Mit Uns Arbeiten

Wir sind immer auf der Suche nach ehrgeizigen, wachstumsorientierten Unternehmen, die verstehen, dass die Welt sich verändert, und die sich anpassen und aufblühen wollen

Mit Uns Arbeiten

Wir sind immer auf der Suche nach ehrgeizigen, wachstumsorientierten Unternehmen, die verstehen, dass die Welt sich verändert, und die sich anpassen und aufblühen wollen

Join Our Team

Are you a motivated individual, looking to challenge yourself and make a positive impact on the business world? Take a look at our vacancies.

HUBLE DIGITAL

AUFTRAGSVERARBEITUNGSVERTRAG

VERSION 3.0, LETZTE ÄNDERUNG: 06. JUNI 2022

BlueX@2x

1.EINFÜHRUNG UND ANWENDUNG

1.1. - Dieser Anhang zur Datenverarbeitung und seine Anlagen (die "DPA") regeln die Nutzung und den Schutz personenbezogener Daten des Kunden durch Huble bei der Erbringung von Dienstleistungen für einen Kunden im Rahmen einer Grundsatzvereinbarung.

1.2. - Die DPA ist integraler Bestandteil der Dienstleistungen und ist Teil der zwischen Huble und dem Kunden abgeschlossenen Grundsatzvereinbarung.

2. DEFINITIONEN UND INTERPRETATIONEN

2.1. -"Verbundene Unternehmen" sind alle Unternehmen, die das betreffende Unternehmen direkt oder indirekt kontrollieren, von ihm kontrolliert werden oder mit ihm unter gemeinsamer Kontrolle stehen. Für die Zwecke dieser Definition bedeutet "Kontrolle" das direkte oder indirekte Eigentum an oder die Kontrolle über mehr als 50 % der Stimmrechtsanteile der betreffenden Einheit.

2.2. -"Verantwortlicher" ist die natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Kundendaten entscheidet.

2.3. - "Kunde" ist die Person, die Dienstleistungen von Huble im Rahmen der Grundsatzvereinbarung bezieht.

2.4. - "Personenbezogene Kundendaten" sind alle personenbezogenen Daten des betroffenen Kunden, die von Huble im Rahmen der Grundsatzvereinbarung verarbeitet werden. 

2.5. - "Datenschutzrecht" bezeichnet alle Gesetze und Vorschriften, die auf die Verarbeitung personenbezogener Kundendaten im Rahmen der Grundsatzvereinbarung anwendbar sind, einschließlich, aber nicht beschränkt auf DSGVO, PDPA, POPIA und Gesetze und Vorschriften, die in den rechtsspezifischen Bestimmungen in Anlage 3 zu diesem Anhang zur Datenverarbeitung definiert sind.

2.6. - "DSGVO" bezieht sich auf die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 in ihrer jeweils gültigen Fassung.

2.7. -"Hublebezeichnet das Unternehmen Huble, das dem Kunden die Dienstleistungen im Rahmen der Grundsatzvereinbarung erbringt.

2.8. - "Anweisung" bedeutet die schriftliche, dokumentierte Anweisung, die der Kunde als Verantwortlicher oder Auftragsverarbeiter an Huble als Verarbeiter oder Unterverarbeiter erteilt und die Huble anweist, eine bestimmte Verarbeitungsmaßnahme in Bezug auf die personenbezogenen Daten des Kunden durchzuführen.

2.9. - "Parteien" bedeutet Huble und der Kunde. "Partei" bezieht sich entweder auf Huble oder den Kunden, je nach Kontext. 

2.10. - "Grundvereinbarung" ist ein schriftlicher oder elektronischer Vertrag zwischen Huble und dem Kunden über die Erbringung von Dienstleistungen.

2.11. - "Verarbeiter" ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag eines für die Verarbeitung Verantwortlichen verarbeitet.

2.12. - "Dienstleistungen" sind die in der Grundsatzvereinbarung genannten Dienstleistungen, die HubSpot-Marketing, Geschäfts-, Vertriebs- und Dienstleistungsberatung, Vertriebs- und Dienstleistungs-Onboarding, Webentwicklung und technische Integration, SEO und bezahlten Mediendienste umfassen können.

2.13. - Die Begriffe "Datensubjekt", "Verletzung des Schutzes personenbezogener Daten", "Verarbeitung" (oder ähnliche Begriffe) und "Aufsichtsbehörde" haben alle die gleiche Bedeutung wie in der DSGVO oder die entsprechenden Begriffe in anderen Datenschutzgesetzen.

2.14. - Großgeschriebene Begriffe, die hier nicht definiert sind, haben die ihnen in der Grundsatzvereinbarung zugewiesene Bedeutung. 

2.15. - Im Falle eines Konflikts oder einer Unstimmigkeit mit den Bestimmungen der Grundsatzvereinbarung hat dieser Anhang zur Datenverarbeitung Vorrang. 

3. VERARBEITUNG PERSONENBEZOGENER DATEN VON KUNDEN

3.1. - Während der Erbringung von Dienstleistungen im Rahmen der Grundsatzvereinbarung kann Huble bestimmte personenbezogene Daten des Kunden im Namen des Kunden verarbeiten. Huble und der Kunde verpflichten sich, diesen Anhang der Datenverarbeitung im Zusammenhang mit der Verarbeitung solcher personenbezogenen Daten des Kunden einzuhalten.

3.2. - Der Gegenstand und die Dauer der Verarbeitung, die Art und der Zweck der Verarbeitung und die Arten der personenbezogenen Daten des Kunden sind in der Grundsatzvereinbarung und/oder in Anlage 1 zu diesem Anhang der Datenverarbeitung aufgeführt.

4. KONTROLLROLLEN

4.1. - Wenn der Kunde als kontrollierende Person handelt, handelt Huble als Verarbeiter. Wenn der Kunde als Verarbeiter handelt, handelt Huble als Unterverarbeiter. Um jeden Zweifel auszuschließen, fallen beide Situationen in den Anwendungsbereich dieses Anhangs der Datenverarbeitung.

5. VERPFLICHTUNGEN DES KUNDEN

 5.1.1 - Als kontrollierende Person im Rahmen der Grundsatzvereinbarung:

  5.1.1.1 - übernimmt der Kunde volle Verantwortung und sichert Huble zu, dass er stets seine gesetzlichen Verpflichtungen in Bezug auf das Datenschutzrecht einhält, einschließlich, aber nicht beschränkt auf das Recht zur Offenlegung und Übermittlung von personenbezogenen Daten des Kunden an Huble und die Verarbeitung personenbezogener Daten des Kunden; und

  5.1.1.2- erkennt der Kunde bedingungslos die gesetzlichen Pflichten an, die ihm als kontrollierende Person im Sinne des Datenschutzgesetzes auferlegt werden, und hält Huble für jeden Verlust oder Schaden (ob direkt oder als Folge) schadlos, der sich aus der Nichteinhaltung seiner Pflichten als kontrollierende Person ergeben könnte.

5.2. - Wenn der Kunde ein Verarbeiter in Bezug auf die personenbezogenen Daten des Kunden ist, garantiert der Kunde, dass seine Anweisungen und Handlungen in Bezug auf die Verarbeitung der personenbezogenen Daten des Kunden, einschließlich seiner Ernennung von Huble als Unterverarbeiter, von der entsprechenden kontrollierenden Person genehmigt wurden.

5.3. - Die Anweisungen des Kunden für die Verarbeitung personenbezogener Daten des Kunden müssen mit dem Datenschutzgesetz übereinstimmen. Der Kunde entschädigt Huble im größtmöglichen gesetzlich zulässigen Umfang für jeden direkten Schaden, der dadurch entsteht, dass Huble als Verarbeiter im Namen und/oder auf Anweisung der kontrollierenden Person in Bezug auf die Verarbeitung der personenbezogenen Daten des Kunden gemäß der Grundsatzvereinbarung handelt.

5.4. - Im Verhältnis zwischen den Parteien trägt der Kunde die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der personenbezogenen Daten des Kunden sowie für die Mittel, mit denen der Kunde diese personenbezogenen Daten erworben hat.

5.5. - Der Kunde verpflichtet sich, Huble auf eigene Kosten von jeglicher Haftung, einschließlich Rechtskosten, Ansprüchen, Zivilklagen, Schäden, indirekten oder Folgeschäden oder Ausgaben, die Huble entstanden sind oder für die Huble haftbar gemacht werden kann, weil der Kunde oder seine Angestellten oder Beauftragten, ob bevollmächtigt oder nicht, die Verpflichtungen aus der Grundsatzvereinbarung oder dem Datenschutzgesetz nicht eingehalten haben, schadlos zu halten und zu entschädigen.


5.6. - Der Kunde garantiert, dass die Grundsatzvereinbarung und diese Anlage zum Datenschutz die vollständige und endgültige Anweisung des Kunden an Huble in Bezug auf die Verarbeitung der personenbezogenen Daten des Kunden enthält und dass jede zusätzliche Anweisung außerhalb des Geltungsbereichs der Grundsatzvereinbarung eine vorherige schriftliche Vereinbarung zwischen den Parteien erfordert.

5.7. - Der Kunde wird Huble unverzüglich und umfassend über datenschutzrechtliche Fehler oder Unregelmäßigkeiten informieren. 

5.8. - Der Kunde informiert Huble unverzüglich, wenn die Verarbeitung besondere Kategorien personenbezogener Daten des Kunden im Sinne des Datenschutzgesetzes umfasst, insbesondere: finanzielle, medizinische und gesundheitsbezogene Informationen, Informationen über Kinder oder jede Art der Verarbeitung personenbezogener Daten, die nach dem Datenschutzgesetz höher geschützt sind.

6. PFLICHTEN DES VERARBEITERS

6.1. Einhaltung von Anweisungen

 6.1.1. - In Bezug auf personenbezogene Daten des Kunden hält Huble die Datenschutzgesetze ein (und sorgt dafür, dass     seine Mitarbeiter sie einhalten und wirtschaftlich angemessene Anstrengungen unternehmen, um sicherzustellen, dass ihre   beauftragten Verarbeiter diese einhalten).

 6.1.2. - Huble erhebt, verarbeitet und nutzt personenbezogene Daten des Kunden nur im Rahmen der Anweisungen des   Kunden und in Übereinstimmung mit dem Datenschutzrecht.

 6.1.3. - Wenn Huble denkt, dass eine Anweisung gegen das Datenschutzrecht verstößt, wird es den Kunden unverzüglich   informieren.


  6.1.3.1. - den Kunden unverzüglich über die rechtliche Verpflichtung informieren, bevor mit der Verarbeitung fortgefahren        wird; und  

  6.1.3.2. -jede Form der Verarbeitung einstellen (mit Ausnahme der bloßen Speicherung und Aufrechterhaltung der                    Sicherheit der betroffenen personenbezogenen Kundendaten), bis der Kunde neue Anweisungen erteilt, denen wir                  nachkommen können.

 6.1.4. - Wenn ein Abschnitt 6.1.3 dieses Anhangs zum Datenschutz geltend gemacht wird, haftet Huble dem Kunden     gegenüber nicht für die Nichterfüllung der Grundsatzvereinbarung, bis der Kunde neue, rechtlich bindende Anweisungen    erteilt.

 6.1.5. - Huble wird die Einhaltung der Verpflichtungen des Kunden zur Umsetzung von Sicherheitsmaßnahmen in Bezug auf   die personenbezogenen Daten des Kunden (einschließlich, falls zutreffend, der Verpflichtungen des Kunden gemäß Artikel   32 bis 36 (einschließlich) der DSGVO) erleichtern, indem es: (i) die in unseren Informationssicherheitsrichtlinien   beschriebenen Sicherheitsmaßnahmen umsetzt und aufrecht erhält; (ii) die Bestimmungen des Abschnitts 6.3 (Verletzungen   des Schutzes personenbezogener Daten) dieses Anhangs zum Datenschutz einhält; (iii) den Kunden bei der Erfüllung seiner   Verpflichtungen in Bezug auf eine Datenschutz-Folgenabschätzung oder die vorherige Konsultation einer Aufsichtsbehörde   unterstützt; und (iv) Informationen für den Kunden in Bezug auf die Verarbeitung in Übereinstimmung mit Abschnitt 7 (Audits)   dieses Anhangs zum Datenschutz bereitstellt.

6.2. Vertraulichkeit

 6.2.1. - Huble stellt sicher, dass alle Mitarbeiter, unabhängig davon, ob sie als solche angestellt oder vertraglich unterhalten   werden, die unter der Anweisung von Huble stehen und befugt sind, personenbezogene Daten des Kunden zu verarbeiten,   der Vertraulichkeitspflicht in Bezug auf die personenbezogenen Daten des Kunden unterliegen.

 6.2.2. - Die Vertraulichkeitsverpflichtung in Abschnitt 6.2.1 gilt auch nach Beendigung der Verarbeitung, auf die sich die   Vertraulichkeitsverpflichtung bezieht.

6.3.Verstöße bei personenbezogenen Daten

 6.3.1. - Huble benachrichtigt den Kunden so schnell wie möglich, nachdem es von einer Verletzung der   personenbezogenen Daten erfahren hat, die die personenbezogenen Daten des Kunden betrifft.

 6.3.2. - Auf Verlangen des Kunden gewährt Huble dem Kunden unverzüglich jede angemessene Unterstützung, um den   Kunden in die Lage zu versetzen, die zuständige(n) Aufsichtsbehörde(n) und/oder betroffene Personen über relevante   Verletzungen der personenbezogenen Daten zu informieren, wenn der Kunde nach dem Datenschutzgesetz dazu   verpflichtet ist.

6.4. Anfragen von Datensubjekten 

 6.4.1. - Huble wird angemessene Unterstützung leisten, einschließlich der Umsetzung angemessener und geeigneter   technischer und organisatorischer Maßnahmen, um den Kunden in die Lage zu versetzen, auf alle Datensubjekte zu   reagieren, die versuchen, ihre Rechte nach dem Datenschutzgesetz auszuüben (einschließlich ihres Rechts auf Zugang,   Berichtigung, Einschränkung, Löschung oder Übertragbarkeit der personenbezogenen Daten des Kunden), soweit dies   gesetzlich zulässig ist. Wenn eine solche Anfrage direkt an Huble gerichtet wird, informiert Huble den Kunden unverzüglich   und rät den Datensubjekten, ihre Anfrage an den Kunden zu richten. Der Kunde ist allein für die Beantwortung der Anfragen   von Datensubjekten verantwortlich. Der Kunde kommt für alle Kosten gegenüber Huble auf, die durch diese Unterstützung   entstehen.

 6.4.2. - Huble verpflichtet sich, eine schriftliche Zustimmung des Kunden einzuholen, bevor ein Datensubjekt um die   Weitergabe von personenbezogenen Daten des Kunden bittet, und wenn diese Anfrage nicht rechtlicher Natur ist, an die   sich Huble halten muss. 

 6.4.3. - Huble verpflichtet sich des Weiteren, den Kunden über alle rechtsverbindlichen Anfragen zur Offenlegung   personenbezogener Daten des Kunden zu informieren, es sei denn, diese Anfrage beinhaltet die Anforderung, die   Offenlegung privat und vertraulich zu halten.

6.5. Datensicherheit  

 6.5.1. - Unter Berücksichtigung des Standes der Technik, der Art und des Grades der Sensibilität personenbezogener Daten   des Kunden wird Huble geeignete Maßnahmen zur Erreichung der erforderlichen technischen und organisatorischen   Maßnahmen ergreifen, um personenbezogene Daten des Kunden angemessen vor versehentlicher oder unrechtmäßiger   Zerstörung, Verlust, Änderung, unbefugter Offenlegung oder Zugriff auf personenbezogene Daten des Kunden zu schützen.   Diese Maßnahmen sind in Anhang 1 dargestellt.

6.6. Unter Vertrag stehende Verarbeiter

 6.6.1. - Huble darf nur mit schriftlicher Zustimmung des Kunden Unterverarbeiter mit der Erfüllung seiner Verpflichtungen   aus der Grundsatzvereinbarung beauftragen (jeweils einzeln "Unter Vertrag stehender Verarbeiter").  Für diese Zwecke   stimmt der Kunde der Beauftragung von verbundenen Unternehmen von Huble und den in Anlage 2 dieses Anhangs zum   Datenschutz aufgeführten Dritten als unter Vertrag stehende Verarbeiter zu. Um jeden Zweifel auszuschließen, stellt die   oben genannte Genehmigung die vorherige schriftliche Zustimmung des Kunden zur Beauftragung von unter Vertrag   stehenden Verarbeitern gemäß den Bedingungen dieses Anhangs zum Datenschutz dar.

 6.6.2. - Wenn Huble beabsichtigt, andere als in Anlage 2 dieses Anhangs zum Datenschutz aufgeführten unter Vertrag   stehende Verarbeiter zu beauftragen, benachrichtigt Huble den Kunden schriftlich (auch per E-Mail an die hinterlegte(n)E-   Mail-Adresse(n) des Kunden) und gibt dem Kunden die Möglichkeit, der vorgeschlagenen Beauftragung des neuen unter   Vertrag stehenden Verarbeiters innerhalb von 14 (vierzehn) Tagen nach der Benachrichtigung zu widersprechen, andernfalls   ist Huble berechtigt, den unter Vertrag stehenden Verarbeiter zu ernennen. Wenn der Kunde der Beauftragung eines unter   Vertrag stehenden Verarbeiters widerspricht, muss dieser Widerspruch auf vertretbaren Gründen beruhen (z. B. wenn der   Kunde nachweist, dass bei dem unter Vertrag stehenden Verarbeiter erhebliche Risiken für den Schutz seiner   personenbezogenen Daten bestehen). Wenn Huble und der Kunde nicht in der Lage sind, solche Einwände zu lösen, kann   jede Partei die Grundsatzvereinbarung in Übereinstimmung mit seinen Bestimmungen zur Kündigung kündigen. 

 6.6.3. - Wenn Huble einen unter Vertrag stehenden Verarbeiter beauftragt, wird Huble einen Vertrag mit dem unter Vertrag   stehenden Verarbeiter abschließen, der dem unter Vertrag stehenden Verarbeiter die gleichen Pflichten auferlegt, die für   Huble und die kontrollierende Person gemäß diesem Anhang zum Datenschutz gelten. 

 6.6.4. - Wenn ein unter Vertrag stehender Verarbeiter beauftragt wird, hat der Kunde das Recht, die Tätigkeiten des unter   Vertrag stehenden Verarbeiters in Übereinstimmung mit diesem Anhang zum Datenschutz und dem Datenschutzgesetz zu   überwachen und zu überprüfen, einschließlich des Rechts, auf schriftliche Anfrage von Huble, Informationen über den Inhalt   des Vertrages und die Umsetzung der Datenschutzverpflichtungen im Rahmen des Vertrages mit dem unter Vertrag   stehenden Verarbeiter zu erhalten, falls notwendig durch Einsichtnahme in die entsprechenden Vertragsunterlagen, sofern   die Beauftragung des Unterverarbeiters durch Huble einer solchen Offenlegung nicht entgegensteht. Huble behält sich das   Recht vor, Abschnitte in solchen Vertragsdokumenten zu schwärzen, die kommerziell wichtig sind.

 6.6.5. - Die Bestimmungen dieses Abschnitts gelten wechselseitig, wenn Huble einen unter Vertrag stehenden Verarbeiter   in einem Land beauftragt, das kein angemessenes Schutzniveau für personenbezogene Daten des Kunden im Sinne des   Datenschutzrechts bietet. In diesem Fall ergreift Huble Maßnahmen, um sicherzustellen, dass die Beauftragung eines unter   Vertrag stehenden Verarbeiters mit dem Datenschutzgesetz konform ist, um einen "angemessenen Schutz" zu   gewährleisten, einschließlich, aber nicht beschränkt auf die Ausführung von Standardvertragsklauseln, die gemäß dem   Datenschutzgesetz von und zwischen Huble und dem unter Vertrag stehenden Verarbeiter herausgegeben werden. 

6.7. Löschen und Abrufen von personenbezogenen Kundendaten

 6.7.1. - Außer in dem Umfang, der zur Einhaltung der Datenschutzgesetze erforderlich ist, wird Huble nach Beendigung oder   Ablauf der Grundsatzvereinbarung alle personenbezogenen Daten des Kunden (einschließlich Kopien davon), die gemäß   der Grundsatzvereinbarung verarbeitet wurden, nach Wahl des Kunden löschen oder zurückgeben. 

 6.7.2. - Der Kunde hat bei Beendigung oder Ablauf der Grundsatzvereinbarung durch Anweisung innerhalb einer von Huble   gesetzten Frist mitzuteilen, ob die personenbezogenen Daten des Kunden zurückgegeben oder gelöscht werden sollen.   Zusätzliche Kosten, die im Zusammenhang mit der Rückgabe oder Löschung der personenbezogenen Daten des Kunden   entstehen, gehen zu Lasten des Kunden.  

7. ÜBERPRÜFUNGEN

7.1. - Der Kunde kann, vorbehaltlich der Vertraulichkeitsbestimmungen in der Grundsatzvereinbarung, vor Beginn der Verarbeitung, danach in jährlichen Abständen oder bei begründetem Verdacht auf eine Verletzung personenbezogener Daten, die von Huble getroffenen technischen und organisatorischen Maßnahmen im Sinne der Datenschutzgesetze überprüfen. Zu diesem Zweck kann der Kunde:


 7.1.1. - Informationen von Huble erhalten, die belegen, dass Huble die Bedingungen dieses Anhangs zum Datenschutz einhält;   

 7.1.2. - eine Bescheinigung oder ein Zertifikat von einem unabhängigen Sachverständigen über die Sicherheitsmaßnahmen von Huble verlangen, oder 

 7.1.2. - nach angemessener und rechtzeitiger vorheriger Absprache während der regulären Geschäftszeiten und ohne   Unterbrechung des Geschäftsbetriebs eine Vor-Ort-Prüfung des Geschäftsbetriebs durchführen oder, vorbehaltlich   angemessener Vertraulichkeitsmaßnahmen, durch einen qualifizierten Dritten, der kein Konkurrent von Huble ist,   durchführen lassen. 

7.2 - Huble wird dem Kunden auf schriftliche Anfrage und innerhalb einer angemessenen Frist alle Informationen zur  Verfügung stellen, die für die Zwecke dieses Abschnitts 7 des Anhangs zum Datenschutz erforderlich sind, soweit sich diese Informationen unter der Kontrolle von Huble befinden und Huble nicht durch geltendes Recht, eine Vertraulichkeitsverpflichtung oder eine sonstige Verpflichtung gegenüber einem Dritten an der Offenlegung gehindert wird.  

8. HAFTUNG

8.1. - Der Kunde haftet und hält Huble schadlos für alle Handlungen, Verfahren, Haftungen, Kosten, Ansprüche, Verluste, Ausgaben (einschließlich angemessener Anwaltsgebühren und Zahlungen auf Anwalts- und Mandantenbasis) oder Forderungen, die Huble, einschließlich eines unter Vertrag stehenden Verarbeiters, erleidet, die Huble zugesprochen werden oder zu deren Zahlung Huble sich bereit erklärt hat, und die direkt oder in Verbindung damit entstehen:

 8.1.1 - jede Nichteinhaltung des Datenschutzgesetzes durch den Kunden;

 8.1.2 - ungeachtet von Abschnitt 6.1.1, jede Verarbeitung personenbezogener Daten des Kunden durch Huble oder seinen   unter Vertrag stehenden Verarbeiter gemäß den Anweisungen des Kunden, die gegen das Datenschutzgesetz verstoßen;   oder

 8.1.3 - jeden Verstoß des Kunden gegen seine Verpflichtungen aus diesem Anhang zum Datenschutz,

 außer in dem Umfang, in dem Huble oder ein unter Vertrag stehender Verarbeiter gemäß nachstehendem Abschnitt   8.2haftbar ist. 

8.2. - Huble haftet für und hält den Kunden schadlos bezüglich aller Klagen, Verfahren, Haftungen, Kosten, Ansprüche, Verluste, Ausgaben (einschließlich angemessener Anwaltsgebühren und Zahlungen auf Anwalts- und Mandantenbasis) oder Forderungen, die dem Kunden entstehen, ihm zugesprochen werden oder zu deren Zahlung er sich bereit erklärt hat, und die direkt oder in Verbindung mit der Verarbeitung personenbezogener Daten des Kunden durch Huble entstehen, die unter diesen Anhang zum Datenschutz fallen:

 8.2.1. - nur insoweit, als sich dies aus dem Verstoß von Huble gegen diesen Anhang zum Datenschutz ergibt;

 8.2.2. - vorbehaltlich des nachstehenden Abschnitts 8.4 und nur insoweit, als dies auf eine Verletzung personenbezogener Daten durch einen unter Vertrag stehenden Verarbeiter oder die Nichteinhaltung des Datenschutzrechts durch einen unter Vertrag stehenden Verarbeiter zurückzuführen ist; und

 8.2.3. - nicht in dem Maße, in dem dies durch eine Verletzung dieses Anhangs zum Datenschutz durch Huble verursacht oder mitverursacht wurden.

8.3. - Der Kunde ist nicht berechtigt, von Huble oder seinen unter Vertrag stehenden Verarbeitern Beträge zurückzufordern, die der Kunde als Entschädigung für einen Schaden gezahlt hat, soweit der Kunde Huble gemäß Abschnitt 8.1 schadensersatzpflichtig ist.

8.4. - Ungeachtet anderer Bestimmungen in diesem Anhang zum Datenschutz ist die maximale Gesamthaftung von Huble, die aufgrund einer Verletzung des Datenschutzes bei einem unter Vertrag stehenden Verarbeiter oder der Nichteinhaltung von Datenschutzgesetzen durch einen unter Vertrag stehenden Verarbeiter entsteht, auf das [2 (zwei) Fache] des Betrags begrenzt, der an Huble für die Dienstleistungen während des 12 (zwölf) Monatszeitraums vor dem Datum, an dem der Anspruch entstanden ist, gezahlt wurde. 

9. ALLGEMEINE BESTIMMUNGEN

9.1. - Wenn einzelne Bestimmungen dieses Anhangs zum Datenschutz unwirksam oder undurchführbar sind, so wird die Wirksamkeit und Durchführbarkeit der übrigen Bestimmungen dieses Anhangs zum Datenschutz davon nicht berührt.


9.2. - Dieser Anhang zum Datenschutz gilt für die Dauer der Grundsatzvereinbarung, wobei die überdauernden Bestimmungen je nach geltendem Recht und Kontext gelten.

9.3. - Dieser Anhang zum Datenschutz unterliegt dem in der Grundsatzvereinbarung festgelegten Recht.

ANLAGE 1: ANGABEN ZU PERSONENBEZOGENEN KUNDENDATEN UND DEREN VERARBEITUNG

1.Gegenstand der Verarbeitung:

Gegenstand der Verarbeitung personenbezogener Daten des Kunden bezieht sich auf die Erbringung von Dienstleistungen im Rahmen der Grundsatzvereinbarung.

  

2. Art und Zweck der Verarbeitung:

Art und der Zweck der Verarbeitung beziehen sich auf die Erbringung der Dienstleistung für den Kunden gemäß der Grundsatzvereinbarung, diesem Anhang zum Datenschutz und den Anweisungen des Kunden.

3. Dauer der Verarbeitung:

Bis zum frühesten der folgenden Zeitpunkte: (i) Ablauf/Beendigung der Grundsatzvereinbarung oder (ii) dem Datum, an dem die Verarbeitung für die Erfüllung der Verpflichtungen einer Partei aus der Grundsatzvereinbarung nicht mehr erforderlich ist (soweit zutreffend).

4. Kategorien von Datensubjekten:

 - Kundenkontakte und andere Endnutzer, einschließlich Mitarbeiter des Kunden, Auftragnehmer, Kollaborateure, Kunden, potenzielle Kunden, Lieferanten und Subunternehmer.

 - Zu Datensubjekten gehören auch Personen, die versuchen, mit den Endnutzern des Kunden zu kommunizieren oder personenbezogene Daten des Kunden an diese zu übermitteln.

5. Kategorien personenbezogener Kundendaten:

 - Kontaktinformationen, deren Umfang vom Kunden nach eigenem Ermessen bestimmt und kontrolliert wird.

 - Biografische Daten, demografische Daten, persönliche Aussagen, persönliche Interessen, Kaufhistorie.

 - Beschäftigungsangaben und Historie, Leistungsdaten von Mitarbeitern.

 - Angaben zu Waren oder Dienstleistungen, die für Einzelpersonen oder zu deren Gunsten erbracht werden.

 - Navigationsdaten, Browserverlauf und Cookies (einschließlich Informationen zur Nutzung von Websites).

 - E-Mail-Daten, Systemnutzungsdaten, Anwendungsintegrationsdaten und andere elektronische Daten, die von Endbenutzern über den HubSpot-Abonnementdienst eingereicht, gespeichert, gesendet oder empfangen werden.

6. Spezielle Kategorien personenbezogener Kundendaten:

Es werden keine speziellen Kategorien personenbezogener Daten verarbeitet. Der Kunde ist verpflichtet, Huble zu informieren, wenn spezielle Kategorien personenbezogener Kundendaten im Sinne von Abschnitt 5.8 des Anhangs zum Datenschutz verarbeitet werden.

7. Beschreibung der von Huble durchgeführten technischen und organisatorischen Maßnahmen:

Huble wird geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Maß an Sicherheit zu gewährleisten, unter anderem:

 - die Pseudonymisierung und Verschlüsselung personenbezogener Daten, soweit möglich;


 - die Fähigkeit, ständige Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste zu gewährleisten;

 - die Fähigkeit, Verfügbarkeit und Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Zwischenfalls zeitnah wiederherzustellen; und


 - ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.


Darüber hinaus gelten für die Verarbeitung personenbezogener Kundendaten die folgenden Informationssicherheitsrichtlinien:

Nutzungsbedingungen der Huble Digital Group ("AUP"): Zweck der AUP ist es, die akzeptable Nutzung von Computersystemen bei der Huble Digital Group darzustellen. Diese Regeln dienen dazu, die Informationen der Huble Digital Group vor Verlust oder Diebstahl, unbefugtem Zugriff, Offenlegung, Vervielfältigung, Verwendung, Änderung oder Zerstörung zu schützen.


Richtlinie zur Klassifizierung und Handhabung von Informationen ("ICHP"): Huble Digital Group ist für den Schutz der Informationen, die sie besitzt und verarbeitet, verantwortlich, indem sie Kontrollen anwendet, die der Sensibilität der betreffenden Informationen angemessen sind. Nur wenn Informationen nach einem dokumentierten Schema klassifiziert werden, kann das richtige Schutzniveau angewendet werden. Der ICHP legt die Einzelheiten des zu verwendenden Systems und die Kriterien fest, die bei der Entscheidung über das auf einen bestimmten Informationswert anzuwendende Schutzniveau angewendet werden. Die Mitarbeiter sind für die Daten und Informationen der Huble Digital Group und für die Reduzierung der Risiken einer Verletzung der Informationssicherheit verantwortlich. Die Einstufung von Informationen und Dokumenten gemäß dieser ICHP bestimmt die Art und Weise, in der das Dokument gehandhabt, veröffentlicht, verschoben und gespeichert wird – und stellt somit sicher, dass ein angemessener Schutz besteht.


Informationssicherheitsrichtlinie ("ISP"): Die ISP legt die Informationssicherheitslandschaft einschließlich der unterstützenden Richtlinien, Verfahren, Rahmenbedingungen und Kontrollen sowohl in technischer als auch in administrativer Hinsicht bei der Huble Digital Group fest, so dass sie dem Unternehmen einen reibungslosen Betrieb in Übereinstimmung mit den ISO/IEC:27001-Normen ermöglicht.

Dokumentverwaltungsrichtlinie: Dokumentierte Informationen innerhalb des Geltungsbereichs des von der Huble Digital Group eingerichteten Informationssicherheits-Managementsystems ("ISMS") müssen so kontrolliert werden, dass sie sowohl den geschäftlichen Anforderungen als auch den anerkannten internationalen Normen entsprechen, die in dieser Richtlinie festgelegt und beibehalten werden


Richtlinie zur Zwei-Faktor-Authentifizierung (“TFAP”): Die TFAP legt die Anforderungen für Personen innerhalb des Geltungsbereichs des ISMS fest, um Zwei-Faktor-Authentifizierungsmethoden auf allen wichtigen Systemen, wie in der Richtlinie definiert, und allen anderen Systemen, die im Rahmen der Beschäftigung oder der Erbringung von Dienstleistungen für die Huble Digital Group verwendet werden, zu verwenden, sofern verfügbar.

Bei Übermittlungen an unter Vertrag stehenden Verarbeitern, die spezifischen technischen und organisatorischen Maßnahmen, die von den Verarbeitern zu treffen sind, um Unterstützung für die kontrollierende Person und - bei Übermittlungen von einem Verarbeiter an einen unter Vertrag stehenden Verarbeiter - den Datenexporteur zu leisten:

Wenn Huble einen unter Vertrag stehenden Verarbeiter im Rahmen dieses Anhangs zum Datenschutz beauftragt, müssen Huble und der unter Vertrag stehende Verarbeiter eine Vereinbarung mit Datenschutzbedingungen abschließen, die im Wesentlichen, denen dieses Anhangs zum Datenschutz entsprechen.

Huble muss sicherstellen, dass die Vereinbarung mit jedem unter Vertrag stehenden Verarbeiter es Huble ermöglicht, seine jeweiligen Verpflichtungen gegenüber dem Kunden zu erfüllen. Zusätzlich zu den technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten des Kunden muss der unter Vertrag stehende Verarbeiter:

 - Huble im Falle einer Verletzung personenbezogener Daten benachrichtigen;

 - personenbezogene Kundendaten löschen, wenn sie von Huble in Übereinstimmung mit den Anweisungen des Kunden an Huble angewiesen werden;

 - keine weiteren unter Vertrag stehenden Verarbeiter ohne die Genehmigung von Huble zu beauftragen; und

 - personenbezogene Kundendaten nicht in einer Weise zu verarbeiten, die im Widerspruch zu den Anweisungen des Kunden an Huble steht.

8. Häufigkeit von Übertragungen:

Personenbezogene Daten werden gemäß den Anweisungen des Kunden an Huble zur Verarbeitung der personenbezogenen Kundendaten für die Erbringung von Dienstleistungen im Rahmen der Grundsatzvereinbarung übermittelt.

9. Weitere Verarbeitung:

Huble wird keine weitere Verarbeitung personenbezogener Kundendaten vornehmen. Die Verarbeitung beschränkt sich auf das, was für die Erbringung der Dienstleistungen unbedingt erforderlich ist.

10.Kontrollrollen:

 - Datenexporteur: Der Kunde, der als kontrollierende Person oder unter Vertrag stehender Verarbeiter im Sinne von Abschnitt 4.1 dieses Anhangs zum Datenschutz handelt.


 - Datenimporteur: Huble, das als Verarbeiter oder Unterverarbeiter im Sinne von Abschnitt 4.1 dieses Anhangs zum Datenschutz handelt.

ANLAGE 2: LISTE UNTER VERTRAG STEHENDER VERARBEITER

1. HUBLE DIGITAL GROUP LIMITED

Name des unter Vertrag stehenden Unterverarbeiters: Huble Digital Limited

Adresse des unter Vertrag stehenden Verarbeiters: 30 Stamford Street, London, SE1 9LQ

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Vereinigtes Königreich

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

Name des unter Vertrag stehenden Unterverarbeiters: Huble Digital (Pty) Ltd

Adresse des unter Vertrag stehenden Verarbeiters: Belmont Rd, Rondebosch,
Kapstadt, 7700

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Südafrika

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

Name des unter Vertrag stehenden Unterverarbeiters: Huble Digital PTE Ltd

Adresse des unter Vertrag stehenden Verarbeiters: MYP Centre, 9 Battery Road, #28-01, Singapur, 049910

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Singapur

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

Name des unter Vertrag stehenden Unterverarbeiters: Huble Digital Inc.

Adresse des unter Vertrag stehenden Verarbeiters: 3304 N Lincoln Ave, Chicago, Illinois 60657, US

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Vereinigte Staaten

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

Name des unter Vertrag stehenden Unterverarbeiters: bubblebridge interactive GmbH

Adresse des unter Vertrag stehenden Verarbeiters: Schwanthalerstraße 13 / Hinterhof Aufgang II, 80336 München

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Deutschland

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

Name des unter Vertrag stehenden Unterverarbeiters: Huble Digital Corp.

Adresse des unter Vertrag stehenden Verarbeiters: Vancouver, BC

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Kanada

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

2. Huble Digital Limited

Name des unter Vertrag stehenden Unterverarbeiters: HubSpot Inc.

Adresse des unter Vertrag stehenden Verarbeiters: 25 First Street, 2nd Floor, Cambridge, MA 02141, USA

Zweck der Verarbeitung: Marketing, Vertrieb und Serviceabwicklung

Standort der Verarbeitung: Vereinigte Staaten

Technische und organisatorische Maßnahmen:
Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

Name des unter Vertrag stehenden Unterverarbeiters: Google LLC

Adresse des unter Vertrag stehenden Verarbeiters: 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA

Zweck der Verarbeitung: Daten-Hosting

Standort der Verarbeitung: Europa

Technische und organisatorische Maßnahmen:
Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

Name des unter Vertrag stehenden Unterverarbeiters: Xero (NZ) Ltd

Zweck der Verarbeitung: Daten-Hosting

Standort der Verarbeitung: Vereinigte Staaten

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

Name des unter Vertrag stehenden Unterverarbeiters: Microsoft Corporation

Adresse des unter Vertrag stehenden Verarbeiters: One Microsoft Way, Redmond Washington 98052-6399

Zweck der Verarbeitung: Daten-Hosting

Standort der Verarbeitung: Vereinigte Staaten

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

Name des unter Vertrag stehenden Unterverarbeiters: Huble Digital Group Ltd

Adresse des unter Vertrag stehenden Verarbeiters: 30 Stamford Street, London, SE1 9LQ

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Vereinigtes Königreich

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

Name des unter Vertrag stehenden Unterverarbeiters: Huble Digital (Pty) Ltd

Adresse des unter Vertrag stehenden Verarbeiters: Belmont Rd, Rondebosch,
Kapstadt, 7700

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Südafrika

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

Name des unter Vertrag stehenden Unterverarbeiters: Huble Digital PTE Ltd

Adresse des unter Vertrag stehenden Verarbeiters: MYP Centre, 9 Battery Road, #28-01, Singapur, 049910

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Singapur

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

Name des unter Vertrag stehenden Unterverarbeiters: Huble Digital Inc.

Adresse des unter Vertrag stehenden Verarbeiters: 3304 N Lincoln Ave, Chicago, Illinois 60657, US

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Vereinigte Staaten

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

Name des unter Vertrag stehenden Unterverarbeiters: bubblebridge interactive GmbH

Adresse des unter Vertrag stehenden Verarbeiters: Schwanthalerstraße 13 / Hinterhof Aufgang II, 80336 München

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Deutschland

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

Name des unter Vertrag stehenden Unterverarbeiters: Huble Digital Corp.

Adresse des unter Vertrag stehenden Verarbeiters: Vancouver, BC

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Kanada

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

3. HUBLE DIGITAL (PTY) LTD

Name des unter Vertrag stehenden Unterverarbeiters: Huble Digital Group Ltd

Adresse des unter Vertrag stehenden Verarbeiters: 30 Stamford Street, London, SE1 9LQ

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Vereinigtes Königreich

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

Name des unter Vertrag stehenden Unterverarbeiters: Huble Digital Limited

Adresse des unter Vertrag stehenden Verarbeiters: 30 Stamford Street, London, SE1 9LQ

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Vereinigtes Königreich

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet


 

Name des unter Vertrag stehenden Unterverarbeiters: Huble Digital (Pty) Ltd

Adresse des unter Vertrag stehenden Verarbeiters: Belmont Rd, Rondebosch,
Kapstadt, 7700

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Südafrika

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

Name des unter Vertrag stehenden Unterverarbeiters: Huble Digital PTE Ltd

Adresse des unter Vertrag stehenden Verarbeiters: MYP Centre, 9 Battery Road, #28-01, Singapur, 049910

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Singapur

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

Name des unter Vertrag stehenden Unterverarbeiters: Huble Digital Inc.

Adresse des unter Vertrag stehenden Verarbeiters: 3304 N Lincoln Ave, Chicago, Illinois 60657, US

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Vereinigte Staaten

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

Name des unter Vertrag stehenden Unterverarbeiters: bubblebridge interactive GmbH

Adresse des unter Vertrag stehenden Verarbeiters: Schwanthalerstraße 13 / Hinterhof Aufgang II, 80336 München

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Deutschland

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

Name des unter Vertrag stehenden Unterverarbeiters: Huble Digital Corp.

Adresse des unter Vertrag stehenden Verarbeiters: Vancouver, BC

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Kanada

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

4. HUBLE DIGITAL PTE LTD

Name des unter Vertrag stehenden Unterverarbeiters: Huble Digital Group Ltd

Adresse des unter Vertrag stehenden Verarbeiters: 30 Stamford Street, London, SE1 9LQ

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Vereinigtes Königreich

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

Name des unter Vertrag stehenden Unterverarbeiters: Huble Digital Limited

Adresse des unter Vertrag stehenden Verarbeiters: 30 Stamford Street, London, SE1 9LQ

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Vereinigtes Königreich

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

Name des unter Vertrag stehenden Unterverarbeiters: Huble Digital (Pty) Ltd

Adresse des unter Vertrag stehenden Verarbeiters: Belmont Rd, Rondebosch,
Kapstadt, 7700

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Südafrika

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

Name des unter Vertrag stehenden Unterverarbeiters: Huble Digital PTE Ltd

Adresse des unter Vertrag stehenden Verarbeiters: MYP Centre, 9 Battery Road, #28-01, Singapur, 049910

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Singapur

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

Name des unter Vertrag stehenden Unterverarbeiters: Huble Digital Inc.

Adresse des unter Vertrag stehenden Verarbeiters: 3304 N Lincoln Ave, Chicago, Illinois 60657, US

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Vereinigte Staaten

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

Name des unter Vertrag stehenden Unterverarbeiters: bubblebridge interactive GmbH

Adresse des unter Vertrag stehenden Verarbeiters: Schwanthalerstraße 13 / Hinterhof Aufgang II, 80336 München

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Deutschland

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

Name des unter Vertrag stehenden Unterverarbeiters: Huble Digital Corp.

Adresse des unter Vertrag stehenden Verarbeiters: Vancouver, BC

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Kanada

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

5. HUBLE DIGITAL INC.

Name des unter Vertrag stehenden Unterverarbeiters: Huble Digital Group Ltd

Adresse des unter Vertrag stehenden Verarbeiters: 30 Stamford Street, London, SE1 9LQ

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Vereinigtes Königreich

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

Name des unter Vertrag stehenden Unterverarbeiters: Huble Digital (Pty) Ltd

Adresse des unter Vertrag stehenden Verarbeiters: Belmont Rd, Rondebosch,
Kapstadt, 7700

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Südafrika

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

Name des unter Vertrag stehenden Unterverarbeiters: Huble Digital PTE Ltd

Adresse des unter Vertrag stehenden Verarbeiters: MYP Centre, 9 Battery Road, #28-01, Singapur, 049910

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Singapur

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

Name des unter Vertrag stehenden Unterverarbeiters: Huble Digital Inc.

Adresse des unter Vertrag stehenden Verarbeiters: 3304 N Lincoln Ave, Chicago, Illinois 60657, US

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Vereinigte Staaten

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

Name des unter Vertrag stehenden Unterverarbeiters: bubblebridge interactive GmbH

Adresse des unter Vertrag stehenden Verarbeiters: Schwanthalerstraße 13 / Hinterhof Aufgang II, 80336 München

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Deutschland

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

Name des unter Vertrag stehenden Unterverarbeiters: Huble Digital Corp.

Adresse des unter Vertrag stehenden Verarbeiters: Vancouver, BC

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Kanada

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

6. bubblebridge interactive GmbH

Name des unter Vertrag stehenden Unterverarbeiters: Huble Digital Group Ltd

Adresse des unter Vertrag stehenden Verarbeiters: 30 Stamford Street, London, SE1 9LQ

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Vereinigtes Königreich

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

Name des unter Vertrag stehenden Unterverarbeiters: Huble Digital Limited

Adresse des unter Vertrag stehenden Verarbeiters: 30 Stamford Street, London, SE1 9LQ

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Vereinigtes Königreich

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

Name des unter Vertrag stehenden Unterverarbeiters: Huble Digital (Pty) Ltd

Adresse des unter Vertrag stehenden Verarbeiters: Belmont Rd, Rondebosch,
Kapstadt, 7700

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Südafrika

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

Name des unter Vertrag stehenden Unterverarbeiters: Huble Digital PTE Ltd

Adresse des unter Vertrag stehenden Verarbeiters: MYP Centre, 9 Battery Road, #28-01, Singapur, 049910

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Singapur

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

Name des unter Vertrag stehenden Unterverarbeiters: Huble Digital Inc.

Adresse des unter Vertrag stehenden Verarbeiters: 3304 N Lincoln Ave, Chicago, Illinois 60657, US

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Vereinigte Staaten

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

Name des unter Vertrag stehenden Unterverarbeiters: Huble Digital Corp.

Adresse des unter Vertrag stehenden Verarbeiters: Vancouver, BC

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Kanada

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

Name des unter Vertrag stehenden Unterverarbeiters: Deutsche Telekom

Adresse des unter Vertrag stehenden Verarbeiters: Deutschland

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Deutschland

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

7. HUBLE DIGITAL CORP.

Name des unter Vertrag stehenden Unterverarbeiters: Huble Digital Group Ltd

Adresse des unter Vertrag stehenden Verarbeiters: 30 Stamford Street, London, SE1 9LQ

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Vereinigtes Königreich

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

Name des unter Vertrag stehenden Unterverarbeiters: Huble Digital Limited

Adresse des unter Vertrag stehenden Verarbeiters: 30 Stamford Street, London, SE1 9LQ

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Vereinigtes Königreich

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

Name des unter Vertrag stehenden Unterverarbeiters:Huble Digital Limited

Adresse des unter Vertrag stehenden Verarbeiters: 30 Stamford Street, London, SE1 9LQ

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Vereinigtes Königreich

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

Name des unter Vertrag stehenden Unterverarbeiters: Huble Digital (Pty) Ltd

Adresse des unter Vertrag stehenden Verarbeiters: Belmont Rd, Rondebosch,
Kapstadt, 7700

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Südafrika

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

Name des unter Vertrag stehenden Unterverarbeiters: Huble Digital PTE Ltd

Adresse des unter Vertrag stehenden Verarbeiters: MYP Centre, 9 Battery Road, #28-01, Singapur, 049910

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Singapur

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

Name des unter Vertrag stehenden Unterverarbeiters: Huble Digital Inc.

Adresse des unter Vertrag stehenden Verarbeiters: 3304 N Lincoln Ave, Chicago, Illinois 60657, US

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Vereinigte Staaten

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

Name des unter Vertrag stehenden Unterverarbeiters: bubblebridge interactive GmbH

Adresse des unter Vertrag stehenden Verarbeiters: Schwanthalerstraße 13 / Hinterhof Aufgang II, 80336 München

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Deutschland

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

 

Name des unter Vertrag stehenden Unterverarbeiters: Huble Digital Corp.

Adresse des unter Vertrag stehenden Verarbeiters: Vancouver, BC

Zweck der Verarbeitung: Service und Unterstützung

Standort der Verarbeitung: Kanada

Technische und organisatorische Maßnahmen: Ein DSGVO/GB DSVGO-konformer Datenverarbeitungsanhang, der den unter Vertrag stehenden Verarbeiter zur Einhaltung von Artikel 32, DSGVO, verpflichtet

ANLAGE 3: RECHTSSPEZIFISCHE BEGRIFFE

1.Europäischer Wirtschaftsraum

 1.1. - FoFür Zwecke dieses Anhangs zum Datenschutz:

 1.1.1. -"EU 2021 SCCs" sind Vertragsklauseln, die durch den Implementierungsbeschluss (EU) 2021/914 der Kommission vom   4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß   Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates angenommen wurden.

 1.1.2. - "Beschränkte Übermittlung personenbezogener Daten aus dem EWR" sind alle Übermittlungen   personenbezogener Kundendaten, die der DSGVO unterliegen und gerade verarbeitet werden oder nach der Übermittlung   an ein EWR-Drittland oder eine internationale Organisation in einem EWR-Drittland verarbeitet werden sollen, einschließlich   der Datenspeicherung auf ausländischen Servern.

1.1.3. - "EWR" bezeichnet den Europäischen Wirtschaftsraum, bestehend aus den Mitgliedstaaten der Europäischen Union sowie Island, Liechtenstein und Norwegen.

1.1.4. - "EWR-Drittland" bedeutet ein Land außerhalb des EWR.

1.2. Für jede eingeschränkte Übermittlung personenbezogener EWR-Daten vom Kunden an Huble im Rahmen dieses Anhangs zum Datenschutz und der Grundsatzvereinbarung gelten die folgenden Mechanismen in der Reihenfolge ihres Vorrangs:


1.2.1. - ein Angemessenheitsbeschluss der Europäischen Kommission gemäß Artikel 45, DSGVO, der besagt, dass das EWR-Drittland, ein Gebiet oder ein oder mehrere bestimmte Sektoren innerhalb dieses EWR-Drittlandes oder die betreffende internationale Organisation, an die personenbezogene Kundendaten übermittelt werden sollen, ein angemessenes Datenschutzniveau gewährleistet;

1.2.2. - die EU 2021 SCCs, sofern ihre Verwendung eine "angemessene Schutzmaßnahme" gemäß Artikel 46, DSGVO, und dem Datenschutzgesetz darstellt; oder


1.2.3. - andere rechtmäßige Datenübertragungsmechanismen, wie sie in der DSGVO vorgesehen sind.



1.3 EU 2021 SCCs:

1.3.1. - Dieser Anhang zum Datenschutz enthält durch Verweis die EU 2021 SCCs. Es wird davon ausgegangen, dass die Parteien die EU 2021 SCCs in ihrer Gesamtheit, einschließlich der Anhänge, akzeptiert, ausgeführt und unterzeichnet haben. 


1.3.2. - Der Inhalt von Anhang I und Anhang II der EU 2021 SCCs ist in Anlage 1 dieses Anhangs zum Datenschutz aufgeführt. Der Inhalt von Anhang III der EU 2021 SCCs ist in Anlage 3 zu diesem Anhang zum Datenschutz aufgeführt. Anhang 1 zu dieser Anlage ergänzt die EU 2021 SCCs wie dort angegeben.

1.3.3. - Die folgenden Module der EU 2021 SCCs gelten wie unten angegeben:

   1.3.3.1. - Modul 2 der EU 2021 SCCs (Kontrollierende Person an Verarbeiter) in dem Maße, in dem der Kunde als                       "Datenexporteur" die kontrollierende Person und Huble als "Datenimporteur" der Verarbeiter ist, in Übereinstimmung mit         Abschnitt 4.1 dieses Anhangs zum Datenschutz.

   1.3.3.2. - Modul 3 der EU 2021 SCCs (Verarbeiter an Unterverarbeiter) in dem Maße, in dem der Kunde als                                 "Datenexporteur" der Verarbeiter und Huble als "Datenimporteur" der Unterverarbeiter ist, in Übereinstimmung mit                    Abschnitt 4.1 dieses Anhangs zum Datenschutz.


  1.3.4. - Die Parteien kommen überein, die folgenden Entscheidungen im Rahmen der EU 2021 SCCs zu treffen:


   1.3.4.1. - Die Parteien entscheiden sich nicht für die Aufnahme von Klausel 7 (Andockklausel) in die EU 2021 SCCs.

   1.3.4.2. - Die Parteien wählen für die Zwecke von Klausel 9 der EU 2021 SCCs "Option 2: Allgemeine Genehmigung" und         die in Abschnitt 6.6.2 dieses Anhangs zum Datenschutz festgelegte Frist.

   1.3.4.3. - Bezüglich Klausel 11 der EU 2021 SCC vereinbaren die Parteien, kein Recht auf Einreichung einer Streitigkeit bei       einer unabhängigen Streitbeilegungsstelle vorzusehen.

   1.3.4.4. - In Bezug auf Klausel 13 der EU 2021 SCCs:


    1.3.4.4.1 - Ist der Kunde im EWR ansässig, so ist die zuständige Aufsichtsbehörde die Behörde des EWR-Landes, in dem         der Kunde ansässig ist;

    1.3.4.4.2. - wenn der Kunde nicht im EWR ansässig ist, aber einen Vertreter im EWR gemäß Artikel 27, Absatz 1, DGSVO,          bestellt hat, ist die zuständige Aufsichtsbehörde die Behörde des EWR-Landes, in dem der Vertreter bestellt wurde; oder

    1.3.4.4.3. - wenn der Kunde nicht im EWR ansässig ist und keinen Vertreter in einem EWR-Land gemäß Artikel 27, Absatz 1,      DSGVO, benannt hat, fungiert die Aufsichtsbehörde in einem der EWR-Länder, in dem sich das Datensubjekt befindet,              deren personenbezogene Kundendaten im Rahmen der EU 2021 SCC in Bezug auf das Angebot von Waren oder                    Dienstleistungen an sie übermittelt werden oder deren Verhalten überwacht wird, als zuständige Aufsichtsbehörde.

   1.3.4.5. - In Bezug auf Klausel 17 der EU 2021 SCCs wählen die Parteien "Option 2". Dementsprechend unterliegen die EU       2021 SCCs dem Recht des EU-Mitgliedstaates, in dem der Kunde ansässig ist. Sieht dieses Recht keine Rechte von                   Drittbegünstigten vor, so unterliegen die EU 2021 SCCs dem Recht der Republik Irland.


   1.3.4.6. - In Bezug auf Klausel 18 der EU 2021 SCCs vereinbaren die Parteien, dass alle Streitigkeiten, die sich aus den EU       2021 SCCs ergeben, von den Gerichten der Republik Irland entschieden werden sollen.


2.Vereinigtes Königreich

2.1. - FoFür Zwecke dieses Anhangs zum Datenschutz:

  2.1.1. -"Datenschutzrecht" im Sinne des Abschnitts 2 dieses Anhangs zum Datenschutz umfasst das britische                              Datenschutzrecht.

  2.1.2. - "GB Änderung" bezeichnet die Änderung für den internationalen Datentransfer zu den Standardvertragsklauseln   der EU 2021, herausgegeben vom UK Information Commissioner, Version B1.0, in der ab dem 21. März 2022 geltenden und   jeweils gültigen Fassung.


  2.1.3. -"GB Drittland" bedeutet ein Land außerhalb des Vereinigten Königreichs.

  2.1.4. - "Beschränkte Übermittlung personenbezogener Daten aus dem Vereinigten Königreich" bedeutet jede           Übermittlung personenbezogener Kundendaten, die der DSGVO des Vereinigten Königreichs unterliegen und die gerade   verarbeitet werden oder nach der Übermittlung an ein GB Drittland oder eine internationale Organisation in einem GB   Drittland verarbeitet werden sollen, einschließlich der Datenspeicherung auf ausländischen Servern.


  2.1.5. - "Datenschutzgesetz des Vereinigten Königreichs" bezeichnet die DSGVO, die gemäß Abschnitt 3 des European        Union (Withdrawal) Act 2018 (einschließlich weiterer Änderungen oder Ergänzungen durch die Gesetze des Vereinigten          Königreichs oder eines Teils des Vereinigten Königreichs) Teil des innerstaatlichen Rechts in England, Wales und Nordirland    ist (die "GB DSGVO"), sowie den Data Protection Act 2018 in seiner jeweils gültigen Fassung.



2.2. - Für jede beschränkte Übermittlung von personenbezogenen Daten aus dem Vereinigten Königreich vom Kunden an Huble im Rahmen dieses Anhangs zum Datenschutz und der Grundsatzvereinbarung gelten die folgenden Mechanismen, in der Reihenfolge ihres Vorrangs:

  2.2.1 - ein Angemessenheitsbeschluss gemäß Artikel 45 GB DSGVO, der besagt, dass das GB Drittland, ein Gebiet oder ein    oder mehrere bestimmte Sektoren innerhalb dieses Drittlands oder die betreffende internationale Organisation, an die            personenbezogene Kundendaten übermittelt werden sollen, ein angemessenes Datenschutzniveau gewährleistet;


  2.2.2 - die EU 2021 SCCs unter Verwendung der GB Änderung, sofern deren Verwendung eine "angemessene                        Schutzmaßnahme" gemäß Artikel 46 GB DSGVO und dem britischen Datenschutzgesetz darstellt; oder


  2.2.3 - andere rechtmäßige Datenübertragungsmechanismen, wie sie im britischen Datenschutzgesetz vorgesehen sind.


2.3. -  EU 2021 SCCs:

  2.3.1. - Dieser Anhang zum Datenschutz enthält durch Verweis die EU 2021 SCCs. Es wird davon ausgegangen, dass die        Parteien die EU 2021 SCCs in ihrer Gesamtheit, einschließlich der Anhänge, akzeptiert, ausgeführt und unterzeichnet              haben.


  2.3.2. - Der Inhalt der Anhänge I und II der EU 2021 SCCs und die Tabellen der UK Änderung sind in Anlage 1 zu diesem          Anhang zum Datenschutz aufgeführt. Der Inhalt von Anhang III der EU 2021 SCCs ist in Anlage 3 zu diesem Anhang zum        Datenschutz aufgeführt. Anhang 1 zu dieser Anlage ergänzt die EU 2021 SCCs wie dort angegeben.

 

  2.3.3. - Die folgenden Module der EU 2021 SCCs gelten wie unten angegeben:


   2.3.3.1. - Modul 2 der EU 2021 SCCs (Kontrollierende Person an Verarbeiter) in dem Maße, in dem der Kunde als                       "Datenexporteur" die kontrollierende Person und Huble als "Datenimporteur" der Verarbeiter ist, in Übereinstimmung mit          Abschnitt 4.1 dieses Anhangs zum Datenschutz.


   2.3.3.2. - Modul 3 der EU 2021 SCCs (Verarbeiter an Unterverarbeiter) in dem Maße, in dem der Kunde als                                 "Datenexporteur" der Verarbeiter und Huble als "Datenimporteur" der Unterverarbeiter ist, in Übereinstimmung mit                    Abschnitt 4.1 dieses Anhangs zum Datenschutz.


2.4. - Die Parteien stimmen überein, gemäß den EU 2021 SCCs und der GB-Änderung folgende Entscheidungen zu treffen:


  2.4.1. - Die Parteien entscheiden sich nicht für die Aufnahme von Klausel 7 (Andockklausel) in die EU 2021 SCCs.


  2.4.2. - Die Parteien wählen für die Zwecke von Klausel 9 der EU 2021 SCCs "Option 2: Allgemeine Genehmigung" und die    in Abschnitt 6.6.2 dieses Anhangs zum Datenschutz festgelegte Frist.


  2.4.3. - Bezüglich Klausel 11 der EU 2021 SCC vereinbaren die Parteien kein Recht auf Einreichung einer Streitigkeit bei            einer unabhängigen Streitbeilegungsstelle vorzusehen.


3. Kalifornien

3.1. - FoFür Zwecke dieses Anhangs zum Datenschutz:

  3.1.1. - "Kalifornisches Datenschutzgesetz" umfasst den California Consumer Privacy Act von 2018, Assembly Bill 375 des          kalifornischen Repräsentantenhauses, ein Gesetz zur Hinzufügung von Titel 1.81.5 (beginnend mit Abschnitt 1798.100) zu          Teil 4 der Abteilung 3 des Bürgerlichen Gesetzbuchs, einschließlich der California Consumer Privacy Act Regulations                (zusammen "CCPA"), und den California Privacy Rights Act von 2020 ("CPRA").

  3.1.2. -"Kontrollierende Person" (wie in diesem Anhang zum Datenschutz definiert) schließt "Unternehmen" im Sinne des          kalifornischen Datenschutzgesetzes ein.


  3.1.3. - "Datenschutzgesetz" (wie in diesem Anhang zum Datenschutz definiert) schließt das kalifornische                                    Datenschutzgeset ein.


  3.1.4. - "Datensubjekt" (wie in diesem Anhang zum Datenschutz definiert) schließt "Verbraucher" gemäß Definition im                kalifornischen Datenschutzgesetz ein.


  3.1.5. - "Personenbezogene Daten" (wie in diesem Anhang zum Datenschutz definiert) umfassen "Personenbezogene              Informationen" gemäß Definition im kalifornischen Datenschutzgesetz.


  3.1.6. - Die Begriffe "Geschäftszweck", "kommerzieller Zweck", "Verkaufen" und "Teilen" haben die ihnen im kalifornischen        Datenschutzgesetz zugewiesene Bedeutung.


3.2. - Der Kunde gibt personenbezogene Kundendaten an Huble nur für einen gültigen Geschäftszweck weiter und um Huble in die Lage zu versetzen, die Dienstleistungen gemäß Grundsatzvereinbarung zu erbringen.


3.3. - Soweit Huble personenbezogene Kundendaten verarbeitet, die dem CCPA unterliegen, wird Huble bei der Erfüllung der Grundsatzvereinbarung die Verpflichtungen des CCPA einhalten. In diesem Zusammenhang erklärt sich Huble damit einverstanden, personenbezogene Kundendaten nicht zu verkaufen oder weiterzugeben, personenbezogene Kundendaten nicht aufzubewahren, zu nutzen oder offenzulegen, es sei denn, dies ist im Rahmen der Erbringung der Dienstleistungen oder gemäß CCPA erlaubt.

3.4. - Huble bestätigt, dass es die in diesem Abschnitt 3 dieser Anlage dargelegten Beschränkungen einhalten wird.


4. Südafrika


4.1 - FoFür Zwecke dieses Anhangs zum Datenschutz:

  4.1.1. - "Verbindliche Unternehmensregeln" (für die Zwecke dieses Abschnitts 4) haben die Bedeutung, die ihnen in                  Abschnitt 72, Absatz 2, Buchstabe a des POPIA zugewiesen ist.


  4.1.2. - "Kontrollierende Person" (wie in diesem Anhang zum Datenschutz definiert) schließt eine "verantwortliche Partei"          gemäß der Definition in POPIA ein.


  4.1.3. - "Datenschutzgesetz" (wie in diesem Anhang zum Datenschutz definiert) umfasst das südafrikanische Gesetz zum          Schutz personenbezogener Daten 4 von 2012 ("POPIA").

  4.1.4. -"Personenbezogene Daten" (wie in diesem Anhang zum Datenschutz definiert) umfassen "Personenbezogene                Informationen" wie in POPIA definiert.

  4.1.5. -"Verarbeiter" (wie in diesem Anhang zum Datenschutz definiert) schließt einen "Betreiber" gemäß Definition in POPIA   ein.

  4.1.6. -"Beschränkte Übermittlung personenbezogener SA-Daten" bedeutet jede Übermittlung personenbezogener                  Kundendaten, die dem POPIA unterliegen und die gerade verarbeitet werden oder nach der Übermittlung an ein SA-              Drittland oder eine internationale Organisation in einem SA-Drittland verarbeitet werden sollen, einschließlich der                    Datenspeicherung auf ausländischen Servern.


  4.1.7. - "SA-Drittland" bedeutet ein Land außerhalb der Republik Südafrika.

4.2. - In Bezug auf jede beschränkte Übermittlung von personenbezogenen SA-Kundendaten an Huble im Rahmen dieses Anhangs zum Datenschutz und der Grundsatzvereinbarung gelten die folgenden Mechanismen, in der Reihenfolge ihres Vorrangs:


  4.2.1. - Datenschutzgesetz, dem Huble unterliegt, das die Grundsätze für eine angemessene Verarbeitung                                  personenbezogener Daten wirksam aufrechterhält, die im Wesentlichen den Bedingungen für die rechtmäßige           Verarbeitung personenbezogener Daten eines Datensubjekts ähneln und das Bestimmungen enthält, die im Wesentlichen     mit Abschnitt 72, POPIA, über die Weitergabe personenbezogener Daten vergleichbar sind (für die Zwecke dieses     Abschnitts 4.2.1 dieser Anlage vereinbaren die Parteien, dass Übermittlungen an Huble-Einheiten innerhalb des EWR, die   der DSGVO unterliegen, und Huble-Einheiten innerhalb des Vereinigten Königreichs, die dem britischen Datenschutzgesetz   unterliegen, diesem Mechanismus entsprechen);


  4.2.2. - wenn sie von Huble umgesetzt werden, verbindliche Unternehmensregeln im Einklang mit den Bestimmungen von      Abschnitt 72(1)(a), POPIA;

  4.2.3. - die Bedingungen dieses Anhangs zum Datenschutz als verbindliche Vereinbarung zwischen den Parteien zur              wirksamen Wahrung der Grundsätze für eine angemessene Verarbeitung personenbezogener Daten, die sich im                      Wesentlichen auf Bedingungen für die rechtmäßige Verarbeitung personenbezogener Daten eines Datensubjekts                    beziehen, und die im Wesentlichen ähnliche Bestimmungen wie Abschnitt 72, POPIA, in Bezug auf die Weitergabe                    personenbezogener Daten enthält; oder


  4.2.4. - alle anderen rechtmäßigen Datenübertragungsmechanismen, wie sie im POPIA vorgesehen sind.


5.Singapur

5.1. - FoFür Zwecke dieses Anhangs zum Datenschutz:

  5.1.1. - "ASEAN MCCs" bezeichnet die ASEAN-Mustervertragsklauseln, wie sie am 22. Januar 2021 vom Verband                        Südostasiatischer Nationen angenommen wurden.


  5.1.2. - "Verbindliche Unternehmensvorschriften" (für die Zwecke dieses Abschnitts 5) haben die Bedeutung, die ihnen in        Abschnitt 11(3) der SDPR zugewiesen wird.


  5.1.3. - "Datenschutzgesetz" (wie in diesem Anhang zum Datenschutz definiert) umfasst den Singapore Data Protection Act      2012 und die Singapore Data Protection Regulations 2021 ("SDPR" und zusammen "SDPA").


  5.1.4. - "Verarbeiter" (wie in diesem Anhang zum Datenschutz definiert) schließt einen "Datenvermittler" wie in SDPA                definiert ein.


  5.1.5. - "Beschränkte Übermittlung personenbezogener Daten aus Singapur" bedeutet jede Übermittlung                                    personenbezogener Kundendaten, die dem SDPA unterliegen und die gerade verarbeitet werden oder nach der   n                Übermittlung an ein Drittland in Singapur oder eine internationale Organisation in einem Drittland in Singapur verarbeitet        werden sollen, einschließlich der Datenspeicherung auf ausländischen Servern.


  5.1.6. - "Land außerhalb von Singapur" bedeutet ein Land außerhalb der Republik Singapur.


5.2. - Bezüglich beschränkter Übermittlungen personenbezogener Daten aus Singapur vom Kunden an Huble im Rahmen dieses Anhangs zum Datenschutz und der Grundsatzvereinbarung gelten die folgenden Mechanismen, in der Reihenfolge ihres Vorrangs:


  5.2.1. - Das Datenschutzrecht, dem Huble unterliegt, ermöglicht rechtlich durchsetzbare Verpflichtungen, den übermittelten    personenbezogenen Daten einen Standard zu geben, der zumindest mit dem Schutz gemäß SDPA vergleichbar ist (für            Zwecke dieses Abschnitts 5.2.1 dieser Anlage vereinbaren die Parteien, dass Übermittlungen an Huble-Einheiten innerhalb    des EWR, die der DSGVO unterliegen, und Huble-Einheiten innerhalb des Vereinigten Königreichs, die dem britischen              Datenschutzrecht unterliegen, diesem Mechanismus entsprechen);

  5.2.2. - falls von Huble umgesetzt, verbindliche Unternehmensregeln im Einklang mit den Bestimmungen von Absatz 11(3),      SDPA;

  5.2.3. - die ASEAN MCCs, die durch Verweis in diesen Anhang zum Datenschutz aufgenommen wurden, wie in Anhang 2       dieser Anlage enthalten; oder


  5.2.4. - alle anderen rechtmäßigen Datenübertragungsmechanismen, wie sie in SDPA vorgesehen sind.


6. Kanada

FoFür Zwecke dieses Anhangs zum Datenschutz:

6.1. - "Datenschutzgesetz" (wie in diesem Anhang zum Datenschutz definiert) umfasst das kanadische Bundesgesetz zum Schutz personenbezogener Informationen und elektronischer Dokumente (PIPEDA").


6.2. - "Unter Vertrag stehender Verarbeiter" (wie in diesem Anhang zum Datenschutz definiert) schließt eine "Drittorganisation" gemäß Definition in PIPEDA ein.


6.3. - "Personenbezogene Daten" (wie in diesem Anhang zum Datenschutz definiert) umfassen "Personenbezogene Informationen" gemäß Definition in PIPEDA.


6.4. - "Verletzung personenbezogener Daten" (wie in diesem Anhang zum Datenschutz definiert) schließt eine "Verletzung der Sicherheitsvorkehrungen" gemäß Definition in PIPEDA ein.


7. Allgemeines

In Fällen, in denen die EU 2021 SCCs oder ASEAN MCCs gelten und es einen Konflikt zwischen den Bedingungen dieses Anhangs zum Datenschutz und den Bedingungen der EU 2021 SCCs oder ASEAN MCCs gibt, haben die Bedingungen der EU 2021 SCCs oder ASEAN MCCs Vorrang.

ANHANG 1 ZU ANLAGE 3: ERGÄNZENDE MASSNAHMEN

Dieser Anhang 1 zu Anlage 3 ("Anhang") bietet den betroffenen Personen, deren personenbezogene Kundendaten gemäß den EU 2021 SCCs an Huble übermittelt werden, zusätzliche Garantien und Rechtsmittel. Dieser Anhang ergänzt und ist Teil der EU 2021 SCC, stellt jedoch keine Änderung oder Ergänzung dar.

1. Anwendbarkeit dieses Anhangs

1.1. - Dieser Anhang gilt nur für beschränkte internationale Übermittlungen, wenn die EU 2021 SCCs gemäß dieser Änderung und seinen Anlagen auf solche beschränkten internationalen Übermittlungen anwendbar sind.

2. Definitionen

2.1. - Für die Zwecke der Auslegung dieses Anhangs haben die folgenden Begriffe die nachstehend angegebene Bedeutung:

2.2. - "Datenimporteur" und "Datenexporteur" haben die gleiche Bedeutung, die ihnen in Anlage 1 in Verbindung mit Anlage 3 zugewiesen wird.


2.3. - "Anfrage zur Offenlegung" ist jede Anfrage einer Strafverfolgungsbehörde oder einer anderen staatlichen Behörde mit zuständiger Befugnis und Gerichtsbarkeit über den Datenimporteur zur Offenlegung von personenbezogenen Kundendaten, die im Rahmen dieses Anhangs zum Datenschutz verarbeitet werden

2.4. - "EO 12333" bezeichnet die U.S. Executive Order 12333.

2.5. - "FISA" ist der U.S. Foreign Intelligence Surveillance Act.

2.6. - "Beschränkte internationale Übermittlungen" bedeutet eine beschränkte Übermittlung personenbezogener Daten aus dem EWR oder eine beschränkte Übermittlung personenbezogener Daten aus dem Vereinigten Königreich, wie in Anlage 3 definiert.

2.7. "Schrems II-Urteil" ist das Urteil des Europäischen Gerichtshofs in der Rechtssache C-311/18, Datenschutzbeauftragter gegen Facebook Ireland Limited und Maximilian Schrems.

3. Anwendbarkeit der Überwachungsgesetze auf den Datenimporteur und seine unter Vertrag stehenden Verarbeiter

3.1. - U.S.-Überwachungsgesetze

3.1.1. - Der Datenimporteur sichert zu und gewährleistet, dass er zum Zeitpunkt des Inkrafttretens dieses Anhangs zum Datenschutz keine nationalen Sicherheitsbefehle der in den Randnummern 150-202 des Urteils Schrems II beschriebenen Art erhalten hat.

3.1.2 - Der Datenimporteur versichert, dass er vernünftigerweise davon ausgeht, dass er nicht dazu berechtigt ist, Informationen, Einheiten oder Unterstützung jeglicher Art gemäß FISA-Abschnitt 702 bereitzustellen, weil:

3.1.2.1. - Kein Gericht festgestellt hat, dass der Datenimporteur ein Rechtsträger ist, der für die Entgegennahme von Rechtsmitteln nach FISA Abschnitt 702 in Frage kommt: (i) ein "Anbieter elektronischer Kommunikationsdienste" im Sinne von 50 U.S.C. § 1881(b)(4); oder (ii) ein Rechtsträger, der zu einer der in dieser Definition beschriebenen Kategorien von Rechtsträgern gehört.

3.1.2.2. - Selbst wenn der Datenimporteur für ein Verfahren nach FISA-Abschnitt 702 in Frage käme, was er nicht glaubt, ist er dennoch nicht die Art von Anbieter, die für eine UPSTREAM-Erhebung nach FISA-Abschnitt 702 in Frage kommt, wie in den Randnummern 62 und 179 des Schrems II-Urteils beschrieben.

3.1.2.3 - Die EO 12333 gibt der US-Regierung nicht die Möglichkeit, die Unterstützung des Datenimporteurs bei der Massenerhebung von Informationen anzuordnen oder zu verlangen. Der Datenimporteur wird keine Maßnahmen gemäß U.S. Executive Order 12333 ergreifen.

3.2. - Allgemeine Bestimmungen über die für den Datenimporteur geltenden Überwachungsgesetze

3.2.1. - Die Parteien garantieren, dass sie keinen Grund zu der Annahme haben, dass die Gesetze und Praktiken im Bestimmungsdrittland der personenbezogenen Kundendaten, die für die Verarbeitung personenbezogener Kundendaten durch den Datenimporteur gelten, einschließlich etwaiger Anforderungen an die Offenlegung personenbezogener Kundendaten oder Maßnahmen, die den Zugriff von Behörden zulassen, den Datenimporteur daran hindern, seine Verpflichtungen gemäß den EU 2021 SCC (soweit anwendbar) zu erfüllen.

3.2.2. - Der Datenimporteur überwacht alle rechtlichen oder politischen Entwicklungen, die dazu führen könnten, dass er seinen Verpflichtungen im Rahmen der EU 2021 SCC und dieses Anhangs nicht mehr nachkommen kann, und unterrichtet den Datenexporteur unverzüglich über alle derartigen Änderungen und Entwicklungen. Der Datenexporteur informiert den Datenexporteur nach Möglichkeit über solche Änderungen und Entwicklungen vor deren Umsetzung.

4. Verpflichtungen des Datenimporteurs im Zusammenhang mit Offenlegungsanfragen

4.1. - Erhält der Datenimporteur eine Offenlegungsanfrage, so ist er verpflichtet:

4.1.1. - den Datenexporteur unverzüglich (und nach Möglichkeit vor der Weitergabe der übermittelten personenbezogenen Kundendaten an die Behörde) über die Offenlegungsanfrage zu informieren und, soweit möglich, das Datensubjekt zu benachrichtigen, es sei denn, dies ist gesetzlich untersagt, oder, falls dies untersagt ist, den Datenexporteur zu benachrichtigen, alle rechtmäßigen Anstrengungen zu unternehmen, um das Recht zu erhalten, auf das Verbot zu verzichten, um dem Datenexporteur so bald wie möglich Informationen über die Offenlegungsanfrage zu übermitteln. Dazu gehört unter anderem, dass die anfragende Behörde über die Unvereinbarkeit der Offenlegungsanfrage mit den in den EU 2021 SCC enthaltenen Garantien und dem daraus resultierenden Pflichtkonflikt für den Datenimporteur informiert und diese Mitteilung dokumentiert wird.

4.1.2. - die Behörde, die die Offenlegungsanfrage gestellt hat, zu bitten, ihre Anfrage an den Datenexporteur weiterzuleiten, um die Durchführung der Offenlegung zu kontrollieren.

4.1.3. - alle rechtmäßigen Anstrengungen zu unternehmen, um die Offenlegungsanfrage auf der Grundlage von Rechtsmängeln nach dem Recht der ersuchenden Partei oder von Konflikten mit dem Recht der Europäischen Union oder dem geltenden Recht der EWR-Mitgliedstaaten oder anderen Datenschutzgesetzen anzufechten, und zu verlangen, dass die Behörde versucht, diese Informationen durch Zusammenarbeit mit Regierungsstellen in jeder Gerichtsbarkeit zu erhalten (z. B. durch einen alternativ etablierten Vertrag oder Mechanismus, der den Informationsaustausch zwischen Regierungen ermöglicht).

4.1.4. - einstweilige Maßnahmen zu beantragen, um die Wirkungen der Offenlegungsanfrage auszusetzen, bis ein zuständiges Gericht in der Sache entschieden hat.

4.1.5. - Die angeforderten personenbezogenen Kundendaten erst dann offenlegen, wenn dies nach den geltenden Verfahrensvorschriften erforderlich ist.


4.1.6. -bei der Beantwortung der Anfrage so viele Informationen anzugeben, wie bei einer vernünftigen Auslegung der Anfrage zulässig sind.

4.1.7. - alle Schritte zu dokumentieren, die der Datenimporteur im Zusammenhang mit der Offenlegungsanfrage unternommen hat.

4.2. - Für die Zwecke dieses Abschnitts umfassen rechtmäßige Bemühungen keine Handlungen, die nach den Gesetzen des betreffenden Landes zivil- oder strafrechtlich geahndet würden, wie z. B. die Missachtung eines Gerichts.

5. Informationen über Anfragen nach personenbezogenen Daten durch öffentliche Behörden

5.1. - Der Datenimporteur verpflichtet sich, dem Datenexporteur hinreichend detaillierte Informationen über alle Anfragen von Behörden nach personenbezogenen Daten zur Verfügung zu stellen, die der Datenimporteur über einen bestimmten Zeitraum erhalten hat (falls vorhanden), insbesondere in den Bereichen der nachrichtendienstlichen, strafverfolgenden, administrativen und regulatorischen Überwachung, die auf die übermittelten Daten anwendbar sind, sowie Informationen über die eingegangenen Anfragen, die angeforderten Daten, die anfragende Stelle sowie die Rechtsgrundlage für die Weitergabe und den Umfang, in dem der Datenimporteur die angeforderten personenbezogenen Daten weitergegeben hat. Der Datenimporteur kann die Mittel zur Bereitstellung dieser Informationen auswählen.

6. Backdoors

6.1 Der Datenimporteur bestätigt, dass:

6.1.1. - Er nicht absichtlich Backdoors oder ähnliche Programmierungen für Regierungsbehörden geschaffen hat, die verwendet werden könnten, um auf die Systeme des Datenimporteurs oder auf personenbezogene Kundendaten zuzugreifen, die den EU 2021 SCCs unterliegen.


6.1.2. - Er seine Geschäftsprozesse nicht absichtlich in einer Weise geschaffen oder geändert hat, die den staatlichen Zugriff auf personenbezogene Kundendaten oder Systeme erleichtert.

6.1.3. - Nationale Gesetze oder Regierungsrichtlinien verpflichten den Datenimporteur nicht, Backdoors zu schaffen oder zu unterhalten oder den Zugriff zu personenbezogenen Kundendaten oder Systemen zu erleichtern.

6.2. - Der Datenexporteur ist berechtigt, den Vertrag mit einer Frist von 30 Tagen schriftlich gegenüber dem Datenimporteur zu kündigen, wenn der Datenimporteur das Vorhandensein einer Backdoor oder ähnlicher Programmierungen oder manipulierter Geschäftsprozesse oder die Notwendigkeit, diese zu implementieren, nicht offenlegt oder den Datenexporteur nicht unverzüglich informiert, sobald er von deren Existenz Kenntnis erlangt.

7. Informationen über gesetzliche Verbote

7.1. - Der Datenimporteur informiert den Datenexporteur über die gesetzlichen Verbote, die dem Datenimporteur die Erteilung von Informationen nach diesem Anhang untersagen. Der Datenimporteur kann die Mittel zur Bereitstellung dieser Informationen auswählen.

8. Zusätzliche Maßnahmen zur Verhinderung des Zugriffs von Behörden auf personenbezogene Kundendaten

8.1. - Ungeachtet der Anwendung der in diesem Anhang zum Datenschutz festgelegten Sicherheitsmaßnahmen wird der Datenimporteur die folgenden technischen, organisatorischen, administrativen und physischen Maßnahmen ergreifen, um die übermittelten personenbezogenen Kundendaten zu schützen:

8.1.1. - Verschlüsselung der übertragenen personenbezogenen Kundendaten während der Übertragung mit dem Transport Layer Security (TLS) Protokoll Version 1.2 oder aktueller mit einer Mindestverschlüsselung von 128 Bit;

8.1.2. - Verschlüsselung im Ruhezustand innerhalb der vom Datenimporteur verwendeten Softwareanwendungen mit mindestens AES-256;

8.1.3. - Aktive Überwachung und Protokollierung von Netzwerk- und Datenbankaktivitäten auf potenzielle Sicherheitsereignisse, einschließlich Eindringen;

8.1.4. - Regelmäßiges Scannen und Überwachen aller nicht autorisierten Softwareanwendungen und IT-Systeme auf Schwachstellen des Datenimporteurs;

8.1.5. - Beschränkung des physischen und logischen Zugriffs auf IT-Systeme, die personenbezogene Kundendaten verarbeiten, für die offiziell befugten Personen, die nachweislich einen solchen Zugriff benötigen;

8.1.6. - Firewall-Schutz der externen Verbindungspunkte in der Netzarchitektur des Datenimporteurs;

8.1.7. - Beschleunigte Behebung bekannter vulnerabler Schwachstellen in den vom Datenimporteur verwendeten Softwareanwendungen und IT-Systemen; sowie

8.1.8. -Interne Richtlinien, die folgendes festlegen:

8.1.8.1. - ist es dem Datenimporteur gesetzlich untersagt, den Datenexporteur oder das Datensubjekt über eine Anfrage oder eine Anordnung einer Behörde in Bezug auf übermittelte personenbezogene Kundendaten zu unterrichten, so berücksichtigt der Datenimporteur die Gesetze anderer Rechtsordnungen und bemüht sich nach besten Kräften, die Aufhebung etwaiger Vertraulichkeitsanforderungen zu beantragen, damit er die zuständigen Aufsichtsbehörden unterrichten kann;

8.1.8.2. - der Datenimporteur muss ein offizielles, unterzeichnetes Dokument verlangen, das gemäß den geltenden Gesetzen der anfragenden Drittpartei ausgestellt wurde, bevor er einen Antrag auf Zugriff zu den übermittelten personenbezogenen Daten des Kunden prüft;

8.1.8.3. - der Datenimporteur prüft jede Anfrage auf ihre Rechtsgültigkeit und lehnt im Rahmen dieses Verfahrens jede Anfrage ab, die er für ungültig hält;

8.1.8.4. - wenn der Datenimporteur rechtlich verpflichtet ist, einer Anordnung nachzukommen, wird er so genau wie möglich auf die spezifische Anfrage reagieren; und

8.1.8.5. - Erhält der Datenimporteur eine Anfrage von Behörden um freiwillige Zusammenarbeit, dürfen personenbezogene Kundendaten, die im Klartext übermittelt werden, nur mit ausdrücklicher Zustimmung des Datenexporteurs an Behörden weitergegeben werden.

9. Unfähigkeit, diesen Anhang und die EU 2021 SCCs zu erfüllen

9.1. - Stellt der Datenimporteur fest, dass er nicht mehr in der Lage ist, seinen vertraglichen Verpflichtungen gemäß diesem Anhang nachzukommen, kann der Datenexporteur die Übermittlung der personenbezogenen Kundendaten unverzüglich aussetzen und/oder die Grundsatzvereinbarung unter Einhaltung einer Frist von 30 Tagen schriftlich kündigen.

9.2. - Stellt der Datenimporteur fest, dass er nicht mehr in der Lage ist, die EU 2021 SCCs oder diesen Anhang einzuhalten, gibt der Datenimporteur die personenbezogenen Kundendaten, die er im Einklang mit den EU 2021 SCCs erhalten hat, zurück oder löscht sie. Ist die Rückgabe oder Löschung der erhaltenen personenbezogenen Kundendaten nicht möglich, muss der Datenimporteur die Daten sicher verschlüsseln, ohne unbedingt die Anweisungen des Datenexporteurs abzuwarten.

9.3. - Der Datenimporteur muss dem Datenexporteur ausreichende Angaben machen, damit dieser seine Pflicht zur Aussetzung oder Beendigung der Übermittlung personenbezogener Kundendaten und/oder zur Beendigung des Vertrags mit einer Frist von 30 Tagen schriftlich mitteilen kann.


10. Kündigung

Dieser Anhang endet automatisch in Bezug auf die Verarbeitung personenbezogener Kundendaten, die unter Berufung auf die EU 2021 SCCs übermittelt werden, wenn die Europäische Kommission oder eine zuständige Aufsichtsbehörde einen anderen Übermittlungsmechanismus genehmigt, der auf die von den EU 2021 SCCs abgedeckten beschränkten internationalen Übermittlungen anwendbar wäre (und wenn ein solcher Mechanismus nur auf einige der Datenübermittlungen anwendbar ist, endet dieser Anhang nur in Bezug auf diese Übermittlungen) und der nicht die in diesem Anhang dargelegten zusätzlichen Garantien erfordert.

ANHANG 2 ZU ANLAGE 3: ASEAN MCCs

Modul 1: Vertragliche Bestimmungen für Übertragungen zwischen kontrollierenden Personen und Verarbeitern

1.Definitionen

1.1. -"AMS-Gesetz": Alle schriftlichen Gesetze eines ASEAN-Mitgliedstaates, die sich auf den Datenschutz beziehen (oder zumindest für die Übermittlung personenbezogener Daten relevant sind) und denen der Datenexporteur oder der Datenimporteur (oder beide) unterliegt.

1.2. - "Datenverletzung": Jeder Verlust oder jede unbefugte Nutzung, Vervielfältigung, Änderung, Offenlegung oder Vernichtung von bzw. jeder Zugriff auf personenbezogene Daten, die im Rahmen dieses Vertrags übermittelt werden.

1.3. - "Datenexporteur": Die Partei, die im Rahmen dieses Vertrags personenbezogene Daten an den Datenimporteur übermittelt.

1.4. -"Datenimporteur": Die Partei, die personenbezogene Daten vom Datenimporteur zur Verarbeitung im Rahmen dieses Vertrags erhält.

1.5. - "Unterverarbeiter von Daten": Jede natürliche oder juristische Person, die vom Datenimporteur beauftragt werden kann, den Datenexporteur bei der Verarbeitung personenbezogener Daten im Namen des Datenexporteurs zu unterstützen.

1.6. - "Durchsetzungsbehörde": Jede öffentliche Behörde, die durch das anwendbare AMS-Gesetz ermächtigt ist, das anwendbare AMS-Gesetz umzusetzen und durchzusetzen.

1.7. - "Personenbezogene Daten": Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("Datensubjekt") beziehen und im Rahmen dieses Vertrags übermittelt werden.

1.8. - "Verarbeitung": Jeder Vorgang oder jede Reihe von Vorgängen, die mit personenbezogenen Daten oder einer Reihe von personenbezogenen Daten durchgeführt werden, unabhängig davon, ob dies mit automatisierten Mitteln geschieht oder nicht, einschließlich beispielsweise der Erhebung, Verwendung und Weitergabe personenbezogener Daten.

2. Pflichten des Datenexporteurs

Der Datenexporteur garantiert, sichert zu und verpflichtet sich, dass:

2.1. - Die personenbezogenen Daten im Rahmen dieses Vertrags in Übereinstimmung mit dem geltenden AMS-Gesetz erhoben, verwendet, offengelegt und an den Datenimporteur übermittelt wurden. In Ermangelung eines solchen Gesetzes wurde das Datensubjekt, soweit dies vernünftig und praktikabel ist, über den Zweck / die Zwecke der Erhebung, Verwendung, Offenlegung und / oder Übermittlung ihrer personenbezogenen Daten informiert und hat ihre Zustimmung dazu erteilt.

2.2. - Alle personenbezogenen Daten, die im Rahmen dieses Vertrags übermittelt wurden, sind in dem Maße richtig und vollständig, wie es für die vom Datenexporteur angegebenen Zwecke erforderlich ist, um die Bestimmungen von Klausel 2.1 zu erfüllen.

2.3. - Der Datenexporteur trifft angemessene technische und betriebliche Maßnahmen, um die Sicherheit der personenbezogenen Daten während der Übermittlung an den Datenimporteur zu gewährleisten.

2.4. - Der Datenexporteur antwortet auf Anfragen von Datensubjekten oder Vollstreckungsbehörden bezüglich der Verarbeitung personenbezogener Daten durch den Datenimporteur, wie es das anwendbare AMS-Gesetz verlangt, einschließlich Anfragen auf Zugriff oder Berichtigung personenbezogener Daten, es sei denn, die Parteien haben schriftlich vereinbart, dass der Datenimporteur darauf antwortet, und eine solche Delegation ist nach dem anwendbaren AMS-Recht zulässig. Die Beantwortung solcher Anfragen hat innerhalb eines angemessenen Zeitrahmens oder innerhalb des Zeitrahmens und in der Art und Weise zu erfolgen, wie dies gegebenenfalls nach dem geltenden AMS-Gesetz vorgeschrieben ist.

3. Pflichten des Datenimporteurs

Der Datenimporteur garantiert, sichert zu und verpflichtet sich, dass:

3.1. - Der Datenimporteur darf die personenbezogenen Daten nur gemäß den Anweisungen des Datenexporteurs und für die in Anlage 1 des Anhangs zum Datenschutz beschriebenen Zwecke verarbeiten.

3.2. - Der Datenimporteur darf die personenbezogenen Daten, die er vom Datenexporteur erhält, nicht an eine andere Person, eine Vollstreckungsbehörde oder eine juristische Person, auch nicht an Unterverarbeiter von Daten, weitergeben oder übermitteln, es sei denn, er hat den Datenexporteur schriftlich von einer solchen Weitergabe oder Übermittlung in Kenntnis gesetzt und dem Datenexporteur in angemessener Weise Gelegenheit gegeben, dem zu widersprechen.

3.3. - Der Datenimporteur erklärt sich damit einverstanden, dass der Datenimporteur vor jeder Offenlegung oder Übermittlung personenbezogener Daten an Drittparteien, einschließlich Unterverarbeitern, sicherstellt, dass die Drittpartei den Verpflichtungen des Datenimporteurs gegenüber dem Datenexporteur unterliegt und an diese gebunden ist.

3.4. - Der Datenimporteur teilt dem Datenexporteur unverzüglich alle Anfragen von Datensubjekten in Bezug auf die vom Datenexporteur übermittelten personenbezogenen Daten mit und leitet sie an ihn weiter, einschließlich Anfragen auf Zugriff oder Berichtigung der personenbezogenen Daten.

3.5. - Nach Beendigung dieses Vertrages oder nach Abschluss der im Rahmen dieses Vertrages erforderlichen Verarbeitung, gibt der Datenimporteur nach Wahl des Datenexporteurs entweder die gemäß diesem Vertrag in seinem Besitz befindlichen personenbezogenen Daten an den Datenexporteur zurück oder stellt die Aufbewahrung dieser personenbezogenen Daten in der vom Datenexporteur genehmigten Weise ein. Der Datenimporteur erklärt sich bereit, dies dem Datenexporteur schriftlich zu bestätigen, sobald Maßnahmen ergriffen wurden, um die Aufbewahrung dieser personenbezogenen Daten einzustellen.

3.6. - Der Datenimporteur ergreift angemessene und geeignete technische, administrative, betriebliche und physische Maßnahmen, die mit den geltenden AMS-Gesetzen im Einklang stehen, um die Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten zu schützen, insbesondere gegen das Risiko von Datenverletzungen.

3.7. - Stellt der Datenimporteur fest, dass eine Verletzung des Datenschutzes vorliegt, die personenbezogene Daten in seinem Besitz oder unter seiner Kontrolle oder im Besitz oder unter der Kontrolle eines Importeurs einer Weitergabe oder Übermittlung personenbezogener Daten betrifft, so benachrichtigt er den Datenexporteur ohne unangemessene Verzögerung.

3.8. - Der Datenimporteur benachrichtigt und konsultiert den Datenexporteur unverzüglich im Hinblick auf jede Untersuchung bezüglich der Erhebung, Verwendung, Weitergabe, Offenlegung, Sicherheit oder Entsorgung der im Rahmen dieses Vertrags übermittelten personenbezogenen Daten, sofern dies nicht gesetzlich verboten ist.


3.9. - Der Datenimporteur unterstützt den Datenexporteur auf Anfrage unverzüglich im Sinne von Klausel 2.4 und, sofern der Datenimporteur schriftlich zugestimmt hat, reagiert er auf Anfragen von Datensubjekten oder Vollzugsbehörden bezüglich seiner Verarbeitung personenbezogener Daten, wenn er vom Datenexporteur darüber informiert wird.

KOMMERZIELLE BESTANDTEILE

4. Rechtswahl; Streitfälle:

4.1. - Dieser Vertrag ist nach dem Recht der Republik Singapur auszulegen.

4.2. - Im Falle eines Konflikts oder einer Unstimmigkeit zwischen Klauseln in diesem Vertrag und dem AMS-Gesetz ist das anwendbare AMS-Gesetz maßgebend.

5. Aussetzung von Übertragungen

5.1. - Verstößt der Datenimporteur gegen seine Verpflichtungen aus diesem Vertrag oder gegen geltendes AMS-Recht, so kann der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur vorübergehend aussetzen, bis der Verstoß behoben oder die Verarbeitung im Rahmen dieses Vertrags beendet ist.

6. Vertragskündigung


6.1. - Für den Fall, dass:

6.1.1. - die Übermittlung personenbezogener Daten an den Datenimporteur vom Datenexporteur vorübergehend für länger als 60 Tage gemäß Klausel 5.1 temporär ausgesetzt wurde;

6.1.2. - die Einhaltung dieses Vertrags durch den Datenimporteur einen Verstoß gegen seine Verpflichtungen nach dem Recht des Landes, in dem er die personenbezogenen Daten verarbeitet, darstellen würde;

6.1.3. - der Datenimporteur in erheblichem Maße gegen seine Verpflichtungen aus diesem Vertrag verstößt;

6.1.4. - der Datenimporteur seinen Betrieb freiwillig oder unfreiwillig einstellt, seine Absicht bekannt gibt, den Betrieb einzustellen, oder alle oder im Wesentlichen alle seine Vermögenswerte auf ein nicht verbundenes Unternehmen überträgt,

so ist der Datenexporteur unbeschadet aller anderen Rechte, die er gegenüber dem Datenimporteur hat, berechtigt, diesen Vertrag zu kündigen. In den unter (6.1.1) oder (6.1.2) genannten Fällen kann auch der Datenimporteur diesen Vertrag kündigen.

6.2. -Für den Fall, dass:

6.2.1. - die Einhaltung dieses Vertrages durch den Datenexporteur einen Verstoß gegen seine gesetzlichen Verpflichtungen darstellen würde;

6.2.2. - der Datenexporteur in erheblichem Maße gegen seine Verpflichtungen aus diesem Vertrag verstößt;

6.2.3. - der Datenexporteur seinen Betrieb freiwillig oder unfreiwillig einstellt, seine Absicht bekannt gibt, den Betrieb einzustellen, oder sein gesamtes Vermögen oder einen wesentlichen Teil davon an ein nicht verbundenes Unternehmen überträgt,

so ist der Datenimporteur unbeschadet aller anderen Rechte, die er gegenüber dem Datenexporteur hat, berechtigt, diesen Vertrag zu kündigen. In den unter (6.2.1) genannten Fällen kann auch der Datenexporteur diesen Vertrag kündigen.

6.3. - Die Parteien sind sich darüber einig, dass die Beendigung dieses Vertrags zu jedem Zeitpunkt, unter allen Umständen und aus welchem Grund auch immer, sie nicht von den Verpflichtungen dieses Vertrags hinsichtlich der Rückgabe oder Löschung der übermittelten personenbezogenen Daten entbindet.

7. Abweichung

7.1. - Die Parteien können diesen Vertrag durch schriftliche Vereinbarung anpassen oder ändern, wenn dies mit den Grundsätzen des ASEAN-Rahmens für den Schutz personenbezogener Daten vereinbar ist oder wenn dies nach dem geltenden AMS-Recht erforderlich ist. Dies schließt nicht aus, dass die Vertragsparteien im Wege einer schriftlichen Vereinbarung Klauseln hinzufügen oder ändern, die ihren kommerziellen oder geschäftlichen Vereinbarungen entsprechen.


8. Beschreibung zur Übermittlung


8.1. - Die Einzelheiten der Übermittlung und die betroffenen personenbezogenen Daten sind in Anhang 1 des Anhangs zum Datenschutz aufgeführt.


ZUSÄTZLICHE BEDINGUNGEN FÜR EINZELNE RECHTSMITTEL

Dieser Abschnitt enthält die zusätzlichen Bestimmungen und ist als Teil des beigefügten Vertrags zwischen den Parteien zu betrachten. Wörter und Ausdrücke, die in diesen zusätzlichen Bedingungen eine bestimmte Bedeutung haben, haben die gleiche Bedeutung im Vertrag. Im Falle von Widersprüchen zwischen diesen zusätzlichen Bedingungen und dem Vertrag haben diese zusätzlichen Bedingungen Vorrang. 


Einzelne Rechtsmittel:

1.1. - Die Vertragsparteien erkennen an, dass das Recht der Republik Singapur den Datensubjekten das Recht einräumt, die Datenschutzgarantien und -verpflichtungen dieses Vertrags als Drittbegünstigte durchzusetzen. Die Parteien vereinbaren, dass dieser Vertrag die Rechte der betroffenen Personen nach dem Recht der Republik Singapur wahrt.

1.2. - Datensubjekte können gegen den Datenexporteur (Klauseln 2.1 und 2.4) als Drittbegünstigte vorgehen.

1.3. - Datensubjekte können gegen den Datenimporteur vorgehen (Klausel 3.4).

1.4. - Datensubjekte können gegen Unterverarbeiter vorgehen (Klauseln2.1, 2.4 und 3.4), wenn sowohl der Datenexporteur als auch der Datenimporteur ihren Betrieb eingestellt haben, rechtlich nicht mehr bestehen oder ihr gesamtes oder im Wesentlichen gesamtes Vermögen auf eine nicht verbundene Einheit übertragen haben, so dass die nicht verbundene Einheit die rechtlichen Verpflichtungen des Datenexporteurs vertraglich oder von Rechts wegen übernommen hat.

1.5. - Soweit dies nach dem anwendbaren AMS-Recht zulässig ist, können die betroffenen Personen für Verstöße gegen diesen Vertrag Schadenersatz entweder vom Datenimporteur und / oder vom Datenexporteur verlangen (wie im anwendbaren AMS-Recht vorgeschrieben oder, wenn dieses Recht keine Bestimmungen über die Aufteilung des Schadenersatzes enthält, zu gleichen Teilen vom Datenimporteur und vom Datenexporteur). 


1.6. - Die Parteien haben keine Einwände dagegen, dass ein Datensubjekt durch eine andere Stelle vertreten wird, wenn das Datensubjekt dies ausdrücklich wünscht und eine solche Vertretung nach geltendem Recht zulässig ist.