Dieser Zusatz zur Datenverarbeitung ("DPA") ist Teil des Master
Dienstleistungsvertrags ("MSA") zwischen

Superfy (dem "Auftragsverarbeiter") und dem Kunden (dem "Datenverantwortlichen")
(zusammen als die "Parteien" bezeichnet)

IN DER ERWÄGUNG, DASS

(A) Der Kunde handelt als Datenverantwortlicher.

(B) Der Kunde möchte bestimmte Dienstleistungen, die die Verarbeitung personenbezogener Daten beinhalten, an den Datenverarbeiter untervergeben.

(C) Die Parteien streben eine Datenverarbeitungsvereinbarung an, die den Anforderungen des aktuellen Rechtsrahmens in Bezug auf die Datenverarbeitung und der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) entspricht.

(D) Die Vertragsparteien möchten ihre Rechte und Pflichten festlegen.

ES WIRD FOLGENDES VEREINBART:

1. DEFINITIONEN UND AUSLEGUNG

1.1 Sofern hier nicht anders definiert, haben die in diesem Abkommen verwendeten Begriffe und Ausdrücke in Großbuchstaben die folgende Bedeutung:

1.1.1 "DPA" bedeutet diese Datenverarbeitungsvereinbarung und alle Anhänge;

1.1.2 "Personenbezogene Daten des Kunden" bedeutet alle personenbezogenen Daten, die von einem Auftragsverarbeiter im Namen des Kunden gemäß oder in Verbindung mit der Hauptvereinbarung verarbeitet werden;

1.1.3 "Auftragsverarbeiter" bezeichnet einen Unterauftragsverarbeiter;

1.1.4 "Datenschutzgesetze" bedeutet EU-Datenschutzgesetze und, soweit anwendbar, die Datenschutzgesetze anderer Länder;

1.1.5 "EWR" bezeichnet den Europäischen Wirtschaftsraum;

1.1.6 "EU-Datenschutzgesetze" bezeichnet die EU-Richtlinie 95/46/EG in der in die nationale Gesetzgebung der einzelnen Mitgliedstaaten umgesetzten Fassung und in der jeweils geänderten, ersetzten oder ersetzten Fassung, einschließlich der Datenschutz-Grundverordnung und der Gesetze zur Umsetzung oder Ergänzung der Datenschutz-Grundverordnung;

1.1.7 "GDPR" bezeichnet die EU-Datenschutzgrundverordnung 2016/679;

1.1.8 "Datenübermittlung" bedeutet:

1.1.8.1 eine Übertragung personenbezogener Kundendaten vom Kunden an einen Auftragsverarbeiter; oder

1.1.8.2 eine Weiterübermittlung von personenbezogenen Daten des Kunden von einem Auftragsverarbeiter an einen Unterauftragsverarbeiter oder zwischen zwei Niederlassungen eines Auftragsverarbeiters, in jedem Fall, wenn eine solche Übermittlung durch Datenschutzgesetze (oder durch die Bedingungen von Datenübermittlungsvereinbarungen, die eingerichtet wurden, um die Datenübermittlungsbeschränkungen der Datenschutzgesetze zu berücksichtigen) verboten wäre;

1.1.9 "Unterauftragsverarbeiter" bezeichnet jede Person, die vom oder im Namen des Auftragsverarbeiters mit der Verarbeitung personenbezogener Daten im Namen des Kunden in Verbindung mit dem Vertrag beauftragt wird.

1.2 Die Begriffe "Kommission", "für die Verarbeitung Verantwortlicher", "betroffene Person", "Mitgliedstaat", "personenbezogene Daten", "Verletzung des Schutzes personenbezogener Daten", "Verarbeitung" und "Aufsichtsbehörde" haben die gleiche Bedeutung wie in der DSGVO, und die entsprechenden Begriffe sind entsprechend auszulegen.

2. VERARBEITUNG VON PERSONENBEZOGENEN DATEN DES KUNDEN

2.1 Der Auftragsverarbeiter muss:

2.1.1 bei der Verarbeitung personenbezogener Kundendaten alle anwendbaren Datenschutzgesetze einhalten; und

2.1.2 die personenbezogenen Daten des Kunden nur auf der Grundlage der dokumentierten Anweisungen des jeweiligen Kunden verarbeiten.

2.2 Der Kunde weist den Auftragsverarbeiter an, personenbezogene Daten des Kunden zu verarbeiten.

3. PERSONAL DES VERARBEITERS

Der Auftragsverarbeiter ergreift angemessene Maßnahmen, um die Zuverlässigkeit aller Mitarbeiter, Bevollmächtigten oder Auftragnehmer eines Auftragsverarbeiters, die Zugang zu den personenbezogenen Daten des Kunden haben, zu gewährleisten, wobei in jedem Fall sichergestellt wird, dass der Zugang strikt auf die Personen beschränkt ist, die die betreffenden personenbezogenen Daten des Kunden kennen bzw. darauf zugreifen müssen, soweit dies für die Zwecke des Hauptvertrags unbedingt erforderlich ist, und um die geltenden Gesetze im Zusammenhang mit den Pflichten dieser Personen gegenüber dem Auftragsverarbeiter einzuhalten, wobei sichergestellt wird, dass alle diese Personen Vertraulichkeitsverpflichtungen oder beruflichen oder gesetzlichen Verschwiegenheitspflichten unterworfen sind.

4. SICHERHEIT

4.1 Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen hat der Auftragsverarbeiter in Bezug auf die personenbezogenen Daten des Auftraggebers geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein diesem Risiko angemessenes Sicherheitsniveau zu gewährleisten, gegebenenfalls einschließlich der in Artikel 32 Absatz 1 der DSGVO genannten Maßnahmen.

4.2 Bei der Beurteilung des angemessenen Sicherheitsniveaus hat der Auftragsverarbeiter insbesondere die Risiken zu berücksichtigen, die sich aus der Verarbeitung ergeben, insbesondere aus einer Verletzung des Schutzes personenbezogener Daten.

5. UNTERVERARBEITUNG

5.1 Der Auftragsverarbeiter darf keinen Unterauftragsverarbeiter beauftragen (oder personenbezogene Daten des Kunden an diesen weitergeben), es sei denn, der Kunde hat dies verlangt oder genehmigt.

6. RECHTE DER BETROFFENEN PERSON

6.1 Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Kunden, indem er geeignete technische und organisatorische Maßnahmen ergreift, soweit dies möglich ist, um die Verpflichtungen des Kunden zu erfüllen, wie er sie vernünftigerweise versteht, um auf Anfragen zur Ausübung der Rechte der betroffenen Person gemäß den Datenschutzgesetzen zu reagieren.

6.2 Der Auftragsverarbeiter wird:

6.2.1 den Kunden unverzüglich zu benachrichtigen, wenn er eine Anfrage einer betroffenen Person gemäß einem Datenschutzgesetz in Bezug auf die personenbezogenen Daten des Kunden erhält; und

6.2.2 sicherstellen, dass er auf dieses Ersuchen nicht reagiert, es sei denn, er tut dies auf dokumentierte Anweisung des Kunden oder gemäß den geltenden Gesetzen, denen der Auftragsverarbeiter unterliegt; in diesem Fall muss der Auftragsverarbeiter den Kunden in dem nach den geltenden Gesetzen zulässigen Umfang über diese gesetzlichen Anforderungen informieren, bevor er auf das Ersuchen antwortet.

7. VERLETZUNG DES SCHUTZES PERSONENBEZOGENER DATEN

7.1 Der Auftragsverarbeiter benachrichtigt den Kunden unverzüglich, sobald er von einer Verletzung des Schutzes personenbezogener Daten des Kunden Kenntnis erlangt, und stellt ihm ausreichende Informationen zur Verfügung, damit er seinen Verpflichtungen zur Meldung oder Information der betroffenen Personen über die Verletzung des Schutzes personenbezogener Daten gemäß den Datenschutzgesetzen nachkommen kann.

7.2 Der Auftragsverarbeiter arbeitet mit dem Kunden zusammen und unternimmt auf Anweisung des Kunden angemessene geschäftliche Schritte, um bei der Untersuchung, Eindämmung und Behebung einer solchen Verletzung des Schutzes personenbezogener Daten zu helfen.

8. DATENSCHUTZFOLGENABSCHÄTZUNG UND VORHERIGE KONSULTATION

Der Auftragsverarbeiter unterstützt den Kunden in angemessener Weise bei der Durchführung von Datenschutz-Folgenabschätzungen und der vorherigen Konsultation von Aufsichtsbehörden oder anderen zuständigen Datenschutzbehörden, die der Kunde nach vernünftigem Ermessen gemäß Artikel 35 oder 36 der DSGVO oder gleichwertigen Bestimmungen anderer Datenschutzgesetze für erforderlich hält, und zwar jeweils ausschließlich in Bezug auf die Verarbeitung personenbezogener Daten des Kunden durch die Auftragsverarbeiter und unter Berücksichtigung der Art der Verarbeitung und der den Auftragsverarbeitern vorliegenden Informationen.

9. LÖSCHUNG ODER RÜCKGABE VON PERSONENBEZOGENEN DATEN DES KUNDEN

9.1 Vorbehaltlich dieses Abschnitts 9 ist der Auftragsverarbeiter verpflichtet, unverzüglich und in jedem Fall innerhalb von 90 Tagen nach dem Datum der Beendigung von Dienstleistungen, die die Verarbeitung von personenbezogenen Daten des Kunden beinhalten (das "Beendigungsdatum"), alle Kopien dieser personenbezogenen Daten des Kunden zu löschen und für deren Löschung zu sorgen.

10. PRÜFUNGSRECHTE

10.1 Vorbehaltlich dieses Abschnitts 10 stellt der Auftragsverarbeiter dem Kunden auf Anfrage alle Informationen zur Verfügung, die für den Nachweis der Einhaltung dieser Vereinbarung erforderlich sind, und ermöglicht Prüfungen, einschließlich Inspektionen, durch den Kunden oder einen vom Kunden beauftragten Prüfer in Bezug auf die Verarbeitung der personenbezogenen Daten des Kunden durch die Auftragsverarbeiter und trägt zu diesen Prüfungen bei.

10.2 Informations- und Prüfungsrechte des Kunden ergeben sich aus Abschnitt 10.1 nur insoweit, als der Vertrag ihm nicht anderweitig Informations- und Prüfungsrechte einräumt, die den einschlägigen Anforderungen des Datenschutzrechts entsprechen.

11. DATENÜBERTRAGUNG

11.1 Der Auftragsverarbeiter darf ohne vorherige schriftliche Zustimmung des Auftraggebers keine Daten in Länder außerhalb der EU und/oder des Europäischen Wirtschaftsraums (EWR) übermitteln oder deren Übermittlung genehmigen. Werden personenbezogene Daten, die im Rahmen dieser Vereinbarung verarbeitet werden, aus einem Land innerhalb des Europäischen Wirtschaftsraums in ein Land außerhalb des Europäischen Wirtschaftsraums übermittelt, so stellen die Parteien sicher, dass die personenbezogenen Daten angemessen geschützt werden. Zu diesem Zweck stützen sich die Parteien, sofern nicht anders vereinbart, auf von der EU genehmigte Standardvertragsklauseln für die Übermittlung personenbezogener Daten.

12. ALLGEMEINE BEDINGUNGEN

12.1 Vertraulichkeit. Jede Partei muss diesen Vertrag und die Informationen, die sie über die andere Partei und deren Geschäfte im Zusammenhang mit diesem Vertrag erhält ("vertrauliche Informationen"), vertraulich behandeln und darf diese vertraulichen Informationen nicht ohne die vorherige schriftliche Zustimmung der anderen Partei verwenden oder offenlegen, es sei denn, dass:
(a) die Offenlegung gesetzlich vorgeschrieben ist;
(b) die betreffenden Informationen bereits öffentlich zugänglich sind.

12.2 Bekanntmachungen. Alle Mitteilungen im Rahmen dieser Vereinbarung bedürfen der Schriftform und werden persönlich, per Post oder per E-Mail an die in der Überschrift dieser Vereinbarung angegebene Adresse bzw. E-Mail-Adresse oder an eine andere, von den Parteien von Zeit zu Zeit bekannt gegebene Adresse mit wechselnder Anschrift übermittelt.

12.3 Mit dem Ausfüllen eines Bestellformulars zwischen Superfy und dem Kunden erklärt sich der Kunde mit den Bedingungen des MSA und dieser DPA einverstanden.

13. GELTENDES RECHT UND GERICHTSSTAND

13.1 Dieser Vertrag unterliegt den Gesetzen der Republik Irland.

13.2 Alle Streitigkeiten, die sich im Zusammenhang mit diesem Vertrag ergeben und die die Parteien nicht gütlich beilegen können, unterliegen der ausschließlichen Zuständigkeit der Gerichte der Republik Irland.