1. Einleitung
1.1 Diese Datenverarbeitungsvereinbarung ist Bestandteil jedes zwischen Safecall und dem Kunden abgeschlossenen Vertrags und unterliegt dessen Bedingungen, einschließlich der darin festgelegten Haftungsbeschränkungen und -ausschlüsse.
1.2 Die Definitionen der in dieser Datenverarbeitungsvereinbarung verwendeten Begriffe sind in Absatz 5 aufgeführt.
2. Einhaltung des Datenschutzgesetzes
2.1 Jede Partei hat die Datenschutzgesetze einzuhalten, soweit diese für die im Rahmen dieses Vertrags verarbeiteten personenbezogenen Daten gelten. Diese Klausel ergänzt die Verpflichtungen einer Partei gemäß den Datenschutzgesetzen und entbindet sie nicht von diesen, hebt sie nicht auf und ersetzt sie nicht.
3. Datenverarbeitung
3.1 Der Kunde und Safecall erkennen an, dass Safecall bestimmte Verarbeitungsaktivitäten durchführen wird, deren Gegenstand, Dauer, Art und Zweck in der Beschreibung der Verarbeitung näher erläutert werden.
3.2 In Bezug auf solche Verarbeitungsaktivitäten ist Safecall der Auftragsverarbeiter und der Kunde der Verantwortliche, außer in Fällen, in denen Safecall die Daten eines Mitarbeiters kennt, diese jedoch auf Wunsch des Mitarbeiters gegenüber dem Kunden zurückhält oder einen Bericht so verfasst, dass die Identität des Mitarbeiters geschützt wird, wobei Safecall als unabhängiger Verantwortlicher anzusehen ist. In solchen Fällen ist Safecall nur in Bezug auf den Namen des Mitarbeiters und alle anderen Daten, die zum Schutz der Identität des Mitarbeiters zurückgehalten werden, der Verantwortliche, und die übrigen Bestimmungen dieses Absatzes 3 finden keine Anwendung.
3.3 Ist der Kunde der Verantwortliche, ist er dafür verantwortlich, die rechtmäßige Grundlage für die Verarbeitung personenbezogener Daten im Rahmen dieses Vertrags zu schaffen und aufrechtzuerhalten, und muss Safecall auf Anfrage schriftlich über die geltende rechtmäßige Grundlage für die Verarbeitung informieren.
3.4 Der Kunde ist dafür verantwortlich, seinen Mitarbeitern angemessene Datenschutzhinweise in Bezug auf die Dienste zur Verfügung zu stellen.
3.5 In Bezug auf die personenbezogenen Daten, die Safecall als Datenverarbeiter im Auftrag des Kunden im Rahmen dieses Vertrags verarbeitet, verpflichtet sich Safecall:
(a) die personenbezogenen Daten nur gemäß den schriftlichen Anweisungen des Kunden zu verarbeiten, es sei denn, eine solche Verarbeitung ist aufgrund eines für Safecall geltenden Gesetzes erforderlich. In diesem Fall muss Safecall (soweit gesetzlich zulässig) den Kunden vor der Durchführung der Verarbeitung über diese gesetzliche Anforderung informieren;
(b) die personenbezogenen Daten nur in dem Umfang und in der Weise zu verarbeiten, wie dies für die Erfüllung seiner Verpflichtungen aus diesem Vertrag erforderlich ist;
(c) sicherzustellen, dass Personen, die mit der Verarbeitung personenbezogener Daten befasst sind, angemessenen Vertraulichkeitsverpflichtungen unterliegen;
(d) über alle von ihm durchgeführten Verarbeitungsvorgänge schriftliche Aufzeichnungen führen;
(e) geeignete technische und organisatorische Maßnahmen zum Schutz vor unbefugter, unrechtmäßiger oder versehentlicher Verarbeitung, einschließlich versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Veränderung, unbefugte Offenlegung oder Zugriff auf personenbezogene Daten zu schützen; diese Maßnahmen müssen in jedem Fall der Wahrscheinlichkeit und Schwere des Schadens für die betroffenen Personen angemessen sein, der sich aus der unbefugten, unrechtmäßigen oder zufälligen Verarbeitung ergeben könnte, unter Berücksichtigung des Stands der technischen Entwicklung und der Kosten für die Umsetzung der Maßnahmen, deren Zusammenfassung in Teil 2 des Anhangs („Sicherheitsmaßnahmen“) enthalten ist. Der Kunde erkennt an, dass die Sicherheitsmaßnahmen dem technischen Fortschritt und der technischen Entwicklung unterliegen und dass Safecall die Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren oder ändern kann, sofern diese Aktualisierungen und Änderungen nicht zu einer Verschlechterung der Gesamtsicherheit der Dienste führen.
(f) keine Vertreter, Subunternehmer, Lieferanten, Verarbeiter oder andere Dritte mit der Verarbeitung personenbezogener Daten zu beauftragen („Unterauftragsverarbeiter“) ohne die vorherige schriftliche Zustimmung des Kunden und in solchen Fällen sicherzustellen, dass vor der Verarbeitung personenbezogener Daten durch den Unterauftragsverarbeiter Bedingungen, die den in dieser Datenverarbeitungsvereinbarung festgelegten Bedingungen entsprechen, in einen schriftlichen Vertrag zwischen Safecall und jedem mit der Datenverarbeitung beauftragten Unterauftragsverarbeiter aufgenommen werden;
(g) Der Kunde stimmt der Nutzungder in Teil 3 des Anhangs genannten Unterauftragsverarbeiterzu, die von Zeit zu Zeit gemäß dieser Vereinbarung geändert werden können. Wenn Safecall weitere Unterauftragsverarbeiter hinzufügen möchte, muss es den Kunden mindestens vierzehn (14) Tage im Voraus schriftlich darüber informieren. Wenn der Kunde vor Ablauf dieser Frist schriftlich Einwände gegen die Beauftragung des Drittunterauftragsverarbeiters durch Safecall aus berechtigten Gründen im Zusammenhang mit dem Schutz personenbezogener Daten erhebt, gilt entweder: (i) Safecall beauftragt den Unterauftragsverarbeiter nicht oder (ii) Safecall kann die betroffenen Dienste ohne Vertragsstrafe aussetzen oder beenden.
(h) unverzüglich allen rechtmäßigen Anfragen des Kunden nachzukommen, die den Zugriff auf, Kopien von oder die Änderung, Übertragung oder Löschung der personenbezogenen Daten betreffen, soweit dies erforderlich ist, damit der Kunde seinen eigenen Verpflichtungen gemäß dem Datenschutzgesetz nachkommen kann, einschließlich der Verpflichtungen des Kunden, die sich aus einer Anfrage einer betroffenen Person ergeben;
(i) den Kunden unverzüglich zu benachrichtigen, wenn er Beschwerden, Mitteilungen oder Benachrichtigungen (sei es von einer betroffenen Person, einer zuständigen Aufsichtsbehörde oder anderweitig) im Zusammenhang mit der Verarbeitung, den personenbezogenen Daten oder der Einhaltung des Datenschutzgesetzes durch eine der Parteien in Bezug auf diesen Vertrag erhält, und dem Kunden im Zusammenhang mit solchen Beschwerden, Mitteilungen oder Benachrichtigungen in angemessener Weise zu kooperieren, Informationen zur Verfügung zu stellen und sonstige Unterstützung zu leisten;
(j) den Kunden unverzüglich und spätestens innerhalb von fünf (5) Werktagen zu benachrichtigen, wenn seiner Meinung nach eine Anweisung des Kunden gegen Datenschutzgesetze verstößt (vorausgesetzt, dass der Kunde anerkennt, dass er allein für die Einholung unabhängiger Rechtsberatung hinsichtlich der Rechtmäßigkeit seiner Anweisungen verantwortlich ist) oder Safecall gesetzlichen Anforderungen unterliegt, die es Safecall unrechtmäßig oder anderweitig unmöglich machen würden, gemäß den Anweisungen des Kunden zu handeln oder die Datenschutzgesetze einzuhalten;
(k) den Kunden unverzüglich zu informieren, sobald bekannt wird, dass personenbezogene Daten, die im Rahmen dieses Vertrags verarbeitet werden, verloren gegangen sind oder zerstört wurden oder beschädigt, verfälscht oder unbrauchbar geworden sind oder auf andere Weise einer unbefugten oder unrechtmäßigen Verarbeitung unterzogen wurden, einschließlich unbefugtem oder unrechtmäßigem Zugriff oder unbefugter oder unrechtmäßiger Offenlegung;
(l) den Kunden unverzüglich (und in jedem Fall innerhalb von zwei (2) Werktagen) zu informieren, wenn es eine Anfrage einer betroffenen Person bezüglich des Zugriffs auf deren personenbezogene Daten erhält, und:
(i) dem Kunden unverzüglich angemessene Zusammenarbeit und Unterstützung in Bezug auf diese Anfrage zu gewähren; und
(ii) die personenbezogenen Daten nicht an andere betroffene Personen (oder Dritte) weiterzugeben, es sei denn, dies geschieht auf Wunsch des Kunden oder ist anderweitig gemäß diesem Vertrag erforderlich;
(m) dem Kunden angemessene Unterstützung bei der Beantwortung von Anfragen betroffener Personen zu leisten und den Kunden bei der Erfüllung seiner Verpflichtungen gemäß dem Datenschutzgesetz in Bezug auf Sicherheit, Meldungen von Verstößen, Datenschutz-Folgenabschätzungen und Konsultationen mit Aufsichtsbehörden oder Regulierungsbehörden zu unterstützen;
(n) diese personenbezogenen Daten nach Ablauf der im Anhang genannten Verarbeitungsdauer zu löschen oder an den Kunden zurückzugeben und zu diesem Zeitpunkt vorhandene Kopien zu löschen oder zu vernichten (sofern gesetzlich nicht anders vorgeschrieben);
(o) vorbehaltlich der Anforderungen der geschäftlichen und kundenbezogenen Vertraulichkeit dem Kunden alle Informationen zur Verfügung zu stellen, die zum Nachweis der Einhaltung dieser Datenverarbeitungsvereinbarung angemessen erforderlich sind, und vorbehaltlich aller anderen in diesem Vertrag festgelegten Bedingungen in Bezug auf Audits Audits, einschließlich Inspektionen, zur Überprüfung der Einhaltung dieser Datenverarbeitungsvereinbarung durch den Kunden oder einen vom Kunden beauftragten unabhängigen Wirtschaftsprüfer zuzulassen und zu unterstützen. Für jede Prüfung gelten die folgenden Anforderungen: (i) Der Kunde muss seine Absicht, eine Prüfung durchzuführen, mindestens dreißig (30) Tage im Voraus ankündigen (oder eine kürzere Frist einhalten, wenn er selbst eine solche Frist erhält, weil die Prüfung von seiner Aufsichtsbehörde vorgeschrieben ist); (ii) der Kunde darf sein Recht auf Prüfung höchstens einmal pro Kalenderjahr ausüben; (iii) Der Beginn der Prüfung unterliegt der Vereinbarung mit Safecall über den Umfang der Prüfungsarbeiten mindestens zehn (10) Tage im Voraus; (iv) Safecall kann den Zugang zu bestimmten Teilen seiner Einrichtungen und bestimmten Aufzeichnungen beschränken, wenn eine solche Beschränkung aus Gründen der geschäftlichen und/oder kundenbezogenen Vertraulichkeit erforderlich ist; (v) Die Prüfung umfasst keine Penetrationstests, Schwachstellenscans oder andere Sicherheitstests; (vi) Das Recht auf Prüfung umfasst das Recht, Unterlagen einzusehen, jedoch nicht zu kopieren oder anderweitig zu entfernen, mit Ausnahme derjenigen, die sich speziell und ausschließlich auf den Kunden beziehen. (vii) Jeder unabhängige Prüfer muss vor der Prüfung eine von Safecall angemessen geforderte Geheimhaltungsvereinbarung unterzeichnen. (viii) Safecall behält sich das Recht vor, alle angemessenen Kosten, die durch die Unterstützung einer Prüfung entstehen, in Rechnung zu stellen.
(p) dem Kunden Unterstützung bei Datenschutz-Folgenabschätzungen zu leisten, für die sich Safecall das Recht vorbehält, alle entstandenen angemessenen Kosten in Rechnung zu stellen; und
(q) personenbezogene Daten nur dann außerhalb des Vereinigten Königreichs zu übermitteln, wenn diese Übermittlung gemäß Absatz 4 erfolgt.
3.6 Jede Partei verpflichtet sich, die andere Partei auf eigene Kosten von allen Kosten, Ansprüchen, Schäden oder Ausgaben (einschließlich angemessener Rechtskosten) freizustellen, zu entschädigen und zu verteidigen, die der anderen Partei entstehen oder für die die andere Partei haftbar werden könnte, weil die entschädigende Partei, ihre Direktoren, Mitarbeiter oder Beauftragten ihren Verpflichtungen aus dieser Datenverarbeitungsvereinbarung nicht nachgekommen sind.
4. Internationale Transfers
4.1 Safecall und der Kunde vereinbaren, dass personenbezogene Daten innerhalb des Vereinigten Königreichs verarbeitet werden, es sei denn:
(a) mit vorheriger schriftlicher Zustimmung des Kunden zur Übertragung per sicherer Übertragung in ein Land innerhalb der EU oder des EWR übertragen werden; und
(b) die Verarbeitung der personenbezogenen Daten entspricht diesem Datenverarbeitungsplan; und
(c) die betreffende Übermittlung erfolgt ohne Verstoß gegen geltendes Datenschutzrecht; oder
(d) an einen Empfänger unter Umständen übertragen, unter denen Safecall berechtigt ist, sich auf eine zulässige Ausnahme gemäß dem Datenschutzgesetz zu berufen, was unter anderem Umstände umfassen kann, unter denen die Übertragung für die Begründung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
4.2 Wenn Safecall einen Unterauftragsverarbeiter mit Sitz in einem Drittland außerhalb des Vereinigten Königreichs einsetzt, das kein angemessenes Gebiet ist, hat Safecall das Recht, im Namen und im Auftrag des Kunden Musterklauseln mit dem Unterauftragsverarbeiter zu vereinbaren, unabhängig davon, ob dies namentlich oder ohne Nennung des Namens geschieht.
4.3 Befinden sich der Kunde oder seine Nutzer in einem Drittland außerhalb des Vereinigten Königreichs, das kein angemessenes Gebiet ist, und verlangen sie von Safecall die Übermittlung personenbezogener Daten an sie, so erkennt der Kunde an, dass Safecall möglicherweise nicht in der Lage ist, zu gewährleisten, dass diese Übermittlung angemessenen Schutzmaßnahmen unterliegt. Der Kunde weist Safecall dennoch an, solche Übermittlungen vorzunehmen, wie sie für die ordnungsgemäße Erbringung der Dienste erforderlich sind.
4.4 Für den Fall, dass: (i) der Kunde oder einer seiner Nutzer der Dienste seinen Sitz im EWR, jedoch nicht im Vereinigten Königreich hat; und (ii) das Vereinigte Königreich nach seinem Austritt aus dem EWR von der Europäischen Kommission nicht als angemessenes Gebiet eingestuft wird, gelten die Musterklauseln für personenbezogene Daten, die vom Kunden oder einem seiner Nutzer gemäß den folgenden Bestimmungen in das Vereinigte Königreich übermittelt werden:
(a) Der Kunde ist der Datenexporteur und Safecall ist der Datenimporteur.
(b) Es wird davon ausgegangen, dass der Kunde die Musterklauseln in seinem eigenen Namen und im Namen aller seiner verbundenen Unternehmen abgeschlossen hat, die ebenfalls als Verantwortliche in Bezug auf personenbezogene Daten fungieren, die gemäß dieser Datenverarbeitungsvereinbarung verarbeitet werden.
(c) Das für die Musterklauseln geltende Recht ist das Recht des Mitgliedstaats des EWR, in dem der Datenexporteur niedergelassen ist, wie im Datenschutzgesetz festgelegt, und Klausel 9 der Musterklauseln gilt als entsprechend erfüllt.
(d) Anhang 1 der Musterklauseln gilt als mit den in der Beschreibung der Verarbeitung aufgeführten Angaben ausgefüllt; und
(e) Anhang 2 der Musterklauseln gilt mit der Zusammenfassung der Sicherheitsmaßnahmen als vervollständigt.
4.5 Die Parteien vereinbaren, dass im Falle eines Widerspruchs zwischen den Musterklauseln und den Bestimmungen dieser Datenverarbeitungsvereinbarung oder eines Vertrags die Musterklauseln Vorrang haben.
5. Definitionen
5.1 In dieser Datenverarbeitungsvereinbarung haben die folgenden Begriffe die unten angegebene Bedeutung, sofern nicht eine gegenteilige Absicht erkennbar ist:
Die Begriffe„Verantwortlicher“,„Auftragsverarbeiter“,„Verarbeitung“und„betroffene Person“haben die ihnen im Datenschutzgesetz zugewiesene Bedeutung.
Angemessenes Gebiet bedeutet: (i) in Bezug auf Übermittlungen aus dem EWR in ein Drittland außerhalb des EWR ein Gebiet außerhalb des EWR, das von der Europäischen Kommission als Gebiet mit einem angemessenen Schutzniveau gemäß den Datenschutzgesetzen ausgewiesen wurde; und (ii) in Bezug auf Übermittlungen aus dem Vereinigten Königreich in ein Drittland ein Gebiet, das vom Vereinigten Königreich als Gebiet mit einem angemessenen Schutzniveau gemäß den Datenschutzgesetzen anerkannt wurde.
Datenschutzgesetzbedeutet: das Datenschutzgesetz von 2018, die britische DSGVO, die beibehaltene EU-Rechtsfassung der Datenschutz-Grundverordnung ((EU) 2016/679) zusammen mit: (i) allen Leitlinien, Anweisungen, Entscheidungen, Festlegungen, Verhaltenskodizes, Anordnungen, Mitteilungen oder Aufforderungen, die von einer Aufsichtsbehörde oder einer anderen zuständigen Behörde herausgegeben wurden; (ii) alle anderen geltenden Datenschutzgesetze; und (iii) alle damit verbundenen verbindlichen Urteile eines zuständigen Gerichts, einer Aufsichtsbehörde oder eines Gerichts, jeweils in der jeweils geltenden Fassung und in der jeweils gültigen Fassung, ergänzt, ersetzt oder ersetzt.
Beschreibung der Verarbeitungbezeichnet die Beschreibung in Teil 1 des Anhangs zu diesem Datenverarbeitungsplan.
Europäischer WirtschaftsraumoderEWRbezeichnet die Mitgliedstaaten, die dem Abkommen über den Europäischen Wirtschaftsraum vom 1. Januar 1994 unterliegen, einschließlich der Mitgliedstaaten der Europäischen Union sowie Island, Liechtenstein und Norwegen.
Musterklauselnbezeichnet die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern, die von der Europäischen Kommission in ihrem Beschluss 2010/87/EU (online verfügbar unterhttps://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en) genehmigt wurden, wobei diese Musterklauseln von der Europäischen Kommission von Zeit zu Zeit geändert oder ersetzt werden können.
Personenbezogene Datenhaben die Bedeutung, die ihnen im Datenschutzgesetz zugewiesen wird, soweit sie sich auf personenbezogene Daten oder Teile davon beziehen, für deren Verarbeitung Safecall im Auftrag des Kunden zuständig ist und für die der Kunde der Verantwortliche ist.
Sicherheitsmaßnahmenhat die in Absatz 3.5(e) angegebene Bedeutung.
Anhang zum Datenverarbeitungsplan
Teil 1 – Beschreibung der Verarbeitung
| Gegenstand der Verarbeitung | Safecall verarbeitet personenbezogene Daten im Rahmen dieses Vertrags für die im Bestellformular angegebenen Zwecke der Dienstleistungen. |
| Dauer der Verarbeitung | Die Dauer der Verarbeitung personenbezogener Daten durch Safecall im Rahmen dieses Vertrags entspricht der Laufzeit dieses Vertrags und der längeren der folgenden zusätzlichen Zeiträume: (i) der in den Bestimmungen dieses Vertrags zur Datenaufbewahrung festgelegten Dauer und (ii) der zur Einhaltung der gesetzlichen Vorschriften erforderlichen Dauer. Personenbezogene Daten dürfen nicht länger verarbeitet oder gespeichert werden, als es für die Erbringung der Dienstleistungen durch Safecall und die Erfüllung seiner Verpflichtungen aus diesem Vertrag erforderlich ist. |
| Art der Verarbeitung | Die Verarbeitung, die erforderlich ist, damit Safecall die bestellten Dienstleistungen für den Kunden erbringen kann. Dazu gehören unter anderem die Speicherung, Abfrage, Analyse, Datenerfassung und Datenübertragung. |
| Zweck der Verarbeitung | Die Erfüllung der Verpflichtungen von Safecall und die Ausübung seiner Rechte in Bezug auf die bestellten Dienste. |
| Arten personenbezogener Daten | Personenbezogene Daten, die Safecall vom Kunden oder den betroffenen Personen im Zusammenhang mit den bestellten Dienstleistungen zur Verfügung gestellt werden. Dazu gehören unter anderem die unten aufgeführten Kategorien. Zu jeder Kategorie gehören die Arten von personenbezogenen Daten, die unter diese Kategorie fallen. Persönliche Angaben: Kontaktdaten, Geschlecht, Geburtsdatum, Geburtsort, Familienstand/Lebenspartnerschaft, Lebenspartner, Unterhaltsberechtigte, Behinderungsstatus, Notfallkontaktdaten.Position: Beschreibung der aktuellen Position, Berufsbezeichnung, Unternehmensstatus, Managementkategorie, Jobcode, Besoldungsgruppe oder -stufe, Jobfunktion(en) und Unterfunktion(en), Firmenname und -code (rechtlicher Arbeitgeber), Zweigstelle/Abteilung/Abteilung, Standort, Beschäftigungsstatus und -art, Vollzeit/Teilzeit, Einstellungs-/Wiedereinstellungsdaten und Kündigungsdatum(en).System- und Anwendungszugangsdaten: Informationen, die für den Zugriff auf Systeme und Anwendungen erforderlich sind, wie z. B. System-ID, E-Mail-Konto, Instant-Messaging-Konto, Mitarbeiter-ID, Systemkennwörter, Mitarbeiterrolle und elektronische Inhalte, die von Personen unter Verwendung von Kundensystemen erstellt wurden. Finanzinformationen: Bankkontonummer und Kontodaten. Externe persönliche Daten und Kontaktinformationen: Name, Adresse, E-Mail-Adresse und Telefonnummer; Geschlecht; Familienstand; Geburtsdatum; Geburtsort und von einer Behörde ausgestellte Identifikationsnummer, wie Sozialversicherungsnummer oder nationale Versicherungsnummer, Steueridentifikationsnummer, Militärausweisnummer, Passnummer oder Führerschein- oder sonstige Lizenznummer; Beschäftigungsstatus; Passwörter; Aktivitätsaufzeichnungen, wie z. B. Fahrtenbuchaufzeichnungen; Beschäftigungsgeschichte; sowie Datum und Todesursache, Datum des Eintritts in die Langzeitpflege. |
| Kategorien von betroffenen Personen | Die personenbezogenen Daten umfassen unter anderem die folgenden Kategorien von betroffenen Personen: ehemalige und derzeitige Mitarbeiter, ehemalige und derzeitige Lieferanten, ehemalige und derzeitige nicht fest angestellte Auftragnehmer oder Berater, von Agenturen vermittelte Auftragnehmer oder Berater und externe Entsandte, derzeitige Endnutzer der Anwendung, ehemalige Endnutzer der Anwendung, von Nutzern identifizierte Personen, Rentner sowie ehemalige und derzeitige Direktoren und Führungskräfte. |
| Besondere Kategorien von Daten (falls zutreffend) | Alle personenbezogenen Daten besonderer Kategorien, die vom Kunden oder den betroffenen Personen bei der Nutzung der bestellten Dienste offengelegt werden können. Dazu gehören unter anderem gesundheitliche/medizinisch sensible Informationen, Geburtsort, Strafregister, zivilrechtliche Verfahren, Sexualleben (z. B. sexuelle Orientierung), Rasse und ethnische Zugehörigkeit. |
| Pflichten und Rechte des Verantwortlichen | Wie in diesem Vertrag festgelegt. |