Mews Datenverarbeitung Addendum

Version: 1.1, Gültigkeitsdatum: 9. Oktober 2019

Version 2.1, Gültigkeitsdatum: 1. April 2021

Diese Version 2.2. des Zusatzes zur Datenverarbeitung ("Zusatz") gilt für alle Verträge, die ab dem 27. September 2021 abgeschlossen werden.

Dieser Nachtrag ist Bestandteil des Kooperationsvertrags, der Allgemeinen Geschäftsbedingungen, die unter https://www.mews.com/de/terms-conditions/master ("Allgemeine Geschäftsbedingungen") abrufbar sind, oder einer anderen Vereinbarung (Allgemeine Geschäftsbedingungen oder eine solche andere Vereinbarung wird im Folgenden auch als "Vereinbarung" bezeichnet), die zwischen Mews' Partner, wie in der jeweiligen Vereinbarung definiert ("Mews") und dir ("Partner"). Dieser Nachtrag ergänzt die Laufzeiten der zwischen Mews und dem Partner geschlossenen Vereinbarung. Im Falle widersprüchlicher Bestimmungen zwischen der Vereinbarung und diesem Nachtrag hat dieser Nachtrag Vorrang, es sei denn, die Parteien vereinbaren ausdrücklich und schriftlich spezifische Abweichungen von diesem Nachtrag in der Vereinbarung.

Für die Zwecke dieses Nachtrags haben die in Großbuchstaben geschriebenen Begriffe die folgenden Bedeutungen.  Großgeschriebene Begriffe, die hier nicht anders definiert sind, haben die Bedeutung, die ihnen im Vertrag oder in den Allgemeinen Geschäftsbedingungen gegeben wird.

"Verbundene(s) Unternehmen" bedeutet in Bezug auf ein Unternehmen, dass das "Verbundene Unternehmen" jedes andere Unternehmen ist, das das ursprüngliche Unternehmen direkt oder indirekt kontrolliert, von ihm kontrolliert wird oder unter direkter oder indirekter gemeinsamer Kontrolle steht. Ein Unternehmen beherrscht ein anderes Unternehmen, wenn es entweder direkt oder indirekt (i) 20 % oder mehr der Anteile mit gewöhnlichen Stimmrechten für die Wahl der Manager/Geschäftsführerinnen dieses Unternehmens besitzt; oder (ii) die Macht hat, die Leitung oder die Politik des anderen Unternehmens zu bestimmen oder zu veranlassen, sei es durch den Besitz von stimmberechtigten Wertpapieren, durch einen Vertrag oder auf andere Weise;

"Autorisierter Benutzer" ist eine Person, die vom Partner ermächtigt wurde, auf die Plattform Mews und/oder das Konto Mews zuzugreifen und Anweisungen an Mewszu erteilen sowie Mitteilungen von zu erhalten, unabhängig davon, ob dies über die Plattform Mews , das Konto Mews , per E-Mail oder auf andere Weise geschieht;

"Verantwortlicher" ist eine Person oder Einrichtung, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt;

"Datenschutzgesetzgebung" bedeutet EU-Datenschutzgesetze, britische Datenschutzgesetze, CCPA und/oder jede andere anwendbare Datenschutzgesetzgebung des Landes, in dem Mews Mitglied ist, wie in der Vereinbarung definiert;

"Betroffene Person" ist die identifizierte oder identifizierbare Person, auf die sich die personenbezogenen Daten beziehen;

"EU-Datenschutzgesetze" bezeichnet die DSVGO und die EU-Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG);

"DSVGO" ist die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung);

"Personenbezogene Daten" sind alle Informationen, die sich auf (i) eine identifizierte oder identifizierbare natürliche Person und/oder (ii) eine identifizierte oder identifizierbare juristische Person beziehen (sofern diese Informationen durch die Datenschutzgesetze ähnlich wie Daten, die eine lebende Person identifizieren, geschützt sind); für die Zwecke dieses Nachtrags gehören dazu auch personenbezogene Daten der Gäste, d.h. Daten in den Kontaktformularen, Kontakt- und Identifizierungsinformationen, einschließlich Name, Titel, E-Mail-Adresse und Adresse, Ausweis- und/oder Reisepassnummern, Zahlungsdetails, Präferenzen der Gäste und Details zu den Services des Partners sowie begrenzte Verbindungs- und Standortdaten (Stadt). Die personenbezogenen Daten enthalten keine besonderen Datenkategorien.

"Verarbeitung" ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, die Strukturierung, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Restriktion, das Löschen oder die Vernichtung; um Zweifel auszuschließen, fällt die Verarbeitung anderer Informationen als personenbezogener Daten (z. B. anonymisierte Daten) zur Verbesserung der Services von Mews nicht in den Anwendungsbereich dieses Zusatzes;

"Auftragsverarbeiter" oder "Unterauftragsverarbeiter" ist eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag eines Verantwortlichen und/oder Auftragsverarbeiters verarbeitet;

"Services" im Sinne dieses Nachtrags sind die von Mews für den Partner gemäß der Vereinbarung erbrachten Services;

"Standardvertragsklauseln" sind die Standardvertragsklauseln im Anhang zum Durchführungsbeschluss 2021/914 der Europäischen Kommission vom 4. Juni 2021.

"Aufsichtsbehörde" ist eine unabhängige öffentliche Behörde, die von einem EU-Mitgliedstaat oder einem anderen Land gemäß der DSVGO oder einem entsprechenden Gesetz eingerichtet wurde;

"UK Data Protection Laws" bezeichnet alle Gesetze zum Datenschutz, zur Verarbeitung personenbezogener Daten, zum Schutz der Privatsphäre und/oder zur elektronischen Kommunikation, die jeweils im Vereinigten Königreich gelten, einschließlich der DSVGO und dem Data Protection Act 2018.

"UK DSVGO" bezeichnet die DSVGO in der Form, wie sie gemäß Bereich 3 des European Union (Withdrawal) Act 2018 des Vereinigten Königreichs in britisches Recht gespeichert wurde.

2.1 Verarbeitung von personenbezogenen Daten

Mews und der Auftragsverarbeiter erkennen an, dass der Partner der Verantwortliche oder der primäre Auftragsverarbeiter in Bezug auf die Verarbeitung der relevanten personenbezogenen Daten ist. Mews verarbeitet personenbezogene Daten nur als Auftragsverarbeiter oder Unterauftragsverarbeiter (je nach Nutzung der Services durch den Partner) im Namen des Partners und nur in dem Umfang und auf die Art und Weise, wie es für die in diesem Nachtrag und in der Vereinbarung festgelegten Zwecke erforderlich ist oder wie es der Partner von Zeit zu Zeit anweist. Wenn Mews vernünftigerweise davon ausgeht, dass eine Anweisung des Partners im Widerspruch steht zu: (i) gegen geltende Gesetze und Vorschriften oder (ii) gegen die Bestimmungen der Vereinbarung oder des Nachtrags verstößt, unternimmt Mews alle zumutbaren Anstrengungen, um den Partner zu informieren, und ist berechtigt, die Ausführung der betreffenden Anweisung so lange aufzuschieben, bis sie vom Partner in dem von Mews geforderten Umfang geändert wurde, um ihn davon zu überzeugen, dass die Anweisung rechtmäßig ist, oder bis sie von Partner und Mews einvernehmlich als rechtmäßig angesehen wird.

3.1 Mews' Verarbeitung von personenbezogenen Daten

Mews behandelt personenbezogene Daten als vertrauliche Informationen und verarbeitet personenbezogene Daten nur im Auftrag und in Übereinstimmung mit den dokumentierten Anweisungen des Partners zu folgenden Zwecken: (i) Verarbeitung in Übereinstimmung mit der Vereinbarung; (ii) Verarbeitung, die von autorisierten Benutzern bei der Nutzung der Services veranlasst wird; und (iii) Verarbeitung zur Erfüllung anderer dokumentierter angemessener Anweisungen des Partners (z. B. per E-Mail), sofern diese Anweisungen mit den Bedingungen der Vereinbarung übereinstimmen. Der Partner beauftragt hiermit Mews , die betroffenen Personen per E-Mail über die Verarbeitung ihrer personenbezogenen Daten im Namen des Partners und über die Möglichkeit zu informieren, die Services von Mews zur Verwaltung der Daten, Buchungen und damit verbundenen Services der betroffenen Personen zu nutzen. Mews muss ein Protokoll über die tatsächlich durchgeführten Betriebsabläufe führen.

3.2 Technische und organisatorische Maßnahmen

Mews unterhält und implementiert angemessene und geeignete technische und organisatorische Maßnahmen, die darauf abzielen, personenbezogene Daten vor versehentlicher oder unrechtmäßiger Zerstörung oder versehentlichem Verlust, Veränderung, unbefugter Offenlegung oder Zugriff zu schützen, sowie in Bezug auf die Sicherheit personenbezogener Daten und der Plattformen, die zur Bereitstellung der Services verwendet werden, wie in der Datenschutzgesetzgebung beschrieben. Bei der Implementierung solcher Maßnahmen ist Mews berechtigt, die derzeitige Standardpraxis zu berücksichtigen, um zu bestimmen, was angemessen ist, sowie die Verhältnismäßigkeit der Kosten für die Implementierung solcher Maßnahmen gegenüber dem potenziellen Schaden für die betroffenen Personen abzuwägen, vor dem die Implementierung dieser Maßnahmen schützen soll.

3.3 Personal

Mews stellt sicher, dass sein Personal, das mit der Verarbeitung personenbezogener Daten befasst ist, über seine Pflichten und Verantwortlichkeiten nach diesem Gesetz informiert ist, eine entsprechende Schulung erhalten hat und über die Vertraulichkeit der personenbezogenen Daten informiert ist.  Das "Personal" sind die Mitarbeiter und/oder Beauftragten, Berater, Unterauftragnehmer oder andere Drittanbieter: (i) die von Mews eingebunden werden, damit sie ihre Verpflichtungen gegenüber dem Partner im Rahmen der Vereinbarung oder des Nachtrags erfüllen können, und (ii) die im Wesentlichen in gleichem Maße wie in der Vereinbarung und dem Nachtrag einer Geheimhaltungspflicht unterliegen. Mews stellt sicher, dass der Zugriff des Personals auf personenbezogene Daten auf die Personen beschränkt ist, die die Services in Übereinstimmung mit der Vereinbarung erbringen, und dass die Vertraulichkeitsverpflichtungen des Personals auch nach Beendigung der Einbindung des Personals bestehen bleiben.

3.4 Benachrichtigungen.

Mews benachrichtigt den Partner so schnell wie wirtschaftlich vertretbar in schriftlicher Form:

3.4.1 jede von einer Person erhaltene Mitteilung über (i) die Rechte einer Person auf Zugang, Änderung, Berichtigung, Löschung oder Sperrung ihrer personenbezogenen Daten; (ii) das Recht einer Person auf Berichtigung, Einschränkung oder Löschung ihrer personenbezogenen Daten, auf Datenübertragbarkeit, auf Widerspruch gegen die Verarbeitung und darauf, nicht einer automatisierten Entscheidungsfindung unterworfen zu werden; und (iii) jede Beschwerde über die Verarbeitung personenbezogener Daten durch den Partner; soweit dies nicht gesetzlich verboten ist, jede Vorladung oder sonstige gerichtliche oder behördliche Bestellung oder jedes Verfahren, das den Zugang zu oder die Offenlegung von personenbezogenen Daten verlangt; 3.4.2 soweit dies nicht gesetzlich verboten ist, von jeder Beschwerde, Mitteilung oder sonstigen Mitteilung, die sich auf die Regelkonformität des Partners mit dem Datenschutz und der Verarbeitung personenbezogener Daten bezieht. Mews 3.4.3 einer wesentlichen Verletzung der Sicherheit der Services, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Weitergabe oder zum unbefugten Zugriff auf personenbezogene Daten führt, von der wir Kenntnis erlangen, in Übereinstimmung mit dem anwendbaren Recht ("Sicherheitsverletzung") zu unterstützen. Mews unternimmt angemessene Anstrengungen, um die Ursache einer solchen Sicherheitsverletzung zu ermitteln und die notwendigen und angemessenen Schritte zu unternehmen, die für den Partner akzeptabel sind, um die Ursache einer solchen Sicherheitsverletzung zu beheben, soweit die Behebung in der angemessenen Kontrolle von Mewsliegt. Die hierin enthaltenen Verpflichtungen gelten nicht für Vorfälle, die vom Partner verursacht wurden.

3.5 Keine Anerkenntnis

Mews Der Partner erklärt sich damit einverstanden, dass die Verpflichtung von Mews, den Sicherheitsverstoß zu melden, nicht als Anerkenntnis eines Verschuldens oder einer Haftung von Mews in Bezug auf einen solchen Sicherheitsverstoß ausgelegt werden kann und wird.

3.6 Rückgabe und Löschung von Daten

Vorbehaltlich der in den geltenden Gesetzen festgelegten Beschränkungen gibt Mews dem Partner alle dauerhaften personenbezogenen Daten (sofern sie nicht bereits gemäß den geltenden Gesetzen gelöscht wurden) nach standardisierten Verfahren und innerhalb wirtschaftlich angemessener Fristen zurück.

3.7 Mews Regelkonformität

Mews hält sich an die Datenschutzgesetze, die für seine Betriebsabläufe und die Erbringung der Services im Rahmen der Vereinbarung gelten, sowie an seine Verpflichtungen aus diesem Nachtrag.

3.8 Datenaustausch

Durch die Aktivierung oder Annahme des Datenaustauschs innerhalb des Mews Kontos mit Drittanbietern beauftragt der Partner Mews gemäß Art. 28 (3)a) DSVGO, diesem Drittanbieter Zugang zu allen personenbezogenen Daten und allen anderen Daten zu gewähren, die im Mews Konto des Partners verarbeitet werden. Der Partner ist dafür verantwortlich, alle erforderlichen Einwilligungen der betroffenen Personen oder anderer Drittanbieter in den Datenaustausch gemäß den Anforderungen der geltenden Datenschutzgesetze einzuholen. Der Partner stellt Mews und seine verbundenen Unternehmen von allen Ansprüchen der betroffenen Person oder eines Drittanbieters frei, die sich aus der Verletzung dieser Klausel ergeben, einschließlich aller Verbindlichkeiten, Schäden, Verluste, Kosten und Ausgaben.

3.9 Integrationen

Mews Die Plattform bietet verschiedene Integrationen. Mit der Verbindung oder dem Abonnement der jeweiligen Integration über das Mews Konto beauftragt der Partner Mews gemäß Art. 28 (3)a) DSVGO, dem jeweiligen Integrationspartner Zugang zu den im Mews Konto des Partners verarbeiteten personenbezogenen Daten zu gewähren, soweit dies für das Zusammenwirken der Services oder Produkte des Integrationspartners mit den Mews Services erforderlich ist.

3.10 Prüfung

Der Partner hat das Recht, ein Audit durchzuführen, um zu überprüfen, ob Mewsseine Regelkonformität gemäß Art. 28 DSVGO und in diesem Nachtrag. Mews erlaubt dem Partner die Durchführung der Prüfung unter den folgenden Bedingungen:

1. der Partner Mews mindestens 30 (dreißig) Tage im Voraus schriftlich auffordert, die Prüfung durchzuführen;
2. wird der Partner die Tagesordnung für diese Prüfung in der Meldung unter (i) angeben;
3. die Prüfung findet nicht öfter als einmal im Jahr statt;
4. alle damit verbundenen Kosten und Auslagen werden vom Partner getragen und auf Verlangen an Mews zurückerstattet; und
5. Die Prüfung darf nicht länger dauern als ein Arbeitstag (8 Stunden) des/der Mews Beauftragten.

Falls der Partner die Prüfung durch einen unabhängigen Drittanbieter - einen externen zugelassenen Wirtschaftsprüfer - verlangt, kann Mews gegen einen vom Partner mit der Prüfung beauftragten externen zugelassenen Wirtschaftsprüfer Einspruch erheben, wenn der Wirtschaftsprüfer nach Mewsangemessener Meinung nicht ausreichend qualifiziert oder unabhängig, ein Konkurrent von Mewsoder anderweitig offensichtlich ungeeignet ist. Bei einem solchen Einspruch muss der Partner einen anderen Prüfer bestellen. Falls der Partner mehr als eine Prüfung innerhalb eines Kalenderjahres verlangt, muss er die vorherige schriftliche Berechtigung von Mews einholen und die mit diesen Prüfungen verbundenen Kosten tragen sowie Mews alle angemessenen Kosten für diese Prüfungen erstatten. Auf Anfrage des Partners teilt Mews dem Partner die geschätzten Kosten mit, die ihm bei einer solchen Prüfung voraussichtlich entstehen werden, und zwar in dem Umfang, der in der vom Partner vorgelegten Agenda angegeben ist.

4.1 Die Verarbeitung personenbezogener Daten durch den Partner

Der Partner verarbeitet bei der Nutzung der Services personenbezogene Daten in Übereinstimmung mit den Anforderungen der Datenschutzgesetze. Um Zweifel auszuschließen, garantiert der Partner, dass seine Anweisungen für die Verarbeitung personenbezogener Daten mit der Datenschutzgesetzgebung übereinstimmen und dass er keine Anweisungen oder Bestellungen erteilt, die Mews zu einer rechtswidrigen oder anderweitig nicht mit der Regelkonformität des Datenschutzes übereinstimmenden Handlung oder Vorgehensweise anweisen. Der Partner trägt die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der personenbezogenen Daten und für die Mittel, mit denen der Partner personenbezogene Daten erworben hat.

4.2 Regelkonformität des Partners

Zusätzlich zu den in der Vereinbarung genannten Verpflichtungen des Partners ist der Partner verantwortlich für (i) die Integrität, die Sicherheit, die Pflege und den angemessenen Schutz der personenbezogenen Daten und (ii) die Sicherstellung der Regelkonformität mit allen geltenden Gesetzen und Vorschriften zum Schutz der Privatsphäre, zum Datenschutz und zur Sicherheit in Bezug auf: (a) seine Verarbeitung der personenbezogenen Daten; (b) seine Nutzung der Services; und (c) alle Anforderungen an die Registrierung oder Meldung der Datenverarbeitung, denen der Partner nach geltendem Recht unterliegt.

4.3 Benachrichtigungen

Der Partner erklärt sich damit einverstanden, alle erforderlichen Mitteilungen an Einzelpersonen zu machen und von diesen die erforderlichen Zustimmungen und Rechte in Bezug auf die Bereitstellung von Services durch Mewseinzuholen. Wenn Mews eine in den Bereichen 3.4.1 oder 3.4.3 beschriebene Mitteilung erhält und den Partner darüber informiert, liegt es in der Verantwortung des Partners, auf die Mitteilung zu reagieren und alle anderen angemessenen Maßnahmen zu ergreifen. Der Partner verpflichtet sich, Mews unverzüglich über jede unbefugte Nutzung der Services oder des Kontos des Partners oder über jede andere Verletzung der Sicherheit der Services zu informieren.

4.4 Technische und organisatorische Maßnahmen

Der Partner ist allein für die Implementierung und Aufrechterhaltung von Sicherheitsmaßnahmen und anderen technischen und organisatorischen Maßnahmen verantwortlich, die der Art und dem Umfang der personenbezogenen Daten angemessen sind, die der Partner speichert oder anderweitig über die Services verarbeitet. Der Partner ist auch für die Nutzung der Services durch seine Mitarbeiter, alle Personen, denen der Partner den Zugriff auf die Services gestattet, und alle Personen verantwortlich, die aufgrund der Nichteinhaltung angemessener Sicherheitsvorkehrungen Zugang zu seinen persönlichen Daten oder den Services erhalten, selbst wenn diese Nutzung nicht vom Partner genehmigt wurde.

5.1 Zusammenarbeit mit Partnern und Mews

Der Partner und Mews verpflichten sich, in wirtschaftlich angemessener Weise zusammenzuarbeiten, soweit dies zum Schutz der personenbezogenen Daten gemäß den geltenden Gesetzen, Artikel 35 und 36 der DSVGO erforderlich ist, um eine Datenschutz-Folgenabschätzung in Bezug auf die Nutzung der Services durch den Partner durchzuführen, soweit der Partner nicht anderweitig Zugang zu den entsprechenden Informationen hat und soweit diese Informationen auf Mews verfügbar sind. Der Partner muss mit Mewsbei der angemessenen Untersuchung von Ausfällen des Services, Sicherheitsproblemen und vermuteten Sicherheitsverstößen zusammenarbeiten. Der Partner unterstützt Mews in angemessener Weise bei der Zusammenarbeit oder der vorherigen Konsultation mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben in Bezug auf diesen Bereich, soweit dies nach der DSVGO oder dem geltenden Recht erforderlich ist.

5.2Mews' Unterstützung bei den Anforderungen der Regelkonformität des Partners

Während der Laufzeit der Vereinbarung zwischen dem Partner und Mewskann der Partner verlangen, dass Mews den Partner bei seinen Bemühungen unterstützt, die Verpflichtungen des Partners gemäß den geltenden Datenschutzgesetzen und -vorschriften einzuhalten, vorausgesetzt, (i) die angeforderte Unterstützung bezieht sich auf Services, die die Verarbeitung von personenbezogenen Daten unterstützen, (ii) die angeforderte Unterstützung wirtschaftlich vernünftig ist und in einem angemessenen Verhältnis zum Ziel der Aufgabe steht, bei der Mews um Unterstützung gebeten wird, und (iii) wenn MEWS Systems der Unterstützung zustimmt, werden alle damit verbundenen Kosten und Ausgaben (einschließlich der Kosten für die Arbeitszeit der Mitarbeiter) vom Partner getragen und Mews auf Anfrage erstattet.

6.1 In Bezug auf Dritte oder Unterauftragnehmer für die Verarbeitung personenbezogener Daten darf Mews einen Drittanbieter (Unterauftragsverarbeiter) nur mit vorheriger Zustimmung des Partners mit der Verarbeitung personenbezogener Daten beauftragen, vorausgesetzt, dass die Bestimmungen über die Datenverarbeitung und den Datenschutz im Vertrag des Unterauftragsverarbeiters in Bezug auf die personenbezogenen Daten im Wesentlichen den Bestimmungen dieses Nachtrags entsprechen und dass der Vertrag des Unterauftragsverarbeiters in Bezug auf die personenbezogenen Daten bei Beendigung der Vereinbarung aus irgendeinem Grund automatisch endet. Mit der Unterzeichnung dieses Nachtrags genehmigt der Partner die folgenden Personen: (i) Unterauftragsverarbeiter, die in Anhang III aufgeführt sind, (ii) Mews' Verbundene Unternehmen und (iii) alle Unterauftragsverarbeiter, die der Partner über seinen autorisierten Benutzer autorisiert hat, indem er eine Integration mit Mews Services über das MEWS Konto oder auf andere Weise genehmigt hat. Mews kann während der Laufzeit der Vereinbarung neue Unterauftragsverarbeiter in die Verarbeitung einbeziehen, vorausgesetzt, dass diese Unterauftragsverarbeiter nur in dem Umfang auf personenbezogene Daten zugreifen und diese nutzen, der für die Erfüllung der an sie übertragenen Pflichten erforderlich ist.

6.2 Widerspruchsrecht für neue Unterauftragsverarbeiter

Der Partner kann dem Einsatz eines neuen Unterauftragsverarbeiters durch Mewswidersprechen, indem er Mews unverzüglich innerhalb von zehn (10) Werktagen nach Erhalt der Mitteilung von Mewsschriftlich informiert und die Mängel darlegt. Sollte der Partner einem neuen Unterauftragsverarbeiter widersprechen, wird Mews sich bemühen, zusätzliche Sicherheitsvorkehrungen hinzuzufügen (die die angegebenen Mängel abdecken) oder den Unterauftragsverarbeiter zu wechseln (gegenüber dem Unterauftragsverarbeiter); sollte Mews Systems dazu nicht in der Lage sein, wird Mews angemessene Anstrengungen unternehmen, um dem Partner eine Änderung der Services zur Verfügung zu stellen oder eine wirtschaftlich vertretbare Änderung der Konfiguration oder Nutzung der Services durch den Partner zu empfehlen, um die Verarbeitung personenbezogener Daten durch den beanstandeten neuen Unterauftragsverarbeiter zu vermeiden, ohne den Partner unangemessen zu belasten. Ist Mews nicht in der Lage, eine solche Änderung innerhalb einer angemessenen Frist, die dreißig (30) Tage nicht überschreiten darf, zur Verfügung zu stellen, kann der Partner nur den Teil der Services, der von Mews nicht ohne den beanstandeten neuen Auftragsverarbeiter erbracht werden kann, durch schriftliche Mitteilung an Mews kündigen. Mews wird dem Partner alle im Voraus gezahlten Gebühren für die verbleibende Laufzeit der Vereinbarung nach dem Datum des Inkrafttretens der Kündigung in Bezug auf den gekündigten Teil der Services zurückerstatten, was das einzige und ausschließliche Rechtsmittel des Partners im Zusammenhang mit der Einführung eines neuen Unterauftragsverarbeiters darstellt.

6.3 Haftung

Mews haftet für die Handlungen und Unterlassungen seiner Unterauftragsverarbeiter in demselben Umfang, in dem Mews haften würde, wenn er die Services jedes Unterauftragsverarbeiters gemäß den Bedingungen dieses Nachtrags direkt ausführen würde, sofern in der Vereinbarung nichts anderes festgelegt ist.

Für die Zwecke von Art. 7.1 (b) dieses Nachtrags vereinbaren die Parteien, dass die Standardvertragsklauseln als angemessene Absicherung gelten.

Um den Datentransfer von/nach Drittländern in/aus der Europäischen Union/dem Europäischen Wirtschaftsraum zu ermöglichen, werden die Standardvertragsklauseln ("SCCs") hiermit durch Verweis in diesen Nachtrag aufgenommen und bilden einen integralen Bestandteil dieses Nachtrags wie folgt:

7.2.1. für die Zwecke personenbezogener Daten, die den EU-Datenschutzgesetzen unterliegen ("EU-Daten"):

(i) Ist der Partner der Verantwortliche, gilt Modul Zwei (Auftragsverarbeiter) der SCCs, ist der Partner der Auftragsverarbeiter, gilt Modul Drei (Auftragsverarbeiter) der SCCs;

(ii) in Klausel 9 gilt Option 2, und die Frist für die vorherige Mitteilung von Änderungen des Unterauftragsverarbeiters ist in Klausel 6 (Unterauftragsverarbeitung) dieses Nachtrags festgelegt;

(iii) In Klausel 11 wird die optionale Sprache nicht angewendet;

(iv) in Klausel 17 gilt Option 1, und die EU-SCCs unterliegen dem niederländischen Recht;

(v) In Klausel 18(b) werden Streitigkeiten vor den Gerichten der Niederlande entschieden;

Anhang I der SCC gilt mit den Angaben in Anhang I dieses Nachtrags als abgeschlossen; (vii) Anhang II der SCC gilt mit den Angaben in Anhang II dieses Nachtrags als abgeschlossen;

7.2.2. Die Übermittlung personenbezogener Daten, die den Datenschutzgesetzen des Vereinigten Königreichs ("UK-Daten") unterliegen, wird durch Anhang IV - UK-Zusatz zu den SCCs geregelt.

8.1 Der Partner erklärt sich damit einverstanden, dass jeder autorisierte Benutzer des Partners kontaktiert werden kann und berechtigt ist, alle Mitteilungen in Bezug auf diesen Nachtrag zu erhalten.

9.1 Mews erkennt an, dass es in Bezug auf die von ihm verarbeiteten personenbezogenen Daten der Partner als Service-Anbieter handelt.

9.2 Sofern nicht durch geltendes Recht vorgeschrieben oder zwischen den Parteien ausdrücklich vereinbart, ist es Mews nicht gestattet:

1. verkaufen persönliche Informationen des Partners;
2. Persönliche Daten von Partnern zu einem anderen Zweck als dem der vertragsgemäßen Erbringung der Services aufzubewahren, zu verwenden oder weiterzugeben;
3. Persönliche Daten des Partners für einen anderen als den in der Vereinbarung festgelegten kommerziellen Zweck zu speichern, zu verwenden oder weiterzugeben; oder
4. die persönlichen Daten des Partners außerhalb der direkten Geschäftsbeziehung zwischen Mews und dem Partner aufzubewahren, zu verwenden oder weiterzugeben.

9.3 Mews bestätigt, dass es die Verantwortlichkeiten und Restriktionen dieses Nachtrags, des CCPA und anderer anwendbarer Datenschutzgesetze und -vorschriften kennt und einhalten wird.

9.4 In dieser Klausel 9:

9.4.1 "CCPA" bezeichnet den California Consumer Privacy Act, California Civil Code §§1798.100 ff., einschließlich aller Änderungen und Implementierungen, die am oder nach dem Datum des Inkrafttretens dieses Nachtrags in Kraft treten; und

9.4.2 "Persönliche Daten des Partners" sind alle Daten des Partners, die "persönliche Daten" im Sinne des CCPA sind;

9.4.3 "Service Provider" hat die in Bereich 1798.140(v) des CCPA festgelegte Bedeutung.

10.1 Diese Klausel 10 gilt nur, wenn die Vertragsverwaltung Mews mit Sitz in den Vereinigten Staaten von Amerika ist.

10.2 COPPA

Der Schutz der Privatsphäre von Kindern ist besonders wichtig. Der Children's Online Privacy and Protection Act ("COPPA") verlangt, dass Anbieter von Online Services die Zustimmung der Eltern einholen, bevor sie wissentlich personenbezogene Daten von Kindern unter 13 Jahren in den Vereinigten Staaten von Amerika online erfassen. Mews respektiert die Rolle der übergeordneten Erziehungsberechtigten bei der Überwachung der Online-Aktivitäten ihrer Kinder. Dementsprechend beschränkt Mews die Erhebung personenbezogener Daten von Kindern auf das Maß, das für die Teilnahme an den Services und deren weitere Verbesserung notwendig ist. Mews erhebt keine personenbezogenen Daten von Kindern, die nicht in der Vereinbarung festgelegt sind. Mews behält sich das Recht vor, die Verarbeitung der vom Partner gelieferten Daten zu verweigern, die gegen diese Klausel 10.2 verstoßen.

10.3 Nutzung der Daten des Partners durch Drittanbieter

Sofern nicht anders vereinbart, sind alle Daten, die Mews vom Partner zur Verfügung gestellt werden, vertrauliche Informationen und Mews wird keine Daten für andere Zwecke verwenden als für die Ausübung seiner Rechte und die Erfüllung seiner Pflichten im Zusammenhang mit der Durchführung der Services. Der Partner erkennt an, dass zur ordnungsgemäßen Durchführung der Services die von ihm an Mews übermittelten Informationen Drittanbietern zugänglich gemacht werden, um die Erbringung der Services zu ermöglichen. Der Partner erkennt an, dass diese Drittanbieter keine Vertreter von Mews sind und Mews nicht für die Handlungen und Unterlassungen dieser Drittanbieter verantwortlich ist. Mews verlangt von Drittanbietern, denen personenbezogene Daten von Partnern zur Verfügung gestellt werden, dass sie das gleiche Datenschutzniveau anwenden, wie es in diesem Nachtrag festgelegt ist und wie es die geltenden Gesetze vorschreiben. Die Art und Weise, wie die Daten der Partner verwendet werden können, ist in der Datenschutzrichtlinie Mews geregelt, die du unter https://Mews Systems.com/privacy-policy/ findest.

11.1 Begünstigte Drittanbieter

Die betroffenen Personen sind die einzigen Drittanbieter, die durch die SCC begünstigt werden, und es gibt keine anderen Drittanbieter, die durch die Vereinbarung und diesen Nachtrag begünstigt werden. Ungeachtet des Vorstehenden gelten die Vereinbarung und die Laufzeiten dieses Nachtrags nur für die Parteien und übertragen keine Rechte auf verbundene Unternehmen des Partners, Endbenutzer des Partners oder Drittanbieter von Daten.

11.2 Geltendes Recht

Dieser Nachtrag ändert nicht den Bereich des anwendbaren Rechts in der Vereinbarung, der zur Vermeidung von Zweifeln für alle Ansprüche aus der Vereinbarung und diesem Nachtrag maßgeblich ist.

11.3 Beschränkung der Haftung

Die Rechtsmittel des Partners, einschließlich der seiner verbundenen Unternehmen, und die Haftung von Mews, die sich aus diesem Nachtrag und den SCC ergeben oder zugehörig sind, unterliegen den Haftungsbeschränkungen und Haftungsausschlüssen, die in der Vereinbarung festgelegt sind.

11.4 Laufzeit

Nach Beendigung der Vereinbarung gilt dieser Nachtrag weiter, bis Mews die Verarbeitung personenbezogener Daten im Auftrag des Partners einstellt.

11.5 Terminierung

Mews kann diesen Nachtrag kündigen, wenn Mews dem Partner alternative Mechanismen anbietet, die den Verpflichtungen der geltenden Datenschutzgesetze entsprechen.

11.6 Gegenstücke

Dieser Nachtrag kann in mehreren Ausfertigungen unterzeichnet werden, die zusammen als ein Original gelten.

A.- Liste der Parteien

Datenexporteur

Der Datenexporteur ist Partner

Daten importieren

Der Datenimporteur ist Mews

B.  - Beschreibung der Übertragung

Kategorien der betroffenen Personen

Die übermittelten personenbezogenen Daten können Personen betreffen, über die der Datenexporteur über das von Mews gehostete System und/oder die Services personenbezogene Daten übermittelt oder speichert, wozu in der Regel Personen (Gäste oder potentielle Neukunden) gehören, die die Services des Partners nutzen.

Kategorien von Daten

Die übermittelten personenbezogenen Daten betreffen die folgenden Datenkategorien: Daten der Gäste, die in den Kontaktformularen enthalten sind, Kontakt- und Identifizierungsinformationen, einschließlich Name, Titel, E-Mail-Adresse und Adresse, Ausweis- und/oder Reisepassnummern, Zahlungsdaten, Präferenzen der Gäste und Details zu den Services der Partner sowie begrenzte Verbindungs- und Standortdaten (Stadt) in elektronischer Form, die im Rahmen der Mews' Services an den Datenimporteur übertragen werden (bereitgestellt durch den jeweiligen Unterverarbeiter/Importeur)

Sensible Daten

Sensible Daten wie z.B. Behinderungen und diätetische Anforderungen können übermittelt werden, wenn die betroffenen Personen beschließen, Informationen dieser Art zu teilen. Es gelten die technischen und organisatorischen Maßnahmen gemäß Anhang II.

Betriebsabläufe der Verarbeitung

Die übermittelten personenbezogenen Daten sind Gegenstand der folgenden grundlegenden Verarbeitungsvorgänge: Erheben, Erfassen, Ordnen, Strukturieren, Speichern, Anpassen oder Verändern, Abrufen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreiten oder sonstiges Zugänglichmachen, Abgleichen oder Kombinieren, Restriktion, Löschen oder Vernichten. Der Partner muss im Zusammenhang mit der Nutzung der Services angemessene Sicherheitsvorkehrungen treffen, einschließlich einer angemessenen Verschlüsselung aller personenbezogenen Daten, die auf dem gehosteten System gespeichert sind oder von diesem übertragen werden.

Häufigkeit der Übertragung

Fortlaufend

Art und Betreff der Verarbeitung

1. Speicherung (Hosting) und andere Verarbeitungen, die notwendig sind, um die dem Partner im Rahmen der Vereinbarung zur Verfügung gestellten Services bereitzustellen, zu warten und zu verbessern,
2. Kunden-Support, der dem Partner von Fall zu Fall zur Verfügung gestellt wird,
3. Offenlegungen in Übereinstimmung mit der Vereinbarung, wie gesetzlich vorgeschrieben, und
4. Sammeln, Aufzeichnen, Organisieren, Strukturieren, Speichern, Anpassen oder Ändern, Abrufen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreiten oder sonstiges Zugänglichmachen, Angleichen oder Kombinieren, Restriktion, Löschen oder Vernichten.

Dauer der Bearbeitung

Laufzeit

Zweck(e) der Datenübermittlung und Weiterverarbeitung

(i) Verarbeitung zur Bereitstellung, Wartung, Unterstützung und Verbesserung der Services, die dem Partner in Übereinstimmung mit der Vereinbarung zur Verfügung gestellt werden;

(ii) Verarbeitungen, die von Benutzern bei der Nutzung der Services veranlasst werden; und

(iii) Verarbeitung zur Befolgung anderer dokumentierter, angemessener Anweisungen des Partners (z. B. per E-Mail), sofern diese Anweisungen mit den Laufzeiten der Vereinbarung (einschließlich dieses Nachtrags) übereinstimmen.

C. - Zuständige Aufsichtsbehörde

In Bezug auf EU-Daten ist die zuständige Aufsichtsbehörde die niederländische Datenschutzbehörde (die"Dutch DPA").

Beschreibung der von dem/den Datenimporteur(en) implementierten technischen und organisatorischen Maßnahmen (einschließlich etwaiger einschlägiger Zertifizierungen) zur Gewährleistung eines angemessenen Sicherheitsniveaus unter Berücksichtigung der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen. Der Datenimporteur hat Sicherheitsmaßnahmen zu implementieren, die den Anforderungen des Abkommens, des Nachtrags und aller Zusatzdokumente entsprechen, die gemäß dem Abkommen abgeschlossen wurden. Die implementierten Sicherheitsmaßnahmen sind hier verfügbar: https: //www.mews.com/de/platform-documentation#security

Die Liste der genehmigten Auftragsverarbeiter von Mews ist verfügbar unter https://www.mews.com/de/platform-documentation#subprocessors

Datum dieses Nachtrags

1. Dieser UK-Zusatz gilt ab: demselben Datum wie die Vereinbarung.

Hintergrund

2. Der Information Commissioner ist der Ansicht, dass dieser britische Nachtrag angemessene Garantien für die Zwecke der Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation unter Berufung auf Artikel 46 der DSVGO und in Bezug auf die Übermittlung von Daten von Verantwortlichen an Auftragsverarbeiter und/oder Auftragsverarbeiter an Auftragsverarbeiter bietet.

Auslegung dieses britischen Nachtrags

3. Wenn in diesem UK-Zusatz Begriffe verwendet werden, die in den SCC definiert sind, haben diese Begriffe die gleiche Bedeutung wie in den SCC.

4. Dieser britische Nachtrag ist im Lichte der britischen Datenschutzgesetze zu lesen und so auszulegen, dass er die in Artikel 46 DSVGO geforderten angemessenen Sicherheitsvorkehrungen erfüllt.

5. Dieser britische Nachtrag darf nicht in einer Weise ausgelegt werden, die im Widerspruch zu den Rechten und Pflichten steht, die in den britischen Datenschutzgesetzen vorgesehen sind.

6. Jede Bezugnahme auf Rechtsvorschriften (oder bestimmte Bestimmungen von Rechtsvorschriften) bedeutet, dass sich diese Rechtsvorschriften (oder bestimmte Bestimmungen) im Laufe der Zeit ändern können. Dies gilt auch für den Fall, dass diese Rechtsvorschriften (oder eine bestimmte Bestimmung) nach Abschluss dieses britischen Nachtrags konsolidiert, wieder in Kraft gesetzt und/oder ersetzt worden sind.

Hierarchie

7. Im Falle eines Konflikts oder einer Unstimmigkeit zwischen diesem VK-Zusatz und den Bestimmungen der SCCs oder anderer zugehöriger Vereinbarungen zwischen den Parteien, die zum Zeitpunkt der Vereinbarung dieses VK-Zusatzes bestehen oder danach abgeschlossen werden, haben die Bestimmungen Vorrang, die den betroffenen Personen den größten Schutz bieten.

Eingliederung der SCCs

8. Dieser britische Nachtrag enthält die SCCs, die als geändert gelten, soweit dies für die Betriebsabläufe erforderlich ist:

1. für die Übermittlung von Daten durch den Datenexporteur an den Datenimporteur, soweit die britischen Datenschutzgesetze auf die Verarbeitung durch den Datenexporteur bei dieser Übermittlung anwendbar sind; und
2. angemessene Schutzmaßnahmen für die Übermittlungen gemäß Artikel 46 der britischen DSVGO-Gesetze vorzusehen.
3. Wenn der Partner Verantwortlicher ist, gilt Modul Zwei (Auftragsverarbeiter) der SCCs, wenn der Partner Auftragsverarbeiter ist, gilt Modul Drei (Auftragsverarbeiter) der SCCs;
4. in Klausel 9 der SCCs, gilt Option 2, und die Frist für die Vorankündigung von Änderungen des Unterauftragsverarbeiters ist in Klausel 6 (Unterauftragsverarbeitung) dieser DPA festgelegt;
5. in Paragraf 11 der SCCs, gilt die optionale Sprache nicht;

9. Die in Bereich 7 geforderten Änderungen umfassen (ohne Einschränkung):

1. Verweise auf die "SCCs" beziehen sich auf diesen Nachtrag für das Vereinigte Königreich, da er die SCCs einschließt.
2. Klausel 6 Beschreibung der Übermittlung(en) wird ersetzt durch: "Die Einzelheiten der Übermittlung(en) und insbesondere die Kategorien personenbezogener Daten, die übermittelt werden, und der Zweck/die Zwecke, zu dem/denen sie übermittelt werden, sind in Anhang I.B des Addendums aufgeführt, wenn die Datenschutzgesetze des Vereinigten Königreichs für die Verarbeitung durch den Datenexporteur bei der Übermittlung gelten."
3. Anhang II der SCCs gilt mit den Angaben in Anhang II des Addendums als abgeschlossen;
4. Verweise auf die "Verordnung (EU) 2016/679" oder "diese Verordnung" werden durch "britische Datenschutzgesetze" ersetzt, und Verweise auf bestimmte Artikel der "Verordnung (EU) 2016/679" werden durch die entsprechenden Artikel oder Bereiche der britischen Datenschutzgesetze ersetzt.
5. Verweise auf die Verordnung (EU) 2018/1725 werden entfernt.
6. Verweise auf die "Union", die "EU" und den "EU-Mitgliedstaat" werden alle durch das "Vereinigte Königreich" ersetzt.
7. Klausel 13(a) und Teil C von Anhang II werden nicht verwendet; die "zuständige Aufsichtsbehörde" ist der Information Commissioner;
8. Klausel 17 wird ersetzt durch "Diese SCCs unterliegen den Gesetzen von England und Wales".
9. Klausel 18 wird durch folgenden Wortlaut ersetzt: "Alle Streitigkeiten, die sich aus diesen SCCs ergeben, werden von den Gerichten in England und Wales beigelegt. Eine betroffene Person kann auch vor den Gerichten eines beliebigen Landes im Vereinigten Königreich gegen den Datenexporteur und/oder Datenimporteur klagen. Die Parteien erklären sich damit einverstanden, sich der Gerichtsbarkeit dieser Gerichte zu unterwerfen."
10. Die Fußnoten zu den SCCs sind nicht Teil des Addendums.