Datenverarbeitungsvereinbarung

1.1 Sofern hierin nicht anders definiert, haben die in dieser Vereinbarung verwendeten großgeschriebenen Begriffe und Ausdrücke die folgende Bedeutung:

• „Vereinbarung“ bezeichnet diese Datenverarbeitungsvereinbarung und alle ihre Abschnitte.
• „Personenbezogene Daten des Unternehmens“ bezeichnet alle personenbezogenen Daten, die von einem beauftragten Auftragsverarbeiter im Namen des Unternehmens gemäß oder im Zusammenhang mit der Hauptvereinbarung verarbeitet werden.
• „Auftragsverarbeiter“ bezeichnet einen Unterauftragsverarbeiter.
• „Datenschutzgesetze“ bezeichnet die EU-Datenschutzgesetze und, soweit anwendbar, die Datenschutzgesetze anderer Länder.
• 'EEA' bezeichnet den Europäischen Wirtschaftsraum.
• „EU-Datenschutzgesetze“ bezeichnet die EU-Richtlinie 95/46/EG, wie sie in die innerstaatliche Gesetzgebung jedes Mitgliedstaats umgesetzt und von Zeit zu Zeit geändert, ersetzt oder ersetzt wird, einschließlich durch GDPR und Gesetze, die GDPR umsetzen oder ergänzen.
• 'GDPR' bedeutet EU-Datenschutz-Grundverordnung 2016/679.
• 'Datenübertragung' bezeichnet eine Übertragung personenbezogener Daten des Unternehmens vom Unternehmen an einen Vertragsverarbeiter oder eine Weiterübertragung personenbezogener Daten des Unternehmens von einem Vertragsverarbeiter an einen Unterauftragsverarbeiter oder zwischen zwei Niederlassungen eines Vertragsverarbeiters, jeweils in den Fällen, in denen eine solche Übertragung durch Datenschutzgesetze verboten wäre.
• 'Dienstleistungen' bezeichnet die Dienstleistungen, die das Unternehmen bereitstellt.
• „Unterauftragsverarbeiter“ bezeichnet jede Person, die vom Auftragsverarbeiter oder im Namen des Auftragsverarbeiters mit der Verarbeitung personenbezogener Daten im Namen des Unternehmens im Zusammenhang mit der Vereinbarung beauftragt wurde.

1.2 Die Begriffe „Kommission“, „Verantwortlicher“, „betroffene Person“, „Mitgliedstaat“, „personenbezogene Daten“, „Verletzung des Schutzes personenbezogener Daten“, „Verarbeitung“ und „Aufsichtsbehörde“ haben die gleiche Bedeutung wie im GDPR und ihre verwandten Begriffe sind entsprechend auszulegen.

2.1 Der Auftragsverarbeiter muss:

• Bei der Verarbeitung personenbezogener Unternehmensdaten alle geltenden Datenschutzgesetze einhalten.
• Personenbezogene Daten des Unternehmens nicht anders als auf die dokumentierten Anweisungen des jeweiligen Unternehmens verarbeiten.

2.2 Das Unternehmen weist den Auftragsverarbeiter an, personenbezogene Daten des Unternehmens zu verarbeiten.

3.1 Der Auftragsverarbeiter ergreift angemessene Schritte, um die Zuverlässigkeit aller Mitarbeiter, Vertreter oder Auftragnehmer eines beauftragten Auftragsverarbeiters zu gewährleisten, die möglicherweise Zugriff auf die personenbezogenen Daten des Unternehmens haben. Dabei stellt er in jedem Fall sicher, dass der Zugriff strikt auf diejenigen Personen beschränkt ist, die die relevanten personenbezogenen Daten des Unternehmens kennen bzw. darauf zugreifen müssen, soweit dies für die Hauptvereinbarung unbedingt erforderlich ist, und um die geltenden Gesetze im Zusammenhang mit den Pflichten dieser Person gegenüber dem beauftragten Auftragsverarbeiter einzuhalten und sicherzustellen, dass alle diese Personen Vertraulichkeitsverpflichtungen oder beruflichen oder gesetzlichen Vertraulichkeitsverpflichtungen unterliegen.

4.1 Unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie der unterschiedlichen Wahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen muss der Auftragsverarbeiter in Bezug auf die personenbezogenen Daten des Unternehmens geeignete technische und organisatorische Maßnahmen ergreifen, um ein diesem Risiko angemessenes Sicherheitsniveau zu gewährleisten, einschließlich gegebenenfalls der in Artikel 32 Absatz 1 des GDPR.

genannten Maßnahmen

4.2 Bei der Beurteilung des angemessenen Sicherheitsniveaus berücksichtigt der Auftragsverarbeiter insbesondere die Risiken, die durch die Verarbeitung entstehen, insbesondere durch eine Verletzung des Schutzes personenbezogener Daten.

5.1 Der Auftragsverarbeiter darf keinen Unterauftragsverarbeiter ernennen (oder ihm personenbezogene Daten des Unternehmens offenlegen), sofern dies nicht vom Unternehmen verlangt oder genehmigt wird.

6.1 Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter das Unternehmen durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen, soweit dies möglich ist, um die Verpflichtungen des Unternehmens zu erfüllen, die nach vernünftigem Ermessen des Unternehmens auf Anfragen zur Ausübung der Rechte betroffener Personen gemäß den Datenschutzgesetzen reagieren müssen.

6.2 Der Auftragsverarbeiter muss:

• Benachrichtigen Sie das Unternehmen umgehend, wenn es eine Anfrage einer betroffenen Person gemäß einem Datenschutzgesetz in Bezug auf personenbezogene Daten des Unternehmens erhält.
• Stellen Sie sicher, dass auf diese Anfrage nicht reagiert wird, es sei denn, dies geschieht auf dokumentierte Anweisung des Unternehmens oder gemäß den geltenden Gesetzen, denen der Auftragsverarbeiter unterliegt. In diesem Fall muss der Auftragsverarbeiter das Unternehmen im gesetzlich zulässigen Umfang über diese rechtliche Anforderung informieren, bevor der beauftragte Auftragsverarbeiter auf die Anfrage antwortet.

7.1 Der Auftragsverarbeiter muss das Unternehmen unverzüglich benachrichtigen, wenn ihm ein Verstoß gegen den Schutz personenbezogener Daten bekannt wird, der sich auf personenbezogene Daten des Unternehmens auswirkt, und dem Unternehmen ausreichende Informationen zur Verfügung stellen, damit das Unternehmen seinen Pflichten zur Meldung oder Information betroffener Personen über den Verstoß gegen den Schutz personenbezogener Daten nach den Datenschutzgesetzen nachkommen kann.

7.2 Der Auftragsverarbeiter muss mit dem Unternehmen zusammenarbeiten und gemäß den Anweisungen des Unternehmens angemessene kommerzielle Schritte unternehmen, um bei der Untersuchung, Eindämmung und Behebung jedes solchen Verstoßes gegen den Schutz personenbezogener Daten zu helfen.

8.1 Der Auftragsverarbeiter leistet dem Unternehmen angemessene Unterstützung bei allen Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Aufsichtsbehörden oder anderen zuständigen Datenschutzbehörden, die das Unternehmen vernünftigerweise als gemäß Artikel 35 oder 36 des GDPR oder gleichwertiger Bestimmungen eines anderen Datenschutzgesetzes erforderlich erachtet.

9.1 Vorbehaltlich dieses Abschnitts muss der Auftragsverarbeiter unverzüglich und in jedem Fall innerhalb von 10 Werktagen nach dem Datum der Einstellung aller Dienste, die die Verarbeitung personenbezogener Daten des Unternehmens beinhalten (das „Einstellungsdatum“), alle Kopien der personenbezogenen Daten des Unternehmens löschen und die Löschung aller Kopien der personenbezogenen Daten des Unternehmens veranlassen.

10.1 Vorbehaltlich dieses Abschnitts stellt der Auftragsverarbeiter dem Unternehmen auf Anfrage alle Informationen zur Verfügung, die zum Nachweis der Einhaltung dieser Vereinbarung erforderlich sind, und ermöglicht Prüfungen, einschließlich Inspektionen, durch das Unternehmen oder einen vom Unternehmen beauftragten Prüfer in Bezug auf die Verarbeitung der personenbezogenen Daten des Unternehmens durch die beauftragten Auftragsverarbeiter und trägt dazu bei.

10.2 Informations- und Prüfungsrechte des Unternehmens ergeben sich aus diesem Abschnitt nur insoweit, als die Vereinbarung nicht anderweitig diese Rechte gewährt, die den relevanten Anforderungen der Datenschutzgesetze entsprechen.

11.1 Der Auftragsverarbeiter darf ohne vorherige schriftliche Zustimmung des Unternehmens keine personenbezogenen Daten des Unternehmens in Länder außerhalb der EU und/oder des Europäischen Wirtschaftsraums (EEA) übertragen oder deren Übermittlung genehmigen. Wenn personenbezogene Daten, die im Rahmen dieser Vereinbarung verarbeitet werden, von einem Land innerhalb des EEA in ein Land außerhalb des EEA übertragen werden, stellen die Parteien sicher, dass die personenbezogenen Daten angemessen geschützt werden. Um dies zu erreichen, greifen die Parteien, sofern nichts anderes vereinbart wurde, auf von der EU genehmigte Standardvertragsklauseln für die Übermittlung personenbezogener Daten zurück.

12.1 Vertraulichkeit. Jede Partei muss diese Vereinbarung und die Informationen, die sie über die andere Partei und ihr Geschäft im Zusammenhang mit dieser Vereinbarung erhält („vertrauliche Informationen“), vertraulich behandeln und darf diese vertraulichen Informationen nicht ohne vorherige schriftliche Zustimmung der anderen Partei verwenden oder offenlegen, außer in dem Umfang, in dem:

• Die Offenlegung ist gesetzlich vorgeschrieben.
• Die relevanten Informationen sind bereits öffentlich zugänglich.

12.2 Mitteilungen. Alle Mitteilungen und Mitteilungen im Rahmen dieser Vereinbarung müssen schriftlich erfolgen und werden persönlich zugestellt, per Post oder per E-Mail an die in dieser Vereinbarung genannten Kontaktdaten oder an andere von den Parteien von Zeit zu Zeit mitgeteilte Kontaktdaten gesendet.

13.1 Diese Vereinbarung unterliegt den Gesetzen Frankreichs.

13.2 Alle Streitigkeiten im Zusammenhang mit dieser Vereinbarung, die die Parteien nicht gütlich beilegen können, unterliegen der ausschließlichen Zuständigkeit der Gerichte Frankreichs.

Durch die Nutzung der Dienste von InsertChat stimmen Sie („das Unternehmen“) den in dieser Datenverarbeitungsvereinbarung dargelegten Bedingungen, den Nutzungsbedingungen von InsertChat und der Datenschutzrichtlinie von InsertChat zu. Diese Vereinbarung gilt automatisch für alle Benutzer der Dienste von InsertChat und erfordert keine physische Unterschrift.