1. Einleitung
1.1 Dieser Datenverarbeitungsplan ist Teil jedes zwischen Safecall und dem Kunden abgeschlossenen Vertrags und unterliegt den darin festgelegten Bedingungen, einschließlich der Haftungsbeschränkungen und -ausschlüsse.
1.2 Die Definitionen für die in diesem Datenverarbeitungsplan verwendeten Begriffe in Großbuchstaben sind in Absatz 5 aufgeführt.
2. Einhaltung des Datenschutzgesetzes
2.1 Jede Partei ist verpflichtet, das Datenschutzgesetz einzuhalten, soweit es auf die im Rahmen dieses Vertrags verarbeiteten personenbezogenen Daten Anwendung findet. Diese Klausel gilt zusätzlich zu den Verpflichtungen einer Partei gemäß dem Datenschutzgesetz und entbindet, entfernt oder ersetzt diese nicht.
3. Datenverarbeitung
3.1 Der Kunde und Safecall erkennen an, dass Safecall bestimmte Verarbeitungstätigkeiten durchführt, deren Gegenstand, Dauer, Art und Zweck in der Beschreibung der Verarbeitung ausführlicher beschrieben sind.
3.2 In Bezug auf solche Verarbeitungstätigkeiten ist Safecall der Auftragsverarbeiter und der Kunde der für die Verarbeitung Verantwortliche, es sei denn, Safecall kennt die Daten eines Mitarbeiters, hält sie aber auf Wunsch des Mitarbeiters gegenüber dem Kunden zurück oder verfasst einen Bericht, um die Identität des Mitarbeiters zu schützen, wobei Safecall als unabhängiger für die Verarbeitung Verantwortlicher anzusehen ist. In diesem Fall ist Safecall der für die Verarbeitung Verantwortliche nur in Bezug auf den Namen des Mitarbeiters und alle anderen Daten, die zum Schutz der Identität des Mitarbeiters zurückgehalten werden, und die übrigen Bestimmungen dieses Absatzes 3 finden keine Anwendung.
3.3 Ist der Kunde der für die Verarbeitung Verantwortliche, so ist er dafür verantwortlich, die Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Rahmen dieses Vertrags festzulegen und aufrechtzuerhalten, und teilt Safecall auf Anfrage schriftlich die anwendbare Rechtsgrundlage für die Verarbeitung mit.
3.4 Der Kunde ist dafür verantwortlich, seinen Mitarbeitern angemessene Datenschutzhinweise in Bezug auf die Dienste zur Verfügung zu stellen.
3.5 In Bezug auf die personenbezogenen Daten, die Safecall als Datenverarbeiter im Auftrag des Kunden im Rahmen dieses Vertrags verarbeitet, ist Safecall verpflichtet:
(a) die personenbezogenen Daten nur gemäß den jeweiligen schriftlichen Anweisungen des Kunden zu verarbeiten, es sei denn, eine solche Verarbeitung ist durch ein Gesetz, dem Safecall unterliegt, vorgeschrieben; in diesem Fall informiert Safecall (soweit gesetzlich zulässig) den Kunden vor der Durchführung der Verarbeitung über diese gesetzliche Anforderung;
(b) die personenbezogenen Daten nur in dem Umfang und auf die Art und Weise zu verarbeiten, wie es für die Erfüllung seiner Verpflichtungen aus diesem Vertrag erforderlich ist;
(c) sicherzustellen, dass die mit der Verarbeitung personenbezogener Daten befassten Personen einer angemessenen Geheimhaltungspflicht unterliegen;
(d) schriftliche Aufzeichnungen über alle von ihm durchgeführten Verarbeitungstätigkeiten zu führen;
(e) geeignete technische und organisatorische Maßnahmen zum Schutz vor unbefugter, unrechtmäßiger oder versehentlicher Verarbeitung, einschließlich der versehentlichen oder unrechtmäßigen Zerstörung, des Verlusts, der Veränderung, der unbefugten Weitergabe personenbezogener Daten oder des Zugangs zu diesen Daten, zu ergreifen und zu betreiben, wobei diese Maßnahmen in jedem Fall der Wahrscheinlichkeit und Schwere des Schadens für die betroffenen Personen, der sich aus der unbefugten, unrechtmäßigen oder versehentlichen Verarbeitung ergeben könnte, unter Berücksichtigung des Stands der technischen Entwicklung und der Kosten für die Durchführung der Maßnahmen angemessen sein müssen; eine Zusammenfassung dieser Maßnahmen ist in Teil 2 des Anhangs enthalten ("Sicherheitsmaßnahmen"). Der Kunde erkennt an, dass die Sicherheitsmaßnahmen dem technischen Fortschritt und der Entwicklung unterliegen und dass Safecall die Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren oder ändern kann, sofern diese Aktualisierungen und Änderungen nicht zu einer Verschlechterung der allgemeinen Sicherheit der Dienste führen;
(f) keine Beauftragten, Unterauftragnehmer, Lieferanten, Auftragsverarbeiter oder sonstige Dritte mit der Verarbeitung personenbezogener Daten ("Unterauftragsverarbeiter") ohne die vorherige schriftliche Zustimmung des Kunden zu beauftragen und in solchen Fällen sicherzustellen, dass vor der Verarbeitung personenbezogener Daten durch den Unterauftragsverarbeiter Bedingungen in einen schriftlichen Vertrag zwischen Safecall und jedem mit der Datenverarbeitung beauftragten Unterauftragsverarbeiter aufgenommen werden, die den in diesem Datenverarbeitungsplan festgelegten Bedingungen entsprechen;
(g) Der Kunde stimmt dem Einsatz der in Teil 3 des Anhangs genannten Unterauftragsverarbeiter zu, die von Zeit zu Zeit gemäß diesem Vertrag geändert werden. Möchte Safecall weitere Unterauftragsverarbeiter hinzufügen, muss dies dem Kunden mindestens vierzehn (14) Tage im Voraus schriftlich mitgeteilt werden. Erhebt der Kunde vor Ablauf dieser Frist schriftlich Einspruch gegen die Beauftragung des Unterauftragsverarbeiters durch Safecall aus berechtigten Gründen des Schutzes personenbezogener Daten, so wird entweder (i) Safecall den Unterauftragsverarbeiter nicht beauftragen oder (ii) Safecall kann die betroffenen Dienste ohne Vertragsstrafe aussetzen oder beenden;
(h) jedem rechtmäßigen Ersuchen des Kunden um Zugang zu, Kopien von oder Änderung, Übertragung oder Löschung der personenbezogenen Daten unverzüglich nachzukommen, soweit dies erforderlich ist, damit der Kunde seinen eigenen Verpflichtungen nach dem Datenschutzgesetz nachkommen kann, einschließlich der Verpflichtungen des Kunden, die sich aus dem Ersuchen einer betroffenen Person ergeben;
(i) den Kunden unverzüglich zu benachrichtigen, wenn er eine Beschwerde, Mitteilung oder Mitteilung (sei es von einer betroffenen Person, einer zuständigen Aufsichtsbehörde oder anderweitig) erhält, die sich auf die Verarbeitung, die personenbezogenen Daten oder die Einhaltung des Datenschutzgesetzes durch eine der Parteien bezieht, soweit es sich auf diesen Vertrag bezieht, und dem Kunden eine angemessene Zusammenarbeit, Information und sonstige Unterstützung in Bezug auf eine solche Beschwerde, Mitteilung oder Mitteilung zu gewähren;
(j) den Kunden unverzüglich und mindestens innerhalb von fünf (5) Arbeitstagen zu benachrichtigen, wenn eine Anweisung des Kunden seiner Ansicht nach gegen ein Datenschutzgesetz verstößt (wobei der Kunde stets anerkennt, dass er allein dafür verantwortlich ist, unabhängigen Rechtsrat hinsichtlich der Rechtmäßigkeit seiner Anweisungen einzuholen) oder Safecall gesetzlichen Anforderungen unterliegt, die es Safecall rechtswidrig oder anderweitig unmöglich machen würden, gemäß den Anweisungen des Kunden zu handeln oder das Datenschutzgesetz einzuhalten;
(k) den Kunden unverzüglich zu informieren, nachdem er Kenntnis davon erlangt hat, dass personenbezogene Daten, die im Rahmen dieses Vertrags verarbeitet werden, verloren gegangen oder vernichtet worden sind oder beschädigt, korrumpiert oder unbrauchbar geworden sind oder auf andere Weise einer unbefugten oder unrechtmäßigen Verarbeitung, einschließlich eines unbefugten oder unrechtmäßigen Zugriffs oder einer unbefugten oder unrechtmäßigen Offenlegung, unterzogen wurden;
(l) den Kunden unverzüglich (und in jedem Fall innerhalb von zwei (2) Arbeitstagen) zu informieren, wenn er einen Antrag einer betroffenen Person auf Zugang zu den personenbezogenen Daten dieser Person erhält, und wird:
(i) dem Kunden unverzüglich eine angemessene Zusammenarbeit und Unterstützung in Bezug auf eine solche Anfrage zu gewähren; und
(ii) die personenbezogenen Daten nicht an eine betroffene Person (oder einen Dritten) weitergeben, es sei denn, dies geschieht auf Ersuchen des Kunden oder im Rahmen dieses Vertrags;
(m) den Kunden in angemessener Weise bei der Beantwortung von Anfragen betroffener Personen und bei der Erfüllung seiner datenschutzrechtlichen Verpflichtungen in Bezug auf Sicherheit, Meldungen von Datenschutzverletzungen, Datenschutz-Folgenabschätzungen und Konsultationen mit Aufsichtsbehörden oder Regulierungsbehörden zu unterstützen;
(n) diese personenbezogenen Daten nach Ablauf der in der Anlage genannten Dauer der Verarbeitung zu löschen oder an den Kunden zurückzugeben und zu diesem Zeitpunkt vorhandene Kopien zu löschen oder zu vernichten (sofern nicht gesetzlich vorgeschrieben);
(o) vorbehaltlich der Erfordernisse des Geschäfts- und Kundengeheimnisses dem Kunden die Informationen zur Verfügung zu stellen, die vernünftigerweise erforderlich sind, um die Einhaltung dieses Datenverarbeitungsplans nachzuweisen, und vorbehaltlich anderer in diesem Vertrag festgelegter Bedingungen in Bezug auf Audits die Durchführung von Audits, einschließlich Inspektionen, der Einhaltung dieses Datenverarbeitungsplans durch den Kunden oder einen vom Kunden beauftragten professionellen unabhängigen Auditor zu ermöglichen und daran mitzuwirken. Für jedes Audit gelten die folgenden Anforderungen: (i) Der Kunde muss mindestens dreißig (30) Tage im Voraus über seine Absicht, ein Audit durchzuführen, informieren (oder mit einer kürzeren Frist, die er selbst erhält, wenn ein Audit von seiner Aufsichtsbehörde vorgeschrieben ist); (ii) der Kunde darf das Recht auf ein Audit höchstens einmal pro Kalenderjahr ausüben; (iii) der Beginn des Audits muss mindestens zehn (10) Tage im Voraus mit Safecall vereinbart werden; (iv) Safecall kann den Zugang zu bestimmten Teilen seiner Einrichtungen und zu bestimmten Aufzeichnungen beschränken, wenn eine solche Beschränkung aus Gründen der Geschäfts- und/oder Kundenvertraulichkeit erforderlich ist; (v) die Prüfung umfasst keine Penetrationstests, Schwachstellenscans oder andere Sicherheitstests; (vi) das Recht auf Prüfung umfasst das Recht, Aufzeichnungen zu inspizieren, aber nicht zu kopieren oder anderweitig zu entfernen, außer denen, die sich speziell und ausschließlich auf den Kunden beziehen; (vii) jeder unabhängige Prüfer muss vor der Prüfung eine Geheimhaltungsvereinbarung unterzeichnen, die von Safecall in angemessener Weise verlangt wird; und (viii) Safecall behält sich das Recht vor, alle angemessenen Kosten in Rechnung zu stellen, die bei der Unterstützung einer Prüfung entstehen;
(p) Unterstützung des Kunden bei Datenschutz-Folgenabschätzungen, für die sich Safecall das Recht vorbehält, angemessene Kosten in Rechnung zu stellen; und
(q) übermitteln personenbezogene Daten außerhalb des Vereinigten Königreichs nur dann, wenn eine solche Übermittlung gemäß Absatz 4 erfolgt.
3.6 Jede Partei verpflichtet sich, die andere Partei auf eigene Kosten von allen Kosten, Ansprüchen, Schäden oder Ausgaben (einschließlich angemessener Anwaltskosten) freizustellen und schadlos zu halten, die der anderen Partei entstehen oder für die die andere Partei haftbar gemacht werden kann, weil die freistellende Partei, ihre Direktoren, Mitarbeiter oder Bevollmächtigten eine ihrer Verpflichtungen aus diesem Datenverarbeitungsplan nicht erfüllt haben.
4. Internationale Überweisungen
4.1 Safecall und der Kunde vereinbaren, dass personenbezogene Daten im Vereinigten Königreich verarbeitet werden, es sei denn, es handelt sich um ein anderes Land:
(a) durch sichere Übermittlung in ein Land innerhalb der EU oder des EWR mit vorheriger schriftlicher Zustimmung des Kunden zu einer solchen Übermittlung; und
(b) die Verarbeitung der personenbezogenen Daten im Einklang mit diesem Datenverarbeitungsplan steht und
(c) die betreffende Übermittlung ohne Verstoß gegen das geltende Datenschutzrecht erfolgt; oder
(d) Übermittlung an einen Empfänger unter Umständen, unter denen Safecall berechtigt ist, sich auf eine zulässige Ausnahmeregelung nach dem Datenschutzgesetz zu berufen, wozu auch Umstände gehören können, unter denen (unter anderem) die Übermittlung für die Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
4.2 Wenn Safecall einen Unterauftragsverarbeiter einsetzt, der in einem Drittland außerhalb des Vereinigten Königreichs ansässig ist, bei dem es sich nicht um ein angemessenes Gebiet handelt, ist Safecall berechtigt, mit dem Unterauftragsverarbeiter für den Kunden und im Namen des Kunden Musterverträge abzuschließen, unabhängig davon, ob sie namentlich oder nicht namentlich genannt werden.
4.3 Wenn der Kunde oder seine Nutzer in einem Drittland außerhalb des Vereinigten Königreichs ansässig sind, das kein angemessenes Gebiet ist, und Safecall personenbezogene Daten an ihn oder sie übermitteln muss, erkennt der Kunde an, dass Safecall möglicherweise nicht in der Lage ist, sicherzustellen, dass diese Übermittlung angemessenen Schutzmaßnahmen unterliegt. Der Kunde weist Safecall jedoch an, solche Übermittlungen vorzunehmen, die für die ordnungsgemäße Erbringung der Dienste erforderlich sind.
4.4 Für den Fall, dass: (i) der Kunde oder einer seiner Nutzer der Dienste im EWR, aber nicht im Vereinigten Königreich ansässig ist; und (ii) das Vereinigte Königreich nach Verlassen des EWR von der Europäischen Kommission nicht als angemessenes Gebiet eingestuft wird, gelten die Modellklauseln für die personenbezogenen Daten, die vom Kunden oder einem seiner Nutzer gemäß den folgenden Bestimmungen in das Vereinigte Königreich übermittelt werden:
(a) Der Kunde ist der Datenexporteur und Safecall ist der Datenimporteur;
(b) wird davon ausgegangen, dass der Kunde die Musterklauseln in seinem eigenen Namen und im Namen aller seiner verbundenen Unternehmen, die ebenfalls als für die Verarbeitung Verantwortliche in Bezug auf personenbezogene Daten, die gemäß diesem Datenverarbeitungsplan verarbeitet werden, handeln, abgeschlossen hat;
(c) Das auf die Musterklauseln anwendbare Recht ist das Recht des Mitgliedstaats des EWR, in dem der Datenexporteur nach Maßgabe des Datenschutzrechts niedergelassen ist, und Klausel 9 der Musterklauseln gilt als entsprechend ausgefüllt;
(d) Anlage 1 der Musterklauseln gilt als mit den in der Beschreibung der Verarbeitung aufgeführten Einzelheiten ausgefüllt; und
(e) Anlage 2 der Musterklauseln gilt mit der Zusammenfassung der Sicherheitsmaßnahmen als abgeschlossen.
4.5 Die Parteien vereinbaren, dass im Falle eines Konflikts zwischen den Musterklauseln und den Bestimmungen dieses Datenverarbeitungsplans oder eines Vertrags die Musterklauseln Vorrang haben.
5. Begriffsbestimmungen
5.1 In diesem Datenverarbeitungsplan haben die folgenden Begriffe die nachstehend angegebene Bedeutung, es sei denn, es ist etwas anderes beabsichtigt:
Die Begriffe " für die Verarbeitung Verantwortlicher", " Auftragsverarbeiter", " Verarbeitung" und " betroffene Person " haben die ihnen im Datenschutzgesetz zugewiesene Bedeutung.
Angemessenes Gebiet bedeutet: (i) in Bezug auf Übermittlungen aus dem EWR in ein Drittland, das nicht dem EWR angehört, ein Gebiet außerhalb des EWR, das von der Europäischen Kommission als ein Gebiet benannt wurde, das ein angemessenes Schutzniveau gemäß den Datenschutzgesetzen gewährleistet; und (ii) in Bezug auf Übermittlungen aus dem Vereinigten Königreich in ein Drittland ein Gebiet, das vom Vereinigten Königreich als ein Gebiet anerkannt wurde, das ein angemessenes Schutzniveau gemäß den Datenschutzgesetzen gewährleistet.
Datenschutzrecht bedeutet: das Datenschutzgesetz 2018, die britische Datenschutz-Grundverordnung, die beibehaltene EU-Rechtsfassung der Allgemeinen Datenschutzverordnung ((EU) 2016/679) zusammen mit: (i) alle von einer Aufsichtsbehörde oder einer anderen zuständigen Behörde herausgegebenen Anleitungen, Anweisungen, Entscheidungen, Feststellungen, Verhaltenskodizes, Anordnungen, Mitteilungen oder Aufforderungen; (ii) alle anderen anwendbaren Datenschutzgesetze; und (iii) alle damit verbundenen verbindlichen Urteile von zuständigen Gerichten, Aufsichtsbehörden oder Gerichten, jeweils in der geltenden Fassung und in der von Zeit zu Zeit geänderten, ergänzten, ersetzten oder ersetzten Fassung.
Beschreibung der Verarbeitung ist die Beschreibung in Teil 1 des Anhangs zu diesem Datenverarbeitungsplan.
Europäischer Wirtschaftsraum oder EWR bezeichnet die Mitgliedstaaten, die dem Abkommen über den Europäischen Wirtschaftsraum vom 1. Januar 1994 unterliegen, einschließlich der Mitgliedstaaten der Europäischen Union sowie Island, Liechtenstein und Norwegen.
Musterklauseln sind die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter mit Sitz in Drittländern, die von der Europäischen Kommission mit dem Beschluss 2010/87/EU genehmigt wurden (online verfügbar unter https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en), wobei diese Musterklauseln von der Europäischen Kommission von Zeit zu Zeit geändert oder ersetzt werden können.
personenbezogene Daten hat die im Datenschutzgesetz festgelegte Bedeutung, soweit sie sich auf die personenbezogenen Daten oder einen Teil dieser personenbezogenen Daten bezieht, deren Verarbeiter Safecall im Namen des Kunden handelt und für die der Kunde der Verantwortliche ist.
Sicherheitsmaßnahmen hat die in Absatz 3.5 Buchstabe e) angegebene Bedeutung.
Anhang zum Zeitplan für die Datenverarbeitung
Teil 1 - Beschreibung der Verarbeitung
Gegenstand der Verarbeitung | Safecall verarbeitet personenbezogene Daten im Rahmen dieses Vertrags für die Zwecke der im Auftragsformular angegebenen Dienstleistungen. |
Dauer der Bearbeitung | Die Dauer der Verarbeitung personenbezogener Daten durch Safecall im Rahmen dieses Vertrags ist die Laufzeit dieses Vertrags und der längere der beiden folgenden Zeiträume: (Personenbezogene Daten werden nicht länger verarbeitet oder aufbewahrt, als es erforderlich ist, damit Safecall die Dienste erbringen und seinen Verpflichtungen aus diesem Vertrag nachkommen kann. |
Art der Verarbeitung | Die Verarbeitung, die erforderlich ist, damit Safecall die bestellten Dienstleistungen für den Kunden erbringen kann. Dazu gehören unter anderem Speicherung, Abruf, Analyse, Datenerfassung und Datenübertragung. |
Zweck der Verarbeitung | Die Erfüllung der Verpflichtungen von Safecall und die Ausübung seiner Rechte in Bezug auf die bestellten Dienste. |
Arten von personenbezogenen Daten | Personenbezogene Daten, die Safecall vom Kunden oder im Namen des Kunden oder der betroffenen Personen im Zusammenhang mit den bestellten Dienstleistungen zur Verfügung gestellt werden. Zu jeder Kategorie gehören die Arten personenbezogener Daten, die in diese Kategorie fallen. Persönliche Angaben: Kontaktdaten, Geschlecht, Geburtsdatum, Geburtsort, Familienstand, Lebenspartner, Familienangehörige, Behindertenstatus, Notfallkontaktinformationen.Position: Beschreibung der aktuellen Position, Stellenbezeichnung, Unternehmensstatus, Führungskategorie, Stellencode, Besoldungsgruppe oder -stufe, Stellenfunktion(en) und Unterfunktion(en), Name und Code des Unternehmens (rechtlicher Arbeitgeber), Niederlassung/Referat/Abteilung, Standort, Beschäftigungsstatus und -art, Vollzeit/Teilzeit, Datum der Einstellung/Wiedereinstellung und Datum/Daten der Beendigung der Beschäftigung.System- und Anwendungszugangsdaten: Informationen, die für den Zugriff auf Systeme und Anwendungen erforderlich sind, wie z. B. System-ID, E-Mail-Konto, Instant-Messaging-Konto, Mitarbeiter-ID, Systempasswörter, Mitarbeiterrolle und elektronische Inhalte, die von Personen erstellt wurden, die die Kundensysteme nutzen Finanzinformationen: Bankkontonummer und Kontodaten.Externe personenbezogene Daten und Kontaktinformationen: Name, Adresse, E-Mail- und Telefondaten, Geschlecht, Familienstand, Geburtsdatum, Geburtsort und staatliche Identifikationsnummer, wie z. B. Sozialversicherungsnummer oder Sozialversicherungsnummer, Steueridentifikationsnummer, Militäridentifikationsnummer, Reisepassnummer, Führerscheinnummer oder andere Führerscheinnummern, Beschäftigungsstatus, Passwörter, Aktivitätsaufzeichnungen, wie z. B. Fahrtenbücher, Beschäftigungsgeschichte, Todesdatum und -ursache, Datum des Eintritts in die Langzeitpflege. |
Kategorien von betroffenen Personen | Die personenbezogenen Daten umfassen unter anderem die folgenden Kategorien von betroffenen Personen: frühere und derzeitige Mitarbeiter, frühere und derzeitige Lieferanten, frühere und derzeitige nicht bezahlte Auftragnehmer oder Berater, von Agenturen beauftragte Auftragnehmer oder Berater und externe Hilfskräfte, derzeitige Endnutzer von Anwendungen, frühere Endnutzer von Anwendungen, von Nutzern identifizierte Personen, Rentner sowie frühere und derzeitige Direktoren und Führungskräfte. |
Besondere Kategorien von Daten (falls zutreffend) | Personenbezogene Daten der besonderen Kategorie, die vom Kunden oder im Namen des Kunden oder der betroffenen Personen bei der Nutzung der bestellten Dienste offengelegt werden können. Dazu gehören unter anderem Gesundheit/medizinisch sensible Informationen, Geburtsort, Strafregister, Zivilprozessakten, Sexualleben (z. B. sexuelle Orientierung), Rasse und ethnische Herkunft. |
Pflichten und Rechte des für die Verarbeitung Verantwortlichen | Wie in diesem Vertrag dargelegt. |