Inhaltsverzeichnis
Inhaltsverzeichnis
For the previous version of the Customer Data Processing Addendum click here.
For the previous version of the Customer Data Processing Addendum click here.
For the previous version of the Customer Data Processing Addendum click here.
Datum des Inkrafttretens: 17. September 2024
Diese Zusatzvereinbarung zur Verarbeitung von Kundendaten („Data Processing Addendum“, kurz „DPA“) wird zwischen RealtimeBoard, Inc. (firmiert Miro) („Miro“ oder „Datenimporteur) und dem Unternehmen geschlossen, das als Kunde („Kunde“ oder „Datenexporteur“) bezeichnet wird. Das DPA wird entweder (i) der Master-Cloud-Vereinbarung oder den Allgemeinen Geschäftsbedingungen von Miro (je nach Anwendbarkeit) oder (ii) einer anderen elektronischen oder schriftlichen Vereinbarung, die dieses DPA enthält, beigefügt und regelt den Zugriff des Kunden auf die Miro-Plattform und die damit verbundenen Dienste sowie deren Nutzung (im Folgenden kurz die „Vereinbarung“). Begriffe in Großbuchstaben, die in diesem DPA verwendet, aber nicht definiert werden, haben die Bedeutung, die diesen Begriffen in der Vereinbarung zugewiesen wird.
Die Parteien vereinbaren, dass dieses DPA in die Vereinbarung aufgenommen wird, Teil derselben ist und den darin enthaltenen Bestimmungen unterliegt.
Falls der Kunde Streichungen oder Änderungen an diesem DPA vornimmt, werden diese Streichungen oder Änderungen hiermit zurückgewiesen und sind unwirksam, es sei denn, Miro stimmt ihnen zu. Der Unterzeichner des Kunden erklärt und garantiert, dass er befugt ist, den Kunden an dieses DPA zu binden.
„Anwendbares Datenschutzrecht“ bezeichnet alle Gesetze und Vorschriften zum Schutz von Daten und der Privatsphäre, die auf die Verarbeitung personenbezogener Kundendaten durch Miro anwendbar sind.
„Personenbezogene Kundendaten“ sind alle Kundeninhalte, die personenbezogene Daten und/oder persönliche Informationen enthalten, wie sie im anwendbaren Datenschutzrecht definiert und geschützt sind.
„Data Privacy Framework oder DPF“ bezeichnet die Programme zur Selbstzertifizierung EU-US Data Privacy Framework, Swiss-US Data Privacy Framework und UK Extension to the EU-US Data Privacy Framework (soweit anwendbar), wie sie vom US-amerikanischen Handelsministerium in der jeweils gültigen Fassung (die von Zeit zu Zeit ergänzt oder ersetzt werden kann) angewendet werden.
Die Grundsätze des Data Privacy Frameworks oder „DPF-Grundsätze“ sind die Datenschutz-Rahmengrundsätze und ergänzenden Grundsätze, die in dem jeweiligen Data Privacy Framework enthalten sind und die von Zeit zu Zeit geändert oder ersetzt werden können.
„Datenschutzgesetz“ steht für: (i) die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) („EU-DSGVO“); (ii) die DSGVO in der Fassung, die durch Teil 3 des britischen European Union (Withdrawal) Act 2018 und des UK Data Protection Act 2018 in das Recht des Vereinigten Königreichs übernommen wurde (zusammen die „UK-DSGVO"); (iii) die EU-Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG); (iv) das Schweizerische Bundesgesetz über den Datenschutz („Schweizer DSG“) und (v) alle anwendbaren nationalen Datenschutzgesetze, die im Rahmen von, gemäß oder in Verbindung mit (i), (ii) (iii) oder (iv) erlassen wurden; jeweils in der aktuellen Fassung;
„Miro-Konzerngesellschaft“ bezeichnet jedes Unternehmen, das direkt oder indirekt von Miro kontrolliert wird, Miro kontrolliert oder gemeinsam mit Miro von einer anderen Gesellschaft kontrolliert wird.
„Eingeschränkte Datenübertragung“ bedeutet: (i) wenn die EU-DSGVO Anwendung findet, eine Übermittlung personenbezogener Daten aus dem EWR in ein Land außerhalb des EWR, das nicht Gegenstand eines Angemessenheitsbeschlusses der Europäischen Kommission ist; (ii) wenn die UK-DSGVO Anwendung findet, eine Übermittlung personenbezogener Daten aus dem Vereinigten Königreich in ein anderes Land, das nicht den Angemessenheitsbestimmungen gemäß Abschnitt 17A des United Kingdom Data Protection Act 2018 unterliegt; und (iii) wenn das Schweizer DSG Anwendung findet, eine Übermittlung personenbezogener Daten aus der Schweiz in ein anderes Land, das nach Ansicht des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten oder des Bundesrats (je nach Fall) keinen angemessenen Schutz für personenbezogene Daten bietet.
„Standardvertragsklauseln“ bedeutet: (i) wenn die EU-DSGVO oder das Schweizer DSG gilt, die Vertragsklauseln im Anhang des Durchführungsbeschlusses (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021 („EU SCCs“); und (ii) wenn die britische Datenschutz-Grundverordnung (UK GDPR) Anwendung findet, die Standard-Datenschutzklauseln für Auftragsverarbeiter, die gemäß Artikel 46(2)(c) oder (d) der UK GDPR angenommen wurden (insbesondere das Addendum für den internationalen Datentransfer zu den Standardvertragsklauseln der EU-Kommission) („UK SCCs“), je nach Anwendbarkeit in Übereinstimmung mit Abschnitt 8 (Datenübertragungen).
„Sicherheitsvorfall“ bezeichnet jede unbefugte oder rechtswidrige Verletzung der Sicherheit, die zur versehentlichen oder rechtswidrigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Weitergabe oder zum Zugriff auf die personenbezogenen Daten des Kunden führt. Nicht als „Sicherheitsvorfall“ gelten erfolglose Versuche oder Handlungen, die die Sicherheit der personenbezogenen Daten des Kunden nicht gefährden, wie erfolglose Anmeldeversuche, Pings, Port-Scans, Denial-of-Service-Angriffe und andere Netzwerkangriffe auf Firewalls oder vernetzte Systeme.
„Auftragsverarbeiter“ bezeichnet jeden Subunternehmer, der von Miro mit der Verarbeitung personenbezogener Kundendaten beauftragt wird.
Die Begriffe „Unternehmen“, „Verantwortlicher der Datenverarbeitung“, „betroffene Person“, „personenbezogene Daten, „personenbezogene Informationen“, „Verarbeiter“, „Verarbeitung(en)“, „Verkauf“, „verkaufen“, „Dienstanbieter“ und „offenlegen“ haben die Bedeutung, die im anwendbaren Datenschutzrecht definiert ist. Sofern das anwendbare Datenschutzrecht diese Begriffe nicht definiert, gelten die Definitionen aus dem Datenschutzgesetz.
2.1 Die Parteien erkennen an, dass in Bezug auf die Verarbeitung der personenbezogenen Kundendaten der Kunde der Datenverantwortliche ist und Miro die personenbezogenen Daten des Kunden als Auftragsverarbeiter im Namen des Kunden verarbeitet.
2.2 Miro wird die personenbezogenen Daten des Kunden nur in Übereinstimmung mit den dokumentierten Anweisungen des Kunden verarbeiten und wird die personenbezogenen Daten des Kunden nicht für eigene Zwecke verarbeiten, es sei denn, dies ist in der Vereinbarung und in diesem DPA festgelegt oder es ist nach geltendem Recht erforderlich. Die Vereinbarung, einschließlich dieses DPA, sowie die Konfiguration von Einstellungen oder Optionen in den Diensten durch den Kunden (die der Kunde von Zeit zu Zeit ändern kann), stellen die vollständigen und endgültigen Anweisungen des Kunden an Miro in Bezug auf die Verarbeitung der personenbezogenen Daten des Kunden dar, auch für die Zwecke der Standardvertragsklauseln, soweit diese anwendbar sind. Zusätzliche Verarbeitungsanweisungen (falls vorhanden) bedürfen einer vorherigen schriftlichen Vereinbarung zwischen den Parteien.
2.3 Jede Vertragspartei ist verpflichtet, ihre Verpflichtungen in Bezug auf personenbezogene Kundendaten gemäß dem anwendbaren Datenschutzrecht einzuhalten. Unbeschadet des Vorstehenden ist der Kunde selbst dafür verantwortlich, festzustellen, ob die Dienste für die Speicherung und Verarbeitung seiner personenbezogenen Daten gemäß dem geltenden Datenschutzrecht geeignet sind. Ebenso verantwortet er selbst die Richtigkeit, Qualität und Rechtmäßigkeit der personenbezogenen Kundendaten und die Konformität der Verfahren, mit denen er sie erhoben hat. Der Kunde erklärt ferner, dass er alle Zustimmungen, Genehmigungen und Rechte eingeholt hat, die erforderlich sind, damit Miro und seine Auftragsverarbeiter die personenbezogenen Daten des Kunden für die in der Vereinbarung vorgesehenen Zwecke (einschließlich dieses DPA) rechtmäßig verarbeiten können.
2.4 Miro wird den Kunden unverzüglich benachrichtigen, wenn festgestellt wird, dass die Anweisungen des Kunden gegen geltendes Datenschutzrecht verstoßen (jedoch ohne die Verpflichtung, die Einhaltung des geltenden Datenschutzrechts durch den Kunden aktiv zu überwachen). In diesem Fall ist Miro nicht verpflichtet, die Daten zu verarbeiten, bis der Kunde seine Verarbeitungsanweisungen angepasst und Miro ihre Konformität festgestellt hat.
2.5 Details der Datenverarbeitung:
2.5.1 Gegenstand: Gegenstand der Datenverarbeitung im Rahmen dieses DPA sind die personenbezogenen Daten des Kunden.
2.5.2 Dauer: Im Rahmen des Vertragsverhältnisses zwischen dem Kunden und Miro entspricht die Dauer der Verarbeitung der Laufzeit der Vereinbarung, zuzüglich des Zeitraums nach Beendigung oder Ablauf der Vereinbarung, in dem Miro die personenbezogenen Daten des Kunden in Übereinstimmung mit der Vereinbarung verarbeitet.
2.5.3 Zweck: Miro wird die personenbezogenen Daten des Kunden so verarbeiten, wie es für die Erbringung der Dienstleistungen gemäß der Vereinbarung erforderlich ist und wie es der Kunde bei der Nutzung der Dienstleistungen anweist.
2.5.4 Art der Verarbeitung: Die Bereitstellung der Dienste, wie im Vertrag beschrieben und vom Kunden von Zeit zu Zeit veranlasst.
2.5.5 Arten von personenbezogenen Kundendaten: Alle personenbezogenen Daten des Kunden, die unter dem Miro-Konto des Kunden an die Dienste übermittelt werden.
2.5.6 Kategorien betroffener Personen: Zu den betroffenen Personen können gehören: Beschäftigte des Kunden, Berater, Vertreter und Dritte, die berechtigt sind, als Nutzer unter dem Konto des Kunden bei Miro auf die Dienste zuzugreifen und diese zu nutzen, sowie alle anderen Personen, deren personenbezogene Kundendaten vom Kunden und/oder dessen Nutzern über die Dienste an Miro übermittelt werden.
3.1 Der Kunde erteilt Miro die allgemeine Erlaubnis, die Verarbeitung der personenbezogenen Daten des Kunden an Subunternehmer zu übertragen, einschließlich jener, die unter https://m.turbidity.top/static/legal/Miro-Current-Subprocessors-List.pdf (oder einer anderen Nachfolge-URL) aufgeführt sind („Liste der Auftragsverarbeiter“).
3.2 Wenn Miro ein neuer Auftragsverarbeiter beauftragt oder ein bestehender ersetzt, wird Miro:
3.2.1 Die Liste der Auftragsverarbeiter aktualisieren;
3.2.2 Dem beauftragten Auftragsverarbeiter im Wesentlichen dieselben Datenschutzbestimmungen auferlegen, wie sie in diesem DPA enthalten sind (einschließlich der Bestimmungen zur Datenübermittlung, sofern anwendbar); und
3.2.3 Gegenüber dem Kunden für jeden Verstoß gegen dieses DPA, der durch eine Handlung, einen Fehler oder eine Unterlassung eines solchen Auftragsverarbeiters verursacht wurde, haftbar bleiben.
3.3 Wenn der Kunde mindestens zehn (10) Tage vor der Beauftragung eines neuen oder anderen Auftragsverarbeiters durch Miro benachrichtigt werden möchte, muss er diese Benachrichtigungen im Portal für Kundenbenachrichtigungen hier abonnieren;
3.4 Ersetzt Miro einen Auftragsverarbeiter durch einen anderen oder beauftragt einen neuen, kann der Kunde innerhalb von dreißig (30) Tagen nach Erhalt der Mitteilung gemäß (3.2.1) schriftlich widersprechen. Hierfür muss er angemessene Gründe anführen, die sich auf die Fähigkeit des Auftragsverarbeiters beziehen, das anwendbare Datenschutzrecht einzuhalten. In einem solchen Fall werden die Parteien die Bedenken des Kunden nach Treu und Glauben erörtern, um eine wirtschaftlich angemessene Lösung zu finden. Gelangen die Parteien zu keiner Einigung, hat Miro das Recht, nach eigenem Ermessen entweder den strittigen Auftragsverarbeiter nicht zu ernennen oder dem Kunden zu gestatten, den betreffenden Auftrag und/oder die Vereinbarung auszusetzen oder zu kündigen. Diese Verfahren sind das ausschließliche Rechtsmittel des Kunden und begrenzen die gesamte mögliche Haftung von Miro bei der Klärung von Einwänden des Kunden gegen die Ernennung von Auftragsverarbeitern durch Miro im Rahmen dieses DPA.
4.1 Miro wird in angemessener Weise mit dem Kunden kooperieren und ihn unterstützen, auf Anfragen, Beschwerden oder andere Mitteilungen von betroffenen Personen und Aufsichtsbehörden oder Gerichten zu reagieren, die sich auf die Verarbeitung personenbezogener Kundendaten beziehen, einschließlich Anfragen von betroffenen Personen, die ihre Rechte unter dem anwendbaren Datenschutzrecht ausüben möchten. Falls eine solche Anfrage, Beschwerde oder Mitteilung direkt an Miro gerichtet wird, wird Miro nach der Feststellung, dass die Anfrage von einer betroffenen Person stammt oder sich auf eine betroffene Person bezieht, für die der Kunde verantwortlich ist, diese an den Kunden weiterleiten und auf eine solche Mitteilung nicht ohne die ausdrückliche Genehmigung des Kunden antworten (es sei denn, dies ist erforderlich, um gesetzliche Vorschriften einzuhalten).
4.2 Soweit Miro nach anwendbarem Datenschutzrecht verpflichtet ist, unterstützt Miro den Kunden bei der Durchführung einer Datenschutz-Folgenabschätzung und konsultiert, soweit gesetzlich vorgeschrieben, die zuständigen Datenschutzbehörden in Bezug auf alle vorgeschlagenen Verarbeitungsaktivitäten, die ein hohes Risiko für die betroffenen Personen darstellen.
4.3 Unter Berücksichtigung der Art der Verarbeitung stimmt der Kunde zu, dass es unwahrscheinlich ist, dass Miro Kenntnis davon erlangt, wenn die im Rahmen des DPF und/oder der Standardvertragsklauseln übermittelten personenbezogenen Daten des Kunden unrichtig oder veraltet sind. Sollte Miro jedoch feststellen, dass die im Rahmen des DPF und/oder der Standardvertragsklauseln übermittelten personenbezogenen Daten des Kunden unrichtig oder veraltet sind, wird Miro den Kunden unverzüglich informieren. Miro wird in angemessener Weise mit dem Kunden zusammenarbeiten, um ungenaue oder veraltete personenbezogene Daten des Kunden, die im Rahmen dieser Vereinbarung übermittelt wurden, zu löschen oder zu berichtigen.
5.1 Miro gewährleistet, dass alle Beschäftigten, die mit der Verarbeitung personenbezogener Kundendaten betraut sind, einer angemessenen Vertraulichkeitspflicht unterliegen (unabhängig davon, ob es sich um eine vertragliche oder gesetzliche Verpflichtung handelt) und dass sie personenbezogene Kundendaten nur zum Zweck der Erbringung der Dienstleistungen verarbeiten.
5.2 Miro wird angemessene sowie geeignete technische und organisatorische Sicherheitsmaßnahmen implementieren und aufrechterhalten, wie sie in Anlage 2 aufgeführt sind („Sicherheitsmaßnahmen“), um die personenbezogenen Daten des Kunden vor Sicherheitsvorfällen zu schützen. Der Kunde erkennt an, dass die Sicherheitsmaßnahmen im Einklang mit dem technischen Fortschritt weiterentwickelt werden und dass Miro sie von Zeit zu Zeit aktualisieren oder ändern kann, vorausgesetzt, dass solche Aktualisierungen und Änderungen die Sicherheit der Dienste insgesamt nicht beeinträchtigen oder reduzieren.
Tritt ein Sicherheitsvorfall ein, informiert Miro den Kunden unverzüglich und legt schriftlich alle Einzelheiten des Sicherheitsvorfalls dar, einschließlich der Art der betroffenen Daten und der Identität der betroffenen Person(en), sobald diese Informationen Miro bekannt oder zugänglich sind. Miro wird den Kunden soweit möglich rechtzeitig informieren und mit ihm zusammenarbeiten, damit der Kunde seinen Meldepflichten bei Datenschutzverletzungen gemäß dem geltenden Datenschutzrecht nachkommen kann, sowie angemessene Maßnahmen ergreifen, um die Auswirkungen des Sicherheitsvorfalls zu beheben oder abzumildern. Die hierin enthaltenen Verpflichtungen gelten nicht für Sicherheitsvorfälle, die durch den Kunden oder seine Nutzer verursacht werden.
7.1 Auf Anfrage stellt Miro Kopien aller Zertifizierungen, Zusammenfassungen von Prüfberichten und/oder andere relevante Unterlagen zur Verfügung, die sich in seinem Besitz befinden, wenn der Kunde dies vernünftigerweise benötigt, um die Compliance von Miro mit dem vorliegenden DPA zu bestätigen.
7.2 Hinsichtlich der Compliance von Miro mit diesem DPA vertrauen die Parteien in der Regel auf die auf die Erfüllung der in Absatz 7.1 dargelegten Pflichten von Miro. Nach einem bestätigten Sicherheitsvorfall oder wenn eine Datenschutzbehörde dies verlangt, kann der Kunde jedoch gegenüber Miro mit einer Vorankündigungsfrist von dreißig (30) Tagen verlangen, dass ein Dritter ein Audit der Abläufe und Einrichtungen von Miro durchführt („Audit“); vorausgesetzt, dass: (i) das Audit auf Kosten des Kunden durchgeführt wird; (ii) die Parteien den Geltungsbereich, den Zeitpunkt und die Dauer des Audits einvernehmlich festlegen; (iii) das Audit den regulären Betrieb von Miro nicht unangemessen beeinträchtigt.
7.3 Alle in diesem Absatz 7 genannten schriftlichen Antworten oder Prüfungen unterliegen den Vertraulichkeitsbestimmungen der Vereinbarung. Die Parteien vereinbaren, dass alle in Klausel 8.9 der EU-Standardvertragsklauseln beschriebenen Audit-Bestimmungen, sofern anwendbar, in Übereinstimmung mit diesem Absatz 7 (Sicherheitsberichte und Inspektionen) durchgeführt werden.
8.1 Personenbezogene Kundendaten, die Miro im Rahmen der Vereinbarung verarbeitet, können in jedem Land verarbeitet werden, in dem Miro sowie verbundene Unternehmen oder Auftragsverarbeiter von Miro Einrichtungen zur Erbringung der Dienstleistungen unterhalten, wie in der Liste der Auftragsverarbeiter näher beschrieben ist. Miro darf personenbezogene Kundendaten nicht außerhalb des EWR, der Schweiz oder des Vereinigten Königreichs verarbeiten oder übermitteln (und auch nicht zulassen, dass solche Daten verarbeitet oder übermittelt werden), es sei denn, es werden zuvor die erforderlichen Maßnahmen ergriffen, um sicherzustellen, dass die Übermittlung im Einklang mit dem Datenschutzgesetz erfolgt.
8.2 Die Parteien vereinbaren, dass das DPF in Bezug auf die eingeschränkte Übermittlung personenbezogener Kundendaten aus dem EWR und/oder der Schweiz in die USA gilt, da Miro im Rahmen des DPF-Programms zertifiziert ist und bei der Verarbeitung dieser personenbezogenen Kundendaten die DPF-Grundsätze einhält. Wenn die DPF-Zertifizierung von Miro widerrufen oder anderweitig für ungültig erklärt wird, informiert Miro den Kunden gegebenenfalls und stellt auf Anfrage einen alternativen Übertragungsmechanismus (wie z. B. Standardvertragsklauseln) im Sinne dieses Absatzes bereit, um eine nicht autorisierte Verarbeitung zu verhindern.
8.3 Die Parteien vereinbaren, dass in den Fällen, in denen das DPF in Bezug auf eine eingeschränkte Datenübertragung nicht anwendbar ist, die Standardvertragsklauseln hiermit einbezogen werden und gelten, ergänzt um die folgenden gegebenenfalls anwendbaren Änderungen:
8.3.1 Wenn der Kunde Verantwortlicher für die personenbezogenen Daten ist, die durch die EU-DSGVO geschützt sind: Modul 2 der EU-Standardvertragsklauseln gilt zwischen dem Kunden als „Datenexporteur“ (ungeachtet dessen, dass der Kunde ein Unternehmen mit Sitz außerhalb des EWR sein kann) und Miro als „Datenimporteur“ auf folgender Grundlage: (i) in Klausel 7 gilt die optionale Beitrittsklausel; (ii) in Klausel 9 gilt Option 2 und die Frist für die vorherige Mitteilung die Änderung des Auftragsverarbeiters entspricht der in diesem DPA festgelegten Frist; (iii) in Klausel 11 sind die optionalen Formulierungen unwirksam; (iv) in Klausel 17 gilt Option 1; (iv) in Klausel 17 gilt Option 1 und die EU-Standardvertragsklauseln unterliegen niederländischem Recht; (v) in Klausel 18(b) werden Streitigkeiten vor den niederländischen Gerichten geklärt; (vi) Anhang 1 zu den EU-Standardvertragsklauseln gilt als Anlage 1 zu diesem DPA und (vii) Anhang 2 zu den EU-Standardvertragsklauseln gilt als Anlage 2 zu diesem DPA.
8.3.2 Wenn der Kunde Verantwortlicher für die personenbezogenen Daten ist, die durch das Schweizer DSG geschützt sind: Modul 2 der EU-Standardvertragsklauseln gilt zwischen dem Kunden als „Datenexporteur“ und Miro als „Datenimporteur“ auf vorstehender Grundlage und zusätzlich: (i) in Klausel 13 ist die zuständige Aufsichtsbehörde der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte; (ii) der Begriff Mitgliedstaat darf nicht so ausgelegt werden, dass betroffene Personen in der Schweiz von der Durchsetzung ihrer Rechte an ihrem gewöhnlichen Aufenthaltsort gemäß Klausel 18(c) ausgeschlossen werden; (iii) alle Verweise auf die EU-DSGVO in diesem DPA gelten auch als Verweise auf das Schweizer DSG.
8.3.3 Wenn der Kunde Datenverarbeiter im Auftrag eines Dritten ist, der seinerseits Verantwortlicher für personenbezogene Kundendaten ist, die durch die EU-DSGVO geschützt sind: Modul 3 der EU-Standardvertragsklauseln gilt zwischen dem Kunden als „Datenexporteur“ (ungeachtet dessen, dass der Kunde oder der Dritte, der die Daten verarbeitet, ein Unternehmen mit Sitz außerhalb des EWR sein kann) und Miro als „Datenimporteur“ auf folgender Grundlage: (i) in Klausel 7 findet die optionale Beitrittsklausel Anwendung; (ii) in Klausel 9 findet Option 2 Anwendung, die Frist für die vorherige Benachrichtigung über eine Änderung des Auftragsverarbeiters entspricht der in diesem DPA festgelegten Frist und Miro erfüllt seine Benachrichtigungspflichten gegenüber dem Auftragsverarbeiter wie in diesem DPA festgelegt; (iii) in Klausel 11 sind optionale Formulierungen nicht anwendbar; (iv) in Klausel 17 findet Option 1 Anwendung und die EU-Standardvertragsklauseln unterliegen niederländischem Recht; (v) in Klausel 18(b) werden Streitigkeiten vor niederländischen Gerichten geklärt (vi) Anhang 1 zu den EU-Standardvertragsklauseln gilt als Anlage 1 zu diesem DPA und (vii) Anhang 2 zu den EU-Standardvertragsklauseln gilt als Anlage 2 zu diesem DPA.
8.3.4 Wenn der Kunde ein Auftragsverarbeiter im Auftrag eines Dritten ist, der seinerseits Verantwortlicher für personenbezogene Kundendaten ist, die durch das Schweizer Datenschutzgesetz geschützt sind: Modul 3 der EU-Standardvertragsklauseln gilt zwischen dem Kunden als „Datenexporteur“ und Miro als „Datenimporteur“ auf vorstehender Grundlage und zusätzlich: (i) in Klausel 13 ist die zuständige Aufsichtsbehörde der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte; (ii) der Begriff Mitgliedstaat darf nicht so ausgelegt werden, dass betroffene Personen in der Schweiz von der Durchsetzung ihrer Rechte an ihrem gewöhnlichen Aufenthaltsort gemäß Klausel 18(c) ausgeschlossen werden, (iii) alle Verweise auf die EU-DSGVO in diesem DPA gelten auch als Verweise auf das Schweizer DSG.
8.3.5 Wenn der Kunde ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter von personenbezogenen Kundendaten ist, die durch die UK-DSGVO geschützt sind, gelten die EU-Standardvertragsklauseln, gegebenenfalls mit folgenden Änderungen: jede Partei gilt als Unterzeichner des „UK Addendum to the EU Standard Contractual Clauses“ („UK Addendum“), das vom Information Commissioner's Office gemäß Section 119 A des United Kingdom Data Protection Act 2018 herausgegeben wurde; (ii) die EU-Standardvertragsklauseln gelten als geändert, wie im UK Addendum in Bezug auf die Übertragung personenbezogener Daten des Kunden angegeben; (iii) die Kontaktinformationen der Parteien in Tabelle 1 des UK Addendums sind in Anlage 1 dieses Addendums zu finden; (iv) die Informationen zu den Standardvertragsklauseln, Modulen und ausgewählten Klauseln in Tabelle 2 des UK Addendums sind vorstehend in Absatz 8.3 dieses Dokuments enthalten; (v) Tabelle 3 des UK Addendums gilt als ausgefüllt mit den Informationen, die in den Anlagen 1 und 2 dieses Addendums aufgeführt sind; (vi) gemäß Tabelle 4 des UK Addendums kann jede Partei das UK Addendum in Übereinstimmung mit seinen Bedingungen beenden und das entsprechende Kästchen für jede Partei gilt als angekreuzt („UK-Standardvertragsklauseln“).
8.4 Wenn Miro einen alternativen, rechtmäßigen Datenexportmechanismus für die Übertragung personenbezogener Kundendaten anwendet, der nicht in diesem DPA beschrieben ist („alternativer Übertragungsmechanismus“), gilt dieser alternative Übertragungsmechanismus anstelle des in diesem DPA genannten (jedoch nur in dem Umfang, in dem ein solcher alternativer Übertragungsmechanismus mit dem Datenschutzgesetz vereinbar ist und für die Gebiete gilt, in die die betreffenden personenbezogenen Kundendaten übermittelt werden).
Auf Anfrage des Kunden während der Vertragslaufzeit und/oder bei Beendigung oder Ablauf dieses DPA löscht Miro alle personenbezogenen Kundendaten, die sich in seinem Besitz befinden, oder gibt sie an den Kunden zurück, und zwar in Übereinstimmung mit den zu diesem Zeitpunkt geltenden Fristen und Richtlinien für die Datenlöschung, die der Kunde jederzeit anfragen kann. Diese Bestimmung gilt nicht, soweit Miro gesetzlich verpflichtet ist, einige oder alle personenbezogenen Daten des Kunden aufzubewahren. Ferner gilt sie nicht für personenbezogene Kundendaten, die auf Backup-Systemen archiviert sind, wobei Miro diese Daten isolieren und vor jeder weiteren Verarbeitung schützen muss, es sei denn, diese Verarbeitung ist gesetzlich vorgeschrieben. Die Parteien vereinbaren, dass Miro dem Kunden auf dessen schriftliche Anfrage hin eine Bestätigung über die Löschung der personenbezogenen Kundendaten zukommen lässt.
Soweit Miro personenbezogene Kundendaten von Nutzern verarbeitet, die im US-Bundesstaat Kalifornien ansässig sind, vereinbaren die Parteien Folgendes:
10.1 Der Kunde ist ein Unternehmen und Miro ist Dienstanbieter. Die Übertragung personenbezogener Kundendaten durch den Kunden an Miro ist kein Verkauf. Miro erbringt für die personenbezogenen Kundendaten keinerlei Gegenleistung in Form von Geld oder sonstigen Werten. Miro verarbeitet personenbezogene Daten des Kunden ausschließlich als Dienstleister im Namen des Kunden für einen oder mehrere Geschäftszwecke, wie in der Vereinbarung beschrieben oder in dem Umfang, der Dienstanbietern gemäß dem anwendbaren Datenschutzrecht gestattet ist.
10.2 Miro wird die personenbezogenen Daten des Kunden nicht „verkaufen“ oder „offenlegen“. Ferner verpflichtet sich Miro, alle relevanten Vorgaben des CCPA in der durch das CPRA geänderten Fassung einzuhalten, soweit dies zwischen dem Kunden und Miro schriftlich vereinbart wurde, wie in diesem DPA dargelegt.
10.3 Sofern auf die Dienstleistungen zutreffend, unterstützt Miro den Kunden in angemessener Weise (auf Kosten des Kunden) bei der Beantwortung von Anfragen betroffener Personen (einschließlich „verifizierbarer Verbraucheranfragen", wie dieser Begriff im CCPA definiert ist), die sich auf die Verarbeitung personenbezogener Daten des Kunden im Rahmen der Vereinbarung beziehen.
11.1 Abgesehen von den Änderungen, die durch dieses DPA Anwendung finden, bleibt die Vereinbarung unverändert und in vollem Umfang in Kraft und wirksam. Im Fall eines Widerspruchs zwischen einer Bestimmung in dieses DPA und einer Bestimmung in der Vereinbarung hat dieses DPA Vorrang. Mit dem Datum des Inkrafttretens ist dieses DPA Teil der Vereinbarung und in diese integriert.
11.2 In keinem Fall werden die Rechte einer betroffenen Person oder einer zuständigen Aufsichtsbehörde durch dieses DPA eingeschränkt.
11.3 Jegliche Ansprüche oder Rechtsmittel, die dem Kunden gegenüber Miro, seinen Beschäftigten, Vertretern und Auftragsverarbeitern aus oder im Zusammenhang mit diesem DPA zustehen – sei es aufgrund vertraglicher Haftung, deliktische Haftung (einschließlich Fahrlässigkeit) oder einer sonstigen Haftung, unterliegen im größtmöglichen gesetzlich zulässigen Umfang den Haftungsbeschränkungen und -ausschlüssen der Vereinbarung. Dementsprechend bedeutet jede Bezugnahme in der Vereinbarung auf die Haftung einer Partei die gesamte Haftung dieser Partei unter und in Verbindung mit der Vereinbarung und diesem DPA gemeinsam.
11.4 Dieses DPA unterliegt den Bestimmungen des geltenden Rechts und der Gerichtsbarkeit, wie in der Vereinbarung angegeben, und ist dementsprechend auszulegen, es sei denn, das anwendbare Datenschutzrecht schreibt etwas anderes vor.
11.5 Sollte ein Teil dieses DPA für nicht durchsetzbar erklärt werden, wird die Gültigkeit der übrigen Teile davon nicht berührt.
(A) LISTE DER VERTRAGSPARTEIEN
Datenexporteur(e):
Name: Das Unternehmen, das im DPA als „Kunde“ bezeichnet wird.
Adresse: Die Adresse des Kunden, die seinem Miro Konto zugeordnet oder anderweitig im DPA oder dieser Vereinbarung angegeben ist.
Name, Position und Kontaktdaten der Kontaktperson: Die Kontaktdaten, die dem Konto des Kunden zugeordnet oder anderweitig in diesem DPA oder der Vereinbarung angegeben sind.
Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Die in Anlage 1(B) des DPA aufgeführten Aktivitäten
Unterschrift und Datum: Siehe Signaturbereich des DPA, an den diese Klauseln angehängt sind.
Rolle (Datenverantwortlicher / Datenverarbeiter): Datenverantwortlicher
Datenimporteur(e):
Name: RealtimeBoard, Inc. firmiert Miro („Miro“)
Adresse: 201 Spear Street, Suite 1100, San Francisco, CA 94105
Name, Position und Kontaktdaten der Kontaktperson: privacy@m.turbidity.top
Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Die in Anlage 1(B) des DPA aufgeführten Aktivitäten
Unterschrift und Datum: Siehe Signaturbereich des DPA, an den diese Klauseln angehängt sind.
Rolle (Datenverantwortlicher / Datenverarbeiter): Datenverarbeiter
В. BESCHREIBUNG DER DATENÜBERTRAGUNG
Kategorien von betroffenen Personen, deren personenbezogene Daten übertragen werden: Die Kategorien der betroffenen Personen sind in Absatz 2.5 (Details der Datenverarbeitung) des DPA beschrieben.
Kategorien der übermittelten personenbezogenen Daten: Die personenbezogenen Daten sind in Absatz 2.5 (Details der Datenverarbeitung) des DPA beschrieben.
Übermittelte sensible Daten (falls zutreffend) und angewendete Beschränkungen oder Schutzmaßnahmen, die der Art der Daten und den damit verbundenen Risiken in vollem Umfang Rechnung tragen, wie z. B. strikte Zweckbindung, Zugriffsbeschränkungen (einschließlich des Zugriffs nur für Mitarbeitende, die eine spezielle Schulung absolviert haben), Protokollierung des Zugriffs auf die Daten, Beschränkungen für die Weitergabe oder zusätzliche Sicherheitsmaßnahmen: N/A. Dem Datenexporteur ist es untersagt, besondere Kategorien von Daten an die Dienste zu übermitteln.
Häufigkeit der Übertragung (z. B. ob die Daten einmalig oder kontinuierlich übertragen werden): Kontinuierlich, abhängig von der Nutzung der Dienste durch den Datenexporteur.
Art der Verarbeitung: Die Art der Verarbeitung ist in Absatz 2.5 (Details der Datenverarbeitung) des DPA beschrieben.
Zweck(e) der Datenübermittlung und Weiterverarbeitung: Die Zwecke der Verarbeitung sind in Absatz 2.5 (Details der Datenverarbeitung) des DPA beschrieben.
Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, nach denen dieser Zeitraum bestimmt wird: Der Datenexporteur bestimmt die Dauer der Verarbeitung in Übereinstimmung mit den Vorgaben des DPA.
Bei Übermittlungen an (Auftrags-)Verarbeiter müssen auch Gegenstand, Art und Dauer der Verarbeitung angegeben werden: Der Gegenstand, die Art und die Dauer der Verarbeitung sind in Absatz 2.5 (Details der Datenverarbeitung) des DPA beschrieben.
C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE
Die für den Kunden zuständige Aufsichtsbehörde wird in Übereinstimmung mit dem Datenschutzgesetz bestimmt.
TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN ZUR GEWÄHRLEISTUNG DER SICHERHEIT DER DATEN
Beschreibung der von dem/den Datenimporteur(en) getroffenen technischen und organisatorischen Maßnahmen (einschließlich etwaiger einschlägiger Zertifizierungen) zur Gewährleistung eines angemessenen Sicherheitsniveaus unter Berücksichtigung der Art, des Geltungsbereichs, der Umstände und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen:
Miro trifft angemessene technische und organisatorische Vorkehrungen, um den Dienst und die Kundeninhalte zu schützen, wie in der Sicherheitsrichtlinie beschrieben.
Bei Übermittlungen an (Auftrags-)Verarbeiter sind auch die spezifischen technischen und organisatorischen Vorkehrungen anzugeben, die der (Auftrags-)Verarbeiter treffen muss, um den für die Verarbeitung Verantwortlichen und – bei Übermittlungen von einem Verarbeiter an einen Auftragsverarbeiter – den Datenexporteur zu unterstützen:
Die technischen und organisatorischen Maßnahmen, die der Datenimporteur ergreift, um den Datenexporteur bei der Erfüllung seiner Pflichten zur Beantwortung von Anfragen betroffener Personen zur Ausübung ihrer Rechte gemäß Verordnung (EU) 2016/679 zu unterstützen, sind in Absatz 4 (Zusammenarbeit) des DPA dargelegt.