diesem Fall ist der Datenexporteur berechtigt, die Übermittlung der Daten auszusetzen und/oder den Vertrag zu kündigen;
3. dass sie vor der Verarbeitung der übermittelten personenbezogenen Daten die in Anlage 2 genannten technischen und organisatorischen Sicherheitsmaßnahmen implementiert hat;
4. über die sie den Datenexporteur umgehend informieren wird:
5. 1. jede rechtsverbindliche Aufforderung einer Strafverfolgungsbehörde zur Weitergabe der personenbezogenen Daten, sofern dies nicht anderweitig untersagt ist, z. B. durch ein strafrechtliches Verbot zur Wahrung der Vertraulichkeit einer strafrechtlichen Ermittlung,
   2. jeden versehentlichen oder unbefugten Zugriff und
   3. jede direkt von den betroffenen Personen erhaltene Anfrage, ohne auf diese Anfrage zu antworten, es sei denn, sie wurde anderweitig dazu ermächtigt;
6. alle Anfragen des Datenexporteurs in Bezug auf die Verarbeitung der personenbezogenen Daten, die der Übermittlung zugehören, unverzüglich und ordnungsgemäß zu bearbeiten und den Rat der Aufsichtsbehörde in Bezug auf die Verarbeitung der übermittelten Daten zu befolgen;
7. auf Verlangen des Datenexporteurs seine Datenverarbeitungsanlagen zur Prüfung der unter die Klauseln fallenden Verarbeitungstätigkeiten vorzulegen, die vom Datenexporteur oder einer vom Datenexporteur gegebenenfalls im Einvernehmen mit der Aufsichtsbehörde ausgewählten Kontrollstelle durchgeführt wird, die sich aus unabhängigen Mitgliedern zusammensetzt, die über die erforderlichen beruflichen Qualifikationen verfügen und zur Verschwiegenheit verpflichtet sind;
8. der betroffenen Person auf Anfrage eine Kopie der Klauseln oder eines bestehenden Vertrags über die Unterverarbeitung zur Verfügung zu stellen, es sei denn, die Klauseln oder der Vertrag enthalten kommerzielle Informationen; in diesem Fall kann sie diese kommerziellen Informationen entfernen, mit Ausnahme von Anhang 2, der in den Fällen, in denen die betroffene Person keine Kopie vom Datenexporteur erhalten kann, durch eine Übersicht über die Sicherheitsmaßnahmen ersetzt wird;
9. dass sie im Falle einer Unterverarbeitung den Datenexporteur vorher informiert und dessen schriftliche Zustimmung eingeholt hat;
10. dass die Services des Unterauftragsverarbeiters in Übereinstimmung mit Klausel 11 durchgeführt werden;
11. dem Datenexporteur unverzüglich eine Kopie des Unterauftragsverarbeitungsvertrags zu übermitteln, den er gemäß den Klauseln abschließt

Haftung

1. Die Parteien sind sich darüber einig, dass jede betroffene Person, die aufgrund eines Verstoßes gegen die in Klausel 3 oder in Klausel 11 genannten Verpflichtungen durch eine Partei oder einen Unterauftragsverarbeiter einen Schaden erlitten hat, das Recht hat, von dem Datenexporteur eine Entschädigung für den erlittenen Schaden zu erhalten.
2. Ist eine betroffene Person nicht in der Lage, einen Schadensersatzanspruch nach Absatz 1 gegen den Datenexporteur geltend zu machen, der sich aus einem Verstoß des Datenimporteurs oder seines Unterauftragsverarbeiters gegen eine der in Klausel 3 oder in Klausel 11 genannten Pflichten ergibt, weil der Datenexporteur faktisch oder rechtlich nicht mehr existiert oder insolvent geworden ist, erklärt sich der Datenimporteur damit einverstanden, dass die betroffene Person den Datenimporteur so in Anspruch nehmen kann, als wäre er der Datenexporteur, es sei denn, ein Nachfolgeunternehmen hat die gesamten rechtlichen Verpflichtungen des Datenexporteurs durch Vertrag von Rechts wegen übernommen; in diesem Fall kann die betroffene Person ihre Rechte gegenüber diesem Unternehmen durchsetzen. Der Datenimporteur kann sich nicht darauf berufen, dass ein Unterauftragsverarbeiter gegen seine Verpflichtungen verstoßen hat, um seine eigene Haftung zu umgehen.
3. Ist eine betroffene Person nicht in der Lage, einen Anspruch gegen den Datenexporteur oder den Datenimporteur gemäß den Absätzen 1 und 2 geltend zu machen, der sich aus einem Verstoß des Unterauftragsverarbeiters gegen eine der in Klausel 3 oder in Klausel 11 genannten Verpflichtungen ergibt, weil sowohl der Datenexporteur als auch der Datenimporteur faktisch oder rechtlich nicht mehr existieren oder insolvent geworden sind, Der Unterauftragsverarbeiter erklärt sich damit einverstanden, dass die betroffene Person den Unterauftragsverarbeiter in Bezug auf seine eigenen Betriebsabläufe gemäß den Klauseln so in Anspruch nehmen kann, als wäre er der Datenexporteur oder der Datenimporteur, es sei denn, ein Nachfolgeunternehmen hat die gesamten rechtlichen Verpflichtungen des Datenexporteurs oder des Datenimporteurs durch Vertrag oder kraft Gesetzes übernommen; in diesem Fall kann die betroffene Person ihre Rechte gegenüber diesem Unternehmen durchsetzen. Die Haftung des Unterauftragsverarbeiters ist auf seine eigenen Betriebsabläufe gemäß den Klauseln beschränkt.

Mediation und Gerichtsbarkeit 

1. Der Datenimporteur erklärt sich damit einverstanden, dass der Datenimporteur die Entscheidung der betroffenen Person annimmt, wenn sich die betroffene Person gegenüber ihm auf die Rechte eines Drittanbieters beruft und/oder Schadensersatzansprüche gemäß den Klauseln geltend macht:
2. 1. den Streitfall zur Schlichtung an eine unabhängige Person oder gegebenenfalls an die Aufsichtsbehörde zu verweisen;
   2. den Streitfall an die Gerichte des Mitgliedstaats zu verweisen, in dem der Datenexporteur ansässig ist.
3. Die Parteien sind sich darüber einig, dass die Wahl der betroffenen Person ihre materiell- und verfahrensrechtlichen Rechte auf Rechtsbehelfe nach anderen Bestimmungen des nationalen oder internationalen Rechts nicht beeinträchtigt.

Zusammenarbeit mit Aufsichtsbehörden 

1. Der Datenexporteur verpflichtet sich, eine Kopie dieses Vertrags bei der Aufsichtsbehörde zu hinterlegen, wenn diese dies verlangt oder wenn eine solche Hinterlegung nach dem geltenden Datenschutzrecht erforderlich ist.
2. Die Parteien vereinbaren, dass die Aufsichtsbehörde das Recht hat, eine Prüfung des Datenimporteurs und aller Unterauftragsverarbeiter durchzuführen, die denselben Umfang hat und denselben Bedingungen unterliegt, wie sie für eine Prüfung des Datenexporteurs nach dem geltenden Datenschutzrecht gelten würden.
3. Der Datenimporteur informiert den Datenexporteur unverzüglich über das Bestehen von Rechtsvorschriften, die auf ihn oder einen Unterauftragsverarbeiter anwendbar sind und die die Durchführung einer Prüfung des Datenimporteurs oder eines Unterauftragsverarbeiters gemäß Absatz 2 verhindern. In einem solchen Fall ist der Datenexporteur berechtigt, die in Klausel 5 (b) vorgesehenen Maßnahmen zu ergreifen.

Geltendes Recht 

Die Klauseln unterliegen dem Recht des Mitgliedstaats, in dem der Datenexporteur ansässig ist.

Änderung des Vertrags 

Die Parteien verpflichten sich, die Klauseln nicht zu ändern oder zu modifizieren. Dies schließt nicht aus, dass die Parteien bei Bedarf Klauseln zu zugehörigen geschäftlichen Fragen hinzufügen, solange sie der Klausel nicht widersprechen.

Weiterverarbeitung

1. Der Datenimporteur darf keine seiner Betriebsabläufe, die er im Auftrag des Datenexporteurs gemäß den Klauseln durchführt, ohne die vorherige schriftliche Zustimmung des Datenexporteurs an Unterauftragnehmer vergeben. Wenn der Datenimporteur seine Verpflichtungen gemäß den Klauseln mit Zustimmung des Datenexporteurs an einen Unterauftragnehmer vergibt, darf er dies nur im Wege einer schriftlichen Vereinbarung mit dem Unterauftragsverarbeiter tun, die dem Unterauftragsverarbeiter dieselben Verpflichtungen auferlegt, die dem Datenimporteur gemäß den Klauseln auferlegt werden. Kommt der Unterauftragsverarbeiter seinen Datenschutzverpflichtungen aus einer solchen schriftlichen Vereinbarung nicht nach, bleibt der Datenimporteur gegenüber dem Datenexporteur in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters aus dieser Vereinbarung haftbar.
2. Der vorherige schriftliche Vertrag zwischen dem Datenimporteur und dem Unterauftragsverarbeiter sieht auch eine Drittbegünstigungsklausel gemäß Klausel 3 für den Fall vor, dass die betroffene Person den in Klausel 6 Absatz 1 genannten Schadensersatzanspruch gegen den Datenexporteur oder den Datenimporteur nicht geltend machen kann, weil diese faktisch oder rechtlich nicht mehr existieren oder insolvent sind und kein Nachfolgeunternehmen die gesamten rechtlichen Verpflichtungen des Datenexporteurs oder Datenimporteurs durch Vertrag oder kraft Gesetzes übernommen hat. Die Haftung des Unterauftragsverarbeiters gegenüber Dritten ist auf seine eigenen Betriebsabläufe gemäß den Klauseln beschränkt.
3. Die Bestimmungen zu den Datenschutzaspekten bei der Unterverarbeitung des in Absatz 1 genannten Vertrags unterliegen dem Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.
4. Der Datenexporteur führt ein Verzeichnis der gemäß den Klauseln geschlossenen und vom Datenimporteur gemäß Klausel 5 (j) gemeldeten Unterverarbeitungsverträge, das mindestens einmal pro Jahr aktualisiert wird. Die Liste muss der Datenschutzaufsichtsbehörde des Datenexporteurs zur Verfügung stehen.

Verpflichtung nach Beendigung der Services zur Verarbeitung personenbezogener Daten 

1. Die Parteien vereinbaren, dass der Datenimporteur und der Unterauftragsverarbeiter bei Beendigung der Erbringung von Services zur Datenverarbeitung nach Wahl des Datenexporteurs alle übermittelten personenbezogenen Daten und die Kopien davon an den Datenexporteur zurückgeben oder alle personenbezogenen Daten vernichten und dies dem Datenexporteur bescheinigen, es sei denn, der Datenimporteur ist aufgrund gesetzlicher Vorschriften daran gehindert, alle oder einen Teil der übermittelten personenbezogenen Daten zurückzugeben oder zu vernichten. In diesem Fall garantiert der Datenimporteur, dass er die Vertraulichkeit der importierten personenbezogenen Daten gewährleistet und die übertragenen personenbezogenen Daten nicht mehr aktiv verarbeiten wird.
2. Der Datenimporteur und der Unterauftragsverarbeiter garantieren, dass sie auf Verlangen des Datenexporteurs und/oder der Aufsichtsbehörde ihre Datenverarbeitungsanlagen für eine Prüfung der in Absatz 1 genannten Maßnahmen vorlegen werden.

Im Namen des Datenexporteurs:

Name (vollständig ausgeschrieben):

Position: Adresse:

Weitere Informationen, die für die Verbindlichkeit der Bestellung erforderlich sind (falls zutreffend):

Unterschrift……………………………………….

(Stempel der Organisation)

Im Namen des Daten-Importeurs: 

Name (vollständig ausgeschrieben):

Position: Adresse:

Weitere Informationen, die für die Verbindlichkeit der Bestellung erforderlich sind (falls zutreffend):

Unterschrift……………………………………….

(Stempel der Organisation)

a. Datenexporteur

Der Datenexporteur ist MEWS Systems, ein Anbieter von Services, wie in der Vereinbarung angegeben (falls zutreffend).

b. Daten importieren 

Der Datenimporteur ist das Unternehmen (ein Unterauftragsverarbeiter), das personenbezogene Daten außerhalb des EWR erhält und bestimmte Services für MEWS Systems in Verbindung mit den Services für den Partner erbringt.

c. Betroffene Personen

Die übermittelten personenbezogenen Daten können Personen betreffen, über die der Datenexporteur über das von MEWS Systems gehostete System und/oder die Services personenbezogene Daten übermittelt oder speichert, wozu in der Regel Personen (Gäste oder potentielle Neukunden) gehören, die die Services des Partners nutzen.

d. Kategorien von Daten

Die übermittelten personenbezogenen Daten betreffen die folgenden Datenkategorien: Daten der Gäste, die in den Kontaktformularen enthalten sind, Kontakt- und Identifizierungsinformationen, einschließlich Name, Titel, E-Mail-Adresse und Adresse, Ausweis- und/oder Reisepassnummern, Zahlungsdaten, Präferenzen der Gäste und Details zu den Services der Partner sowie begrenzte Verbindungs- und Standortdaten (Stadt) in elektronischer Form, die im Rahmen der Services von MEWS Systems an den Datenimporteur übertragen werden (bereitgestellt durch den jeweiligen Unterverarbeiter/Importeur)

e. Betriebsabläufe der Verarbeitung

Die übermittelten personenbezogenen Daten sind Gegenstand der folgenden grundlegenden Verarbeitungstätigkeiten:

Sammeln, Aufzeichnen, Organisieren, Strukturieren, Speichern, Anpassen oder Ändern, Abrufen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreiten oder sonstiges Zugänglichmachen, Angleichen oder Kombinieren, Restriktion, Löschen oder Vernichten.

Der Partner muss im Zusammenhang mit der Nutzung der Services angemessene Sicherheitsvorkehrungen treffen, einschließlich einer angemessenen Verschlüsselung aller personenbezogenen Daten, die auf dem gehosteten System gespeichert sind oder von diesem übertragen werden.

Dieser Anhang ist Teil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden

Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, die der Datenimporteur gemäß Klausel 4(d) und 5(c) implementiert hat (oder Dokument/Rechtsvorschrift im Anhang): 

Der Datenimporteur hat Sicherheitsmaßnahmen zu implementieren, die den Anforderungen des Abkommens, des Nachtrags und aller Zusatzdokumente entsprechen, die gemäß dem Abkommen abgeschlossen wurden.