Anhang zur Datenverarbeitung (Kunden)

Dieser Anhang zur Datenverarbeitung (“Anhang”) wird von und zwischen HostPapa Inc. und Dir („Kunde“) ausgeführt und ist unseren Allgemeinen Geschäftsbedingungen, Datenschutzrichtlinien und allen Vereinbarungen, die unsere abgedeckten Dienstleistungen regeln (zusammen die „Allgemeinen Geschäftsbedingungen“), beigefügt und ergänzt diese.

Im Falle von Abweichungen zwischen dieser Übersetzung und dem englischen Anhang hat der englische Anhang Vorrang.

1. Definitionen

„Abgedeckte Dienste“ sind alle gehosteten Dienste, die wir Dir anbieten und die die Verarbeitung personenbezogener Daten durch uns beinhalten könnten.

„Kundendaten“ bezeichnet die personenbezogenen Daten einer betroffenen Person, die von HostPapa innerhalb des HostPapa-Netzwerks im Namen des Kunden gemäß oder in Verbindung mit den Servicebedingungen verarbeitet werden.

„Datenverantwortlicher“ bedeutet der Kunde als Verantwortlicher, der die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt.

„Datenverarbeiter“ bedeutet HostPapa als das Unternehmen, das personenbezogene Daten im Auftrag des Datenverantwortlichen verarbeitet.

„Datenschutzgesetze“ bezeichnet alle Gesetze und Vorschriften, einschließlich der Gesetze und Vorschriften der Europäischen Union, die auf die Verarbeitung personenbezogener Daten im Rahmen des Anhangs anwendbar sind.

„Betroffene Person“ bezeichnet die natürliche Person, auf die sich die personenbezogenen Daten beziehen.

„EWR“ bezeichnet den Europäischen Wirtschaftsraum.

„HostPapa-Netzwerk“ bezeichnet HostPapas Rechenzentrumseinrichtungen, Server, Netzwerkausrüstung und Hostsoftwaresysteme, die unter der Kontrolle von HostPapa stehen und zur Erbringung der abgedeckten Dienstleistungen verwendet werden.

„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

„Verarbeitung“ bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die mit personenbezogenen Daten durchgeführt werden, etwa das Erheben, das Erfassen, die Organisation, die Strukturierung, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Kombination, die Einschränkung, das Löschen oder die Vernichtung. „Verarbeiten“, “Verarbeitung” und “verarbeitet” werden entsprechend ausgelegt. Die Einzelheiten der Verarbeitung sind in Annex 1 dargelegt.

„Sicherheitsvorfall“ ist entweder (a) eine Verletzung der Sicherheit von HostPapa, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von oder zum Zugriff auf Kundendaten führt, oder (b) ein unbefugter Zugriff auf Geräte oder Einrichtungen von HostPapa, wobei in beiden Fällen dieser Zugriff zur Zerstörung, zum Verlust, zur unbefugten Offenlegung oder zur Veränderung von Kundendaten führt.

„Sicherheitsstandards“ bezeichnet die Sicherheitsstandards, die diesem Anhang als Annex 2 beigefügt sind.

„Standardvertragsklauseln“ bezeichnet Annex 3, der diesem Anhang gemäß dem Beschluss der Europäischen Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter mit Sitz in Drittländern im Rahmen der Richtlinie beigefügt und Teil dieses Anhangs ist.

„Unterauftragsverarbeiter“ bezeichnet jeden Datenverarbeiter, der vom Auftragsverarbeiter mit der Verarbeitung von Daten im Namen des für die Verarbeitung Verantwortlichen beauftragt wird.

2. Datenverarbeitung


2.1 Umfang und Rollen

Dieser Anhang gilt, wenn Kundendaten von HostPapa verarbeitet werden. In diesem Zusammenhang wird HostPapa als Datenverarbeiter im Namen des Kunden als Datenverantwortlicher in Bezug auf die Kundendaten handeln.

2.2 Details der Datenverarbeitung

Der Gegenstand der Verarbeitung von Kundendaten durch HostPapa ist die Erbringung der abgedeckten Dienstleistungen gemäß der Allgemeinen Geschäftsbedingungen und produktspezifischen Vereinbarungen. HostPapa wird Kundendaten nur im Namen und in Übereinstimmung mit den dokumentierten Anweisungen des Kunden für die folgenden Zwecke verarbeiten:

  • Verarbeitung in Übereinstimmung mit den Servicebedingungen oder der geltenden produktspezifischen Vereinbarung;
  • Verarbeitungen, die von Endnutzern im Rahmen ihrer Nutzung der abgedeckten Dienste veranlasst werden;
  • Verarbeitung zur Einhaltung anderer dokumentierter, angemessener Anweisungen von Kunden (z. B. per E-Mail), sofern diese Anweisungen mit den Bedingungen des Nachtrags übereinstimmen.

Ungeachtet dessen ist HostPapa nicht verpflichtet, die Anweisungen des Kunden zu befolgen oder zu beachten, wenn diese Anweisungen gegen die EU-Datenschutzgrundverordnung 2016/679 („DSGVO“) oder andere anwendbare Datenschutzgesetze verstoßen würden.

Die Dauer der Verarbeitung, die Art und der Zweck der Verarbeitung, die Arten der personenbezogenen Daten und die Kategorien der betroffenen Personen, die im Rahmen dieses Nachtrags verarbeitet werden, sind in Anhang 1 („Einzelheiten der Verarbeitung“) dieses Nachtrags näher beschrieben.

3. Vertraulichkeit von Kundendaten

HostPapa wird keine Kundendaten an Regierungen oder andere Dritte weitergeben, es sei denn, dies ist notwendig, um das Gesetz oder eine gültige und verbindliche Anordnung einer Strafverfolgungsbehörde (wie eine Vorladung oder ein Gerichtsbeschluss) zu erfüllen. Wenn eine Strafverfolgungsbehörde HostPapa eine Anfrage zu Kundendaten sendet, wird HostPapa versuchen, die Strafverfolgungsbehörde dazu zu bewegen, diese Daten direkt vom Kunden anzufordern. Als Teil dieser Bemühungen kann HostPapa die grundlegenden Kontaktinformationen des Kunden an die Strafverfolgungsbehörde weitergeben. Wenn HostPapa gezwungen ist, Kundendaten an eine Strafverfolgungsbehörde weiterzugeben, wird HostPapa den Kunden in angemessener Weise von der Forderung in Kenntnis setzen, um dem Kunden die Möglichkeit zu geben, eine Schutzverfügung oder ein anderes geeignetes Rechtsmittel zu beantragen, es sei denn, HostPapa ist gesetzlich daran gehindert, dies zu tun.

4. Sicherheit

HostPapa hat technische und organisatorische Maßnahmen für das HostPapa-Netzwerk, wie in diesem Abschnitt beschrieben und wie in Annex 2 dieses Anhangs, Sicherheitsstandards, näher beschrieben, umgesetzt und wird diese beibehalten. Insbesondere hat HostPapa die folgenden technischen und organisatorischen Maßnahmen implementiert und wird diese beibehalten:

  1. Sicherheit des HostPapa-Netzwerks;

  2. Die physische Sicherheit aller Einrichtungen;

  3. Kontrollen des Zugangs von Mitarbeitern und Auftragnehmern zum HostPapa-Netzwerk und zu den Einrichtungen von HostPapa; und,

  4. Verfahren zur Prüfung, Bewertung und Evaluierung der Wirksamkeit der von HostPapa durchgeführten technischen und organisatorischen Maßnahmen.

HostPapa stellt eine Reihe von Sicherheitsmerkmalen und -funktionen zur Verfügung, die der Kunde im Zusammenhang mit den abgedeckten Dienstleistungen nutzen kann. Der Kunde ist verantwortlich für:

  1. Ordnungsgemäße Konfiguration der abgedeckten Dienste.

  2. Verwendung der in Verbindung mit den abgedeckten Diensten verfügbaren Kontrollen (einschließlich der Sicherheitskontrollen), um die fortlaufende Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der Verarbeitungssysteme und -dienste zu gewährleisten.

  3. Verwendung der in Verbindung mit den abgedeckten Diensten verfügbaren Kontrollen (einschließlich der Sicherheitskontrollen), um es dem Kunden zu ermöglichen, die Verfügbarkeit und den Zugang zu den Kundendaten im Falle eines physischen oder technischen Vorfalls zeitnah wiederherzustellen (z. B. Backups und routinemäßige Archivierung von Kundendaten).

  4. Ergreifen von Maßnahmen, die der Kunde für angemessen hält, um eine angemessene Sicherheit, einen angemessenen Schutz und eine angemessene Löschung der Kundendaten zu gewährleisten, einschließlich der Verwendung von Verschlüsselungstechnologie zum Schutz der Kundendaten vor unbefugtem Zugriff und Maßnahmen zur Kontrolle der Zugriffsrechte auf die Kundendaten.

5. Rechte der betroffenen Person

In Anbetracht der Art der abgedeckten Dienste bietet HostPapa dem Kunden bestimmte Dienste an, die der Kunde nutzen kann, um Kundendaten, wie in den abgedeckten Diensten beschrieben, abzurufen, zu korrigieren, zu löschen oder deren Nutzung und Weitergabe einzuschränken. Der Kunde kann diese Dienste als technische und organisatorische Maßnahmen anfordern, um in Verbindung mit seinen Verpflichtungen gemäß den geltenden Datenschutzgesetzen Unterstützung zu erhalten, einschließlich seiner Verpflichtungen in Bezug auf die Beantwortung von Anfragen von betroffenen Personen.

Im Rahmen des wirtschaftlich Angemessenen und des gesetzlich Erforderlichen oder Erlaubten wird HostPapa den Kunden unverzüglich benachrichtigen, wenn HostPapa direkt eine Anfrage einer betroffenen Person zur Ausübung dieser Rechte gemäß den anwendbaren Datenschutzgesetzen erhält („Anfrage der betroffenen Person“). Darüber hinaus kann HostPapa, wenn die Nutzung der abgedeckten Dienste durch den Kunden seine Möglichkeiten einschränkt, eine Anfrage der betroffenen Person zu bearbeiten, soweit dies gesetzlich zulässig und angemessen ist und auf spezifische Anfrage des Kunden, auf Kosten des Kunden (falls zutreffend) wirtschaftlich angemessene Unterstützung bei der Bearbeitung der Anfrage leisten.

6. Unterauftragsverarbeitung


6.1 Zugelassene Unterauftragsverarbeiter

Der Kunde stimmt zu, dass HostPapa Unterauftragsverarbeiter einsetzen kann, um seine vertraglichen Verpflichtungen im Rahmen der Servicebedingungen und dieses Zusatzes zu erfüllen oder um bestimmte Dienstleistungen in seinem Namen zu erbringen, wie z.B. die Bereitstellung von Supportleistungen. Der Kunde stimmt hiermit zu, dass HostPapa Unterauftragsverarbeiter wie in diesem Abschnitt beschrieben einsetzt. Außer wie in diesem Abschnitt dargelegt oder wie anderweitig ausdrücklich von Ihnen autorisiert, wird HostPapa keine anderen Unterverarbeitungsaktivitäten erlauben.

6.2 Pflichten des Unterauftragsverarbeiters

Wenn HostPapa einen autorisierten Unterauftragsverarbeiter einsetzt, wie in „Autorisierte Unterauftragsverarbeiter“, oben beschrieben:

  1. HostPapa wird den Zugang des Unterauftragsverarbeiters zu den Kundendaten nur auf das beschränken, was notwendig ist, um die abgedeckten Dienstleistungen aufrechtzuerhalten oder die abgedeckten Dienstleistungen dem Kunden und allen Endnutzern in Übereinstimmung mit den abgedeckten Dienstleistungen zu erbringen. HostPapa verbietet dem Unterauftragsverarbeiter den Zugriff auf Kundendaten zu anderen Zwecken.

  2. HostPapa schließt einen schriftlichen Vertrag mit dem Unterauftragsverarbeiter ab, und soweit der Unterauftragsverarbeiter dieselben Datenverarbeitungsdienste erbringt, die von HostPapa im Rahmen dieses Anhangs erbracht werden, wird HostPapa dem Unterauftragsverarbeiter dieselben vertraglichen Verpflichtungen auferlegen, die HostPapa im Rahmen dieses Anhangs hat.

  3. HostPapa bleibt verantwortlich für die Einhaltung der Verpflichtungen aus diesem Anhang und für alle Handlungen oder Unterlassungen des Unterauftragsverarbeiters, die HostPapa dazu veranlassen, gegen eine der Verpflichtungen von HostPapa aus diesem Anhang zu verstoßen.

6.3 Neue Unterauftragsverarbeiter

Von Zeit zu Zeit kann HostPapa neue Unterauftragsverarbeiter unter den Bedingungen dieses Anhangs beauftragen. Wenn möglich, wird HostPapa Kunden 60 Tage im Voraus per E-Mail informieren, bevor ein neuer Unterauftragsverarbeiter Kundendaten erhält. Wenn ein Kunden einem neuen Unterauftragsverarbeiter nicht zustimmt, kann der Kunde alle abgedeckten Dienstleistungen ohne Strafe kündigen, indem er innerhalb von 10 Tagen nach Erhalt der Mitteilung von uns eine schriftliche Kündigungsmitteilung einreicht, die eine Erklärung der Gründe für die Nichtzustimmung enthält. Wenn die abgedeckten Dienste Teil eines Pakets oder eines gebündelten Kaufs sind, gilt eine Kündigung für das gesamte Paket.

7. Benachrichtigung bei Sicherheitsverletzungen


7.1 Sicherheitsvorfall

Wenn HostPapa von einem Sicherheitsvorfall Kenntnis erlangt, wird HostPapa ohne unangemessene Verzögerung:

  • Den Kunden über den Sicherheitsvorfall benachrichtigen; und,
  • Angemessene Maßnahmen zur Abschwächung der Auswirkungen und zur Minimierung des Schadens, der durch den Sicherheitsvorfall entstanden ist, unternehmen.

7.2 HostPapa-Hilfe

Um den Kunden bei der Benachrichtigung über die Verletzung des Schutzes personenbezogener Daten zu unterstützen, zu der der Kunde gemäß den geltenden Datenschutzgesetzen verpflichtet ist, wird HostPapa in die Benachrichtigung gemäß dem Abschnitt Kundenrechte/unabhängige Bestimmung (unten) solche Informationen über den Sicherheitsvorfall aufnehmen, die HostPapa dem Kunden nach vernünftigem Ermessen offenlegen kann, wobei die Art der abgedeckten Dienstleistungen, die HostPapa zur Verfügung stehenden Informationen und etwaige Beschränkungen bei der Offenlegung der Informationen, wie z.B. Vertraulichkeit, berücksichtigt werden.

7.3 Fehlgeschlagene Sicherheitsvorfälle

Der Kunde stimmt den folgenden Punkten zu:

  • Ein fehlgeschlagener Sicherheitsvorfall unterliegt nicht den Bedingungen dieses Anhangs. Ein fehlgeschlagener Sicherheitsvorfall ist ein Vorfall, der keinen unbefugten Zugriff auf Kundendaten oder auf das Netzwerk, die Ausrüstung oder die Einrichtungen von HostPapa, die Kundendaten speichern, zur Folge hat, und kann, ohne Einschränkung, Pings und andere Broadcast-Angriffe auf Firewalls oder Edge-Server, Port-Scans, erfolglose Anmeldeversuche, Denial-of-Service-Angriffe, Packet-Sniffing (oder andere unbefugte Zugriffe auf Verkehrsdaten, die nicht zu einem Zugriff über die Header hinaus führen) oder ähnliche Vorfälle umfassen; und,
  • Die Verpflichtung von HostPapa, einen Sicherheitsvorfall gemäß diesem Abschnitt zu melden oder darauf zu reagieren, ist nicht als Anerkennung eines Fehlers oder einer Haftung von HostPapa in Bezug auf den Sicherheitsvorfall zu verstehen und wird auch nicht als solche ausgelegt.

7.4 Kommunikation

Benachrichtigung(en) über Sicherheitsvorfälle, falls vorhanden, werden an einen oder mehrere Administratoren des Kunden auf jede von HostPapa gewählte Weise, einschließlich per E-Mail, übermittelt. Es liegt in der alleinigen Verantwortung des Kunden, sicherzustellen, dass die Administratoren des Kunden korrekte Kontaktinformationen auf der HostPapa-Verwaltungskonsole und eine sichere Übertragung zu allen Zeiten aufrechterhalten.

8. Rechte des Kunden


8.1 Unabhängige Ermittlung

Der Kunde ist dafür verantwortlich, die von HostPapa zur Verfügung gestellten Informationen in Bezug auf die Datensicherheit und seine Sicherheitsstandards zu überprüfen und eine unabhängige Entscheidung darüber zu treffen, ob die abgedeckten Dienstleistungen den Anforderungen und rechtlichen Verpflichtungen des Kunden sowie seinen Verpflichtungen gemäß diesem Nachtrag entsprechen. Die zur Verfügung gestellten Informationen sollen den Kunden bei der Einhaltung seiner Verpflichtungen gemäß den geltenden Datenschutzgesetzen, einschließlich der DSGVO, in Bezug auf Datenschutzfolgenabschätzungen und vorherige Konsultationen unterstützen.

8.2 Auditrechte des Kunden

Der Kunde hat das Recht, die Einhaltung dieses Anhangs durch HostPapa in Bezug auf die abgedeckten Dienste zu bestätigen, insbesondere die Einhaltung der Sicherheitsstandards durch HostPapa, indem er ein angemessenes Recht zur Durchführung eines Audits oder einer Inspektion ausübt, einschließlich der Standardvertragsklauseln, falls diese anwendbar sind, indem er eine spezifische schriftliche Anfrage an HostPapa an die in den Servicebedingungen angegebene Adresse richtet. Wenn HostPapa sich weigert, eine vom Kunden angeforderte Anweisung bezüglich eines ordnungsgemäß angeforderten und umfassten Audits oder einer Inspektion zu befolgen, ist der Kunde berechtigt, dieses Addendum und die Servicebedingungen zu kündigen. Wenn die Standardvertragsklauseln gelten, ändert oder modifiziert nichts in diesem Abschnitt die Standardvertragsklauseln oder beeinträchtigt die Rechte einer Aufsichtsbehörde oder einer betroffenen Person gemäß der Standardvertragsklauseln. Dieser Abschnitt gilt auch, soweit HostPapa die Kontrolle von Unterauftragsverarbeitern im Namen des Kunden durchführt.

9. Übermittlung von personenbezogenen Daten


9.1 Verarbeitung in Kanada

Sofern nicht ausdrücklich in den Nutzungsbedingungen vermerkt, werden Kundendaten außerhalb des EWR übertragen und in Kanada verarbeitet, wo diese Daten durch den Personal Information Protection and Electronic Documents Act (PIPEDA) geregelt sind. Kanada wurde von der EU als ein Land anerkannt, das einen angemessenen Datenschutz bietet (gemäß Artikel 45 der Verordnung (EU) 2016/679), so dass personenbezogene Daten von in der EU ansässigen Personen frei nach Kanada übertragen werden können.

Da HostPapa mit einer Reihe von in den USA ansässigen Partnern zusammenarbeitet, übermitteln wir (gemäß Artikel 45 der DSGVO) auch personenbezogene Daten an Unternehmen, die ihre Einhaltung des EU-U.S. oder Swiss-U.S. Privacy Shield Frameworks zertifiziert haben.

9.2 Anwendung von Standardvertragsklauseln

Die Standardvertragsklauseln gelten für Kundendaten, die entweder direkt oder im Wege der Weiterübermittlung in ein Land außerhalb des EWR übermittelt werden, das von der Europäischen Kommission nicht als Land anerkannt ist, das ein angemessenes Schutzniveau für personenbezogene Daten bietet (wie in der DSGVO beschrieben). Die Standardvertragsklauseln gelten nicht für Kundendaten, die weder direkt noch im Wege der Weiterübermittlung außerhalb des EWR übermittelt werden. Ungeachtet des Vorstehenden gelten die Standardvertragsklauseln nicht, wenn die Daten in Übereinstimmung mit einem anerkannten Compliance-Standard für die rechtmäßige Übermittlung personenbezogener Daten (wie in der DSGVO definiert) außerhalb des EWR übertragen werden, wie z. B. die kanadischen PIPEDA-Bestimmungen und auch die EU-US- und Swiss-U.S Privacy Shield Frameworks.

10. Gültigkeitszeitraum des Anhangs

Dieser Anhang bleibt bis zur Beendigung unserer Verarbeitung gemäß den Servicebedingungen (das „Beendigungsdatum“) in Kraft.

11. Rückgabe oder Löschung von Kundendaten

Wie in den abgedeckten Leistungen beschrieben, kann dem Kunden von HostPapa ein Service zur Verfügung gestellt werden, der zum Abrufen oder Löschen von Kundendaten genutzt werden kann. Jegliche Löschung von Kundendaten wird durch die Bedingungen der jeweiligen abgedeckten Leistungen geregelt.

12. Beschränkung der Haftung

Die Haftung jeder Partei unter diesem Zusatz unterliegt den Haftungsausschlüssen und -beschränkungen, die in den Servicebedingungen festgelegt sind. Der Kunde stimmt zu, dass alle behördlichen Strafen, die HostPapa in Bezug auf Kundendaten entstehen, die als Folge oder in Verbindung mit der Nichteinhaltung der Verpflichtungen des Kunden unter diesem Zusatz und allen anwendbaren Datenschutzgesetzen entstehen, auf die Haftung von HostPapa unter den Servicebedingungen angerechnet werden und diese reduzieren, als ob es sich um eine Haftung gegenüber dem Kunden unter den Servicebedingungen handelt.

13. Gesamte Nutzungsbedingungen; Konflikt

Dieser Anhang ersetzt alle vorherigen oder gleichzeitigen Zusicherungen, Absprachen, Vereinbarungen oder Kommunikationen zwischen dem Kunden und HostPapa, ob schriftlich oder mündlich, bezüglich des Gegenstands dieses Anhangs, einschließlich aller Datenverarbeitungszusätze, die zwischen HostPapa und dem Kunden in Bezug auf die Verarbeitung personenbezogener Daten und den freien Verkehr solcher Daten abgeschlossen wurden, und macht sie überflüssig. Sofern nicht durch diesen Nachtrag geändert, bleiben die Servicebedingungen in vollem Umfang in Kraft und wirksam. Im Falle eines Widerspruchs zwischen einer anderen Vereinbarung zwischen den Parteien, einschließlich der Allgemeinen Geschäftsbedingungen und diesem Anhang, haben die Bedingungen dieses Anhangs Vorrang.

Annex 1 - Einzelheiten der Verarbeitung

  1. Art und Zweck der Verarbeitung. HostPapa wird personenbezogene Daten so verarbeiten, wie es für die Erbringung der abgedeckten Dienste gemäß den Allgemeinen Geschäftsbedingungen und produktspezifischen Vereinbarungen erforderlich ist, und wie es der Kunde während der Nutzung der abgedeckten Dienste wünscht.

  2. Dauer der Verarbeitung. Vorbehaltlich des Abschnitts 10 dieses Anhangs verarbeitet HostPapa personenbezogene Daten während des Gültigkeitszeitraums der Nutzungsbedingungen, hält sich jedoch an die Bedingungen dieses Nachtrags für die Dauer der Verarbeitung, falls diese über diesen Zeitraum hinausgeht, und sofern nichts anderes schriftlich vereinbart wurde.

  3. Kategorien von betroffenen Personen. Der Kunde kann im Zuge der Nutzung der abgedeckten Dienste personenbezogene Daten hochladen, deren Umfang vom Kunden nach eigenem Ermessen bestimmt und kontrolliert wird und die personenbezogene Daten der folgenden Kategorien von betroffenen Personen enthalten können, aber nicht darauf beschränkt sind:

  • Interessenten, Kunden, Geschäftspartner und Lieferanten des Kunden (die natürliche Personen sind).
  • Mitarbeiter oder Kontaktpersonen von Interessenten, Kunden, Geschäftspartnern und Lieferanten des Kunden.
  • Angestellte, Vertreter, Berater und freie Mitarbeiter des Kunden (die natürliche Personen sind).
  • Benutzer des Kunden, die vom Kunden zur Nutzung der abgedeckten Dienste autorisiert wurden.
4. Art der personenbezogenen Daten. Der Kunde kann im Zuge der Nutzung der abgedeckten Dienste personenbezogene Daten hochladen, deren Art und Umfang vom Kunden nach seinem alleinigen Ermessen bestimmt und kontrolliert werden und die die folgenden Kategorien personenbezogener Daten von betroffenen Personen umfassen können, aber nicht darauf beschränkt sind:
  • Name
  • Adresse
  • Telefonnummer
  • Geburtsdatum
  • E-Mail-Adresse
  • Andere gesammelte Daten, die eine betroffene Person direkt oder indirekt identifizieren könnten.
### Annex 2 - Sicherheitsstandards

I.  Technische und organisatorische Maßnahmen

Wir verpflichten uns, die Daten unserer Kunden zu schützen. Unter Berücksichtigung der besten Praktiken, der Kosten der Umsetzung und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen ergreifen wir die folgenden technischen und organisatorischen Maßnahmen. Bei der Auswahl der Maßnahmen werden die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme berücksichtigt. Eine schnelle Wiederherstellung nach einem physischen oder technischen Vorfall ist gewährleistet.

II.  Programm zum Datenschutz

Wir testen, beurteilen und bewerten regelmäßig die Effektivität des HostPapa-Netzwerks und die Sicherheit unserer Einrichtungen.

1. Vertraulichkeit.

Wir setzen eine Reihe von physischen und logischen Maßnahmen ein, um die Vertraulichkeit der personenbezogenen Daten unserer Kunden zu schützen. Diese Maßnahmen umfassen:

Physische Sicherheit
  • Physische Zugangskontrollsysteme (Zugangskontrolle mit Ausweis, Überwachung von Sicherheitsereignissen usw.).
  • Überwachungssysteme, einschließlich Alarme und gegebenenfalls Videoüberwachung.
  • Richtlinien und Kontrollen für saubere Arbeitsplätze (Sperren von unbeaufsichtigten Computern, verschlossene Schränke usw.).
  • Verwaltung des Besucherzugangs.
  • Vernichtung von Daten auf physischen Datenträgern und Dokumenten.
Zugangskontrolle und Verhinderung von unbefugtem Zugang
  • Zugriffsbeschränkungen für Benutzer und rollenbasierte Zugriffsberechtigungen, die nach dem Grundsatz der Aufgabentrennung erteilt/überprüft werden.
  • Starke Authentifizierungs- und Autorisierungsmethoden (Multi-Faktor-Authentifizierung, automatische Deaktivierung/Abmeldung usw.).
  • Zentralisierte Passwortverwaltung und strenge/komplexe Passwortrichtlinien (Mindestlänge, Komplexität der Zeichen, Ablauf von Passwörtern usw.).
Sicherheitsprüfungen
  • Regelmäßige Netzwerk- und Schwachstellenscans.
2. Integrität

Zusätzlich zu den Zugangskontrollen sind angemessene Änderungs- und Protokollverwaltungskontrollen vorhanden, um die Integrität personenbezogener Daten zu gewährleisten, z. B:

Änderungs- und Freigabemanagement
  • Änderungs- und Freigabeverwaltungsprozess (einschließlich Auswirkungsanalyse, Genehmigungen, Tests, Sicherheitsüberprüfungen, Staging, Überwachung usw.).
  • Rollen- und funktionsbasierte Aufteilung von Pflichten, Zugangsbeschränkung für Produktionsumgebungen.
Logging & Überwachung
  • Logging von Zugriff auf und Änderungen an Daten.
  • Zentralisierte Audit- und Sicherheitsprotokolle.
3. Verfügbarkeit

„Die Verfügbarkeit von Diensten und IT-Systemen, IT-Anwendungen und IT-Netzfunktionen oder von Informationen ist gewährleistet, wenn die Nutzer sie jederzeit bestimmungsgemäß nutzen können.“

Wir setzen geeignete Kontinuitäts- und Sicherheitsmaßnahmen ein, um die Verfügbarkeit unserer Dienste und der darin enthaltenen Daten zu gewährleisten:

  • Umfassende Leistungs-/Verfügbarkeitsüberwachung und Berichterstattung für kritische Systeme.
  • Programm zur Reaktion auf Vorfälle.
  • Kritische Daten werden entweder repliziert oder gesichert (Cloud-Backups/Festplatten/Datenbankreplikation usw.).
  • Geplante Software-, Infrastruktur- und Sicherheitswartung (Software-Updates, Sicherheits-Patches usw.).
  • Redundante und widerstandsfähige Systeme.
  • Verwendung von unterbrechungsfreien Stromversorgungen, ausfallredundanter Hardware und Netzwerksystemen.
  • Vorhandene Alarm- und Sicherheitssysteme.
  • Physikalische Schutzmaßnahmen für kritische Standorte (Überspannungsschutz, Doppelböden, Kühlsysteme, Brand- und/oder Rauchmelder, Brandbekämpfungssysteme usw.).
  • DDOS-Schutz zur Aufrechterhaltung der Verfügbarkeit.
  • Last- und Belastungstests.
  • Firewalls für Webanwendungen.
4. Anweisungen zur Datenverarbeitung

Wir haben interne Datenschutzrichtlinien und -vereinbarungen aufgestellt, um sicherzustellen, dass personenbezogene Daten in Übereinstimmung mit den Wünschen und Anweisungen unserer Kunden verarbeitet werden.

  • Datenschutz- und Vertraulichkeitsbestimmungen in den Verträgen von Mitarbeitern und Unterauftragnehmern.
  • Regelmäßige Sicherheitsprüfungen.
  • Prüfung der PCI-Konformität.

Annex 3 - Standardvertragsklauseln (Verarbeiter)

Anmerkung: Zur Anwendbarkeit dieser Standardvertragsklauseln siehe Abschnitt 9.2 des Anhangs.

Im Sinne von Artikel 26 Absatz 2 der Richtlinie 95/46/EG für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern, die kein angemessenes Datenschutzniveau gewährleisten

Die im Anhang als „Kunde“ bezeichnete Partei

(der „Datenexporteur“)

und

HostPapa Inc,

(der „Datenimporteur“)

jeweils eine „Partei“; zusammen „die Parteien“,

   SIND über die folgenden Vertragsklauseln (die Klauseln) ÜBEREINGEKOMMEN, um angemessene Garantien in Bezug auf den Schutz der Privatsphäre und der Grundrechte und -freiheiten natürlicher Personen für die Übermittlung der in Anlage 1 aufgeführten personenbezogenen Daten durch den Datenexporteur an den Datenimporteur zu schaffen.

Klausel 1 - Definitionen

Für die Zwecke der Klauseln:

  1. haben die Begriffe „personenbezogene Daten“, „besondere Kategorien von Daten“, „Verarbeitung“, „für die Verarbeitung Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Kontrollstelle“ die gleiche Bedeutung wie in der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr;
  2. „Datenexporteur“ ist der für die Verarbeitung Verantwortliche, der die personenbezogenen Daten übermittelt;
  3. „Datenimporteur“ ist der Auftragsverarbeiter, der sich damit einverstanden erklärt, vom Datenexporteur personenbezogene Daten zu erhalten, die nach der Übermittlung gemäß seinen Anweisungen und den Bestimmungen der Klauseln in seinem Namen verarbeitet werden sollen, und der keinem System eines Drittlandes unterliegt, das einen angemessenen Schutz im Sinne von Artikel 25 Absatz 1 der Richtlinie 95/46/EG gewährleistet;
  4. „Unterauftragsverarbeiter“ ist jeder vom Datenimporteur oder von einem anderen Unterauftragsverarbeiter des Datenimporteurs beauftragte Auftragsverarbeiter, der sich bereit erklärt, vom Datenimporteur oder von einem anderen Unterauftragsverarbeiter des Datenimporteurs personenbezogene Daten zu erhalten, die ausschließlich für Verarbeitungstätigkeiten bestimmt sind, die nach der Übermittlung im Auftrag des Datenexporteurs gemäß seinen Anweisungen, den Bestimmungen der Klauseln und den Bestimmungen des schriftlichen Untervertrags durchgeführt werden;
  5. „anwendbares Datenschutzrecht“ die Rechtsvorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihres Rechts auf Schutz der Privatsphäre bei der Verarbeitung personenbezogener Daten, die für einen für die Verarbeitung Verantwortlichen in dem Mitgliedstaat gelten, in dem der Datenexporteur niedergelassen ist;
  6. "Technische und organisatorische Sicherheitsmaßnahmen" sind Maßnahmen, die darauf abzielen, personenbezogene Daten vor zufälliger oder unrechtmäßiger Zerstörung, versehentlichem Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff zu schützen, insbesondere wenn die Verarbeitung die Übertragung von Daten über ein Netzwerk umfasst, sowie vor allen anderen unrechtmäßigen Formen der Verarbeitung.

Klausel 2 - Einzelheiten der Übertragung

Die Einzelheiten der Übermittlung und insbesondere die besonderen Kategorien personenbezogener Daten, sofern zutreffend, sind in Anhang 1 festgelegt, der einen integralen Bestandteil der Klauseln bildet.

Klausel 3 - Drittbegünstigungsklausel

  1. Die betroffene Person kann gegen den Datenexporteur diese Klausel, Klausel 4(b) bis (i), Klausel 5(a) bis (e) und (g) bis (j), Klausel 6, Klausel 7(2) und Klauseln 8 bis 11 als Drittbegünstigter durchsetzen.

  2. Die betroffene Person kann gegen den Datenimporteur diese Klausel, Klausel 5(a) bis (e) und (g), Klausel 6, Klausel 7(2) und Klauseln 8 bis 11 in Fällen durchsetzen, in denen der Datenexporteur faktisch verschwunden ist oder rechtlich nicht mehr existiert, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Verpflichtungen des Datenexporteurs übernommen und übernimmt dadurch die Rechte und Pflichten des Datenexporteurs; in diesem Fall kann die betroffene Person die Klauseln gegen diesen Rechtsnachfolger durchsetzen.

  3. Die betroffene Person kann gegen den Unterauftragsverarbeiter diese Klausel, Klausel 5(a) bis (e) und (g), Klausel 6, Klausel 7(2) und Klauseln 8 bis 11 in Fällen durchsetzen, in denen sowohl der Datenexporteur als auch der Datenimporteur faktisch verschwunden sind, rechtlich nicht mehr existieren oder zahlungsunfähig geworden sind, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Verpflichtungen des Datenexporteurs übernommen und übernimmt dadurch die Rechte und Pflichten des Datenexporteurs; in diesem Fall kann die betroffene Person die Klauseln gegen diesen Rechtsnachfolger durchsetzen. Eine solche Haftung des Unterauftragsverarbeiters ist auf dessen eigene Verarbeitungstätigkeiten gemäß der Klauseln beschränkt.

  4. Die Parteien haben keine Einwände dagegen, dass die betroffene Person durch einen Verband oder eine andere Einrichtung vertreten wird, wenn die betroffene Person dies ausdrücklich wünscht und dies nach nationalem Recht zulässig ist.

Klausel 4 - Verpflichtungen des Datenexporteurs

Der Datenexporteur erklärt sich damit einverstanden und gewährleistet:

  1. dass die Verarbeitung der personenbezogenen Daten, einschließlich der Übermittlung selbst, im Einklang mit den einschlägigen Bestimmungen des geltenden Datenschutzrechts erfolgt ist und weiterhin erfolgen wird (und gegebenenfalls den zuständigen Behörden des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, gemeldet wurde) und nicht gegen die einschlägigen Bestimmungen dieses Staates verstößt;
  2. dass er den Datenimporteur angewiesen hat und während der gesamten Dauer der Dienstleistungen zur Verarbeitung personenbezogener Daten anweisen wird, die übermittelten personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dem geltenden Datenschutzrecht und den Klauseln zu verarbeiten;
  3. dass der Datenimporteur ausreichende Garantien in Bezug auf die technischen und organisatorischen Sicherheitsmaßnahmen gemäß Anlage 2 zu diesem Vertrag bietet;
  4. dass nach Prüfung der Anforderungen des geltenden Datenschutzrechts die Sicherheitsmaßnahmen geeignet sind, personenbezogene Daten gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang – insbesondere wenn die Verarbeitung die Übermittlung von Daten über ein Netz umfasst – und gegen jede andere Form der unrechtmäßigen Verarbeitung zu schützen, und dass diese Maßnahmen unter Berücksichtigung des Stands der Technik und der Kosten ihrer Durchführung ein Schutzniveau gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist;
  5. dass er die Einhaltung der Sicherheitsmaßnahmen gewährleisten wird;
  6. dass, falls die Übermittlung besondere Datenkategorien betrifft, die betroffene Person vor oder so bald wie möglich nach der Übermittlung darüber informiert wurde oder wird, dass ihre Daten in ein Drittland übermittelt werden könnten, das keinen angemessenen Schutz im Sinne der Richtlinie 95/46/EG bietet;
  7. jede Meldung des Datenimporteurs oder eines Unterauftragsverarbeiters gemäß Klausel 5 (b) und Klausel 7 (3) an die Datenschutzaufsichtsbehörde weiterzuleiten, wenn der Datenexporteur beschließt, die Übermittlung fortzusetzen oder die Aussetzung aufzuheben;
  8. den betroffenen Personen auf Anfrage ein Exemplar der Klauseln, mit Ausnahme von Anhang 2, und eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen sowie ein Exemplar jedes Vertrags für Unterverarbeitungsdienste, der gemäß den Klauseln geschlossen werden muss, zur Verfügung zu stellen, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall kann er diese Geschäftsinformationen entfernen;
  9. dass im Falle einer Unterverarbeitung die Verarbeitungstätigkeit gemäß Klausel 10 von einem Unterauftragsverarbeiter durchgeführt wird, der mindestens das gleiche Maß an Schutz für die personenbezogenen Daten und die Rechte der betroffenen Person bietet wie der Datenimporteur gemäß der Klauseln; und
  10. dass er die Einhaltung von Klausel 4(a) bis (i) sicherstellt.

Klausel 5 - Verpflichtungen des Datenimporteurs

Anmerkung: Zwingende Anforderungen der für den Datenimporteur geltenden nationalen Rechtsvorschriften, die nicht über das hinausgehen, was in einer demokratischen Gesellschaft aufgrund eines der in Artikel 13 (1) der Richtlinie 95/46/EG aufgeführten Interessen erforderlich ist, d. h. wenn sie eine notwendige Maßnahme zum Schutz der nationalen Sicherheit, der Landesverteidigung, der öffentlichen Sicherheit, zur Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder Verstößen gegen die Standesregeln der reglementierten Berufe, eines wichtigen wirtschaftlichen oder finanziellen Interesses des Staates oder zum Schutz der betroffenen Person oder der Rechte und Freiheiten anderer darstellen, stehen nicht im Widerspruch zu den Standardvertragsklauseln. Einige Beispiele für solche zwingenden Anforderungen, die nicht über das hinausgehen, was in einer demokratischen Gesellschaft notwendig ist, sind unter anderem international anerkannte Sanktionen, steuerliche Meldepflichten oder Meldepflichten zur Bekämpfung der Geldwäsche.

Der Datenimporteur erklärt sich damit einverstanden und garantiert:

  1. die personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dessen Weisungen und den Klauseln zu verarbeiten; kann er dies aus welchen Gründen auch immer nicht leisten, verpflichtet er sich, den Datenexporteur unverzüglich darüber zu informieren, dass er dazu nicht in der Lage ist; in diesem Fall ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder den Vertrag zu kündigen;
  2. dass er keinen Grund zu der Annahme hat, dass die für ihn geltenden Rechtsvorschriften ihn daran hindern, die vom Datenexporteur erhaltenen Anweisungen und seine Verpflichtungen aus dem Vertrag zu erfüllen, und dass er im Falle einer Änderung dieser Rechtsvorschriften, die erhebliche nachteilige Auswirkungen auf die in den Klauseln vorgesehenen Garantien und Verpflichtungen haben könnten, dem Datenexporteur die Änderung unverzüglich mitteilen wird, sobald er davon Kenntnis hat; in diesem Fall ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder den Vertrag zu kündigen;
  3. dass er vor der Verarbeitung der übermittelten personenbezogenen Daten die in Anlage 2 genannten technischen und organisatorischen Sicherheitsmaßnahmen getroffen hat;
  4. dass er den Datenexporteur unverzüglich über die folgenden Punkte benachrichtigen wird:
    1. jedes rechtsverbindliche Ersuchen einer Strafverfolgungsbehörde um Offenlegung der personenbezogenen Daten, sofern dies nicht anderweitig untersagt ist, z. B. durch ein strafrechtliches Verbot zur Wahrung der Vertraulichkeit einer strafrechtlichen Untersuchung,
    2. jeden versehentlichen oder unbefugten Zugriff und
    3. jedes direkt von den betroffenen Personen erhaltene Ersuchen, ohne diesem Ersuchen nachzukommen, es sei denn, er wurde anderweitig dazu ermächtigt;
  5. alle Anfragen des Datenexporteurs in Bezug auf die Verarbeitung der personenbezogenen Daten, die Gegenstand der Übermittlung sind, unverzüglich und ordnungsgemäß zu beantworten und den Rat der Kontrollstelle in Bezug auf die Verarbeitung der übermittelten Daten zu befolgen;
  6. der betroffenen Person auf Verlangen eine Kopie der Klauseln oder eines bestehenden Vertrags über die Weiterverarbeitung zur Verfügung zu stellen, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall kann er diese Geschäftsinformationen entfernen, mit Ausnahme von Anhang 2, der in den Fällen, in denen die betroffene Person keine Kopie vom Datenexporteur erhalten kann, durch eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen ersetzt wird;
  7. dass er im Falle einer Unterverarbeitung den Datenexporteur vorher informiert und dessen schriftliche Zustimmung eingeholt hat;
  8. dass die Verarbeitung durch den Unterauftragsverarbeiter im Einklang mit Klausel 10 durchgeführt wird;
  9. dem Datenexporteur unverzüglich eine Kopie jedes Unterauftragsverarbeitungsvertrags zu übermitteln, den er gemäß der Klauseln abschließt.

Klausel 6 - Schlichtung und Gerichtsbarkeit

  1. Der Datenimporteur erklärt sich damit einverstanden, dass der Datenimporteur die Entscheidung der betroffenen Person akzeptiert, wenn diese sich gegenüber dem Datenimporteur auf die Rechte eines Drittbegünstigten beruft und/oder Schadensersatz gemäß den Klauseln fordert:
    1. den Streitfall der Schlichtung durch eine unabhängige Person oder gegebenenfalls durch die Aufsichtsbehörde zu überlassen;
    2. den Streitfall an die ausschließliche Gerichtsbarkeit zu verweisen, in der der Datenimporteur niedergelassen ist. Alle rechtlichen Auseinandersetzungen müssen vor den Gerichten der Provinz Ontario in Kanada ausgetragen werden.
  2. Die Parteien sind sich darüber einig, daß die Wahl der betroffenen Person ihre materiellen und verfahrensrechtlichen Rechte auf Einlegung von Rechtsbehelfen nach anderen Bestimmungen des nationalen oder internationalen Rechts nicht beeinträchtigt.

Klausel 7 - Zusammenarbeit mit Aufsichtsbehörden

  1. Der Datenexporteur erklärt sich dazu bereit, eine Kopie dieses Vertrags bei der Aufsichtsbehörde zu hinterlegen, wenn diese darum ersucht oder wenn eine solche Hinterlegung nach dem geltenden Datenschutzrecht erforderlich ist.

  2. Die Parteien vereinbaren, dass die Aufsichtsbehörde das Recht hat, beim Datenimporteur und bei allen Unterauftragsverarbeitern eine Prüfung durchzuführen, die den gleichen Umfang hat und den gleichen Bedingungen unterliegt, wie sie für eine Prüfung des Datenexporteurs nach dem geltenden Datenschutzrecht gelten würden.

  3. Der Datenimporteur unterrichtet den Datenexporteur unverzüglich über das Bestehen von Rechtsvorschriften, die auf ihn oder einen Unterauftragsverarbeiter anwendbar sind und die Durchführung eines Audits beim Datenimporteur oder bei einem Unterauftragsverarbeiter gemäß Absatz 2 verhindern. In einem solchen Fall ist der Datenexporteur berechtigt, die in Klausel 5 (b) vorgesehenen Maßnahmen zu ergreifen.

Klausel 8 - Geltendes Recht

Die Klauseln unterliegen dem Recht des Landes, in dem der Datenimporteur ansässig ist. Es gilt das Recht von Kanada und der Provinz Ontario.

Klausel 9 - Änderung des Vertrages

Die Parteien verpflichten sich, die Klauseln nicht zu ändern oder zu modifizieren. Dies schließt nicht aus, dass die Parteien bei Bedarf Klauseln zu geschäftsbezogenen Fragen hinzufügen, sofern sie nicht im Widerspruch zu der Klausel stehen.

Klausel 10 - Unterverarbeitung

  1. Der Datenimporteur darf ohne vorherige schriftliche Zustimmung des Datenexporteurs keine seiner im Namen des Datenexporteurs gemäß den Klauseln durchgeführten Verarbeitungen an Unterauftragnehmer vergeben. Vergibt der Datenimporteur mit Zustimmung des Datenexporteurs Unteraufträge im Rahmen der Klauseln, so darf er dies nur im Wege einer schriftlichen Vereinbarung mit dem Unterauftragsverarbeiter tun, die dem Unterauftragsverarbeiter dieselben Verpflichtungen auferlegt, die dem Datenimporteur gemäß der Klauseln auferlegt sind. Kommt der Unterauftragsverarbeiter seinen datenschutzrechtlichen Verpflichtungen aus einer solchen schriftlichen Vereinbarung nicht nach, so bleibt der Datenimporteur dem Datenexporteur gegenüber in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters aus dieser Vereinbarung haftbar.

  2. Der vorherige schriftliche Vertrag zwischen dem Datenimporteur und dem Unterauftragsverarbeiter sieht auch eine Drittbegünstigungsklausel gemäß Klausel 3 für den Fall vor, dass die betroffene Person nicht in der Lage ist, Schadensersatzansprüche gegen den Datenexporteur oder den Datenimporteur geltend zu machen, weil diese faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig geworden sind und kein Nachfolgeunternehmen die gesamten rechtlichen Verpflichtungen des Datenexporteurs oder des Datenimporteurs vertraglich oder von Rechts wegen übernommen hat. Die Drittschuldnerhaftung des Unterauftragsverarbeiters ist auf seine eigenen Verarbeitungen gemäß der Klauseln beschränkt.

  3. Die Bestimmungen über die Datenschutzaspekte bei der Unterverarbeitung des in Absatz 1 genannten Vertrags unterliegen den Rechtsvorschriften des Landes, in dem der Datenimporteur niedergelassen ist. Es gilt das Recht von Kanada und der Provinz Ontario.

  4. Der Datenexporteur führt ein Verzeichnis der gemäß den Klauseln geschlossenen und vom Datenimporteur gemäß Klausel 5 (j) gemeldeten Unterverarbeitungsverträge, das mindestens einmal jährlich zu aktualisieren ist. Das Verzeichnis ist der Datenschutzaufsichtsbehörde des Datenexporteurs zur Verfügung zu stellen.

Klausel 11 - Verpflichtungen nach Beendigung der Verarbeitung personenbezogener Daten

  1. Die Parteien vereinbaren, dass der Datenimporteur und der Unterauftragsverarbeiter bei Beendigung der Erbringung von Datenverarbeitungsdiensten nach Wahl des Datenexporteurs alle übermittelten personenbezogenen Daten und die Kopien davon an den Datenexporteur zurückgeben oder alle personenbezogenen Daten vernichten und dies dem Datenexporteur gegenüber bescheinigen, es sei denn, der Datenimporteur ist aufgrund von Rechtsvorschriften daran gehindert, alle oder einen Teil der übermittelten personenbezogenen Daten zurückzugeben oder zu vernichten. In diesem Fall garantiert der Datenimporteur, dass er die Vertraulichkeit der übermittelten personenbezogenen Daten gewährleisten und die übermittelten personenbezogenen Daten nicht mehr aktiv verarbeiten wird.

  2. Der Datenimporteur und der Unterauftragsverarbeiter gewährleisten, dass sie auf Ersuchen des Datenexporteurs und/oder der Kontrollstelle ihre Datenverarbeitungsanlagen einer Prüfung der in Absatz 1 genannten Maßnahmen unterziehen.

Annex 1 zu den Standardvertragsklauseln

Datenexporteur: Der Datenexporteur ist die im Anhang als „Kunde“ bezeichnete Partei.

Datenimporteur: Der Datenimporteur ist HostPapa Inc., ein Anbieter von gehosteten Dienstleistungen.

Betroffene Personen: Die Verarbeitungen sind in Abschnitt 1.3 und Annex 1 des Anhangs definiert.

Kategorien von Daten: Die Verarbeitungen sind in Abschnitt 1.3 und in Annex 1 des Anhangs definiert.

Verarbeitungen: Die Verarbeitungsvorgänge sind in Abschnitt 1.3 und Annex 1 des Anhangs definiert.

Annex 2 zu den Standardvertragsklauseln

Dieser Anhang ist Teil der Klauseln. Durch den Erwerb der abgedeckten Dienstleistungen von HostPapa gelten der Nachtrag und dieser Anhang 2 als von den Parteien akzeptiert und zwischen ihnen ausgeführt.

Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, die vom Datenimporteur gemäß Klauseln 4(d) und 5(c) umgesetzt werden (oder beigefügtes Dokument/Gesetzgebung):

Die vom Datenimporteur ergriffenen technischen und organisatorischen Sicherheitsmaßnahmen sind im Nachtrag beschrieben, insbesondere in Anhang 2, der in diesen aufgenommen und ihm beigefügt ist.