Richtlinie zum Expertenprofil

Expertinnen und Experten aus den Bereichen Wohnen, Bauen und Renovieren (im Folgenden: Experten) können für sich ein Expertenprofil anlegen. Zur Förderung ihres Geschäfts können Experten die Funktionen unserer Plattform gemäß unseren Nutzungsbedingungen (einschließlich der Nutzungsrichtlinie) und dieser Richtlinie zum Expertenprofil nutzen. Weitere Informationen finden Sie hier.

Von Experten wird bei Houzz erwartet, dass sie andere mit Respekt behandeln, auf aktuelle und potenzielle Kunden eingehen und ihre Geschäfte in Übereinstimmung mit den geltenden Gesetzen und Bestimmungen führen.

Mit der Erstellung eines Expertenprofils erkennen Sie die folgenden Bestimmungen von Houzz Inc. an:

  1. Berechtigte Person. Sie sind Inhaber/in oder zur Erstellung eines Expertenprofils für den jeweiligen Experten berechtigte/r Mitarbeiter/in.

  2. Zutreffende Informationen und Angaben.

    1. Ihre Informationen und Angaben zu Ihrem Unternehmen sind zutreffend, richtig und vollständig sowie stets aktuell.
    2. Für jede Niederlassung Ihres Unternehmens erstellen Sie nur ein Expertenprofil.
    3. Die von Ihnen gewählte Unternehmenskategorie beschreibt genau Ihre Produkte und Dienstleistungen.
    4. Für nicht von Houzz unterstützte Unternehmenskategorien erstellte Expertenprofile werden ohne Vorwarnung gelöscht.
  3. Angaben zu Genehmigungen. Für den Fall, dass Ihre Tätigkeit oder Ihr Geschäft genehmigungspflichtig ist, stimmen Sie zu, Houzz alle zur Online-Listung Ihres Geschäfts nötigen Angaben zur Genehmigung online zur Verfügung zu stellen. Außerdem versichern Sie, dass alle von Ihnen übermittelten Angaben zu Ihrer Genehmigung zutreffend und aktuell sind.

  4. Projekte. Sie versichern, dass alle auf Ihrem Expertenprofil veröffentlichten Projekte von Ihnen selbst sind und Sie keine Werke anderer als Ihre eigenen ausgeben.

  5. Mitgliedschaften. Sie können von Houzz für die Angabe Ihrer Mitgliedschaft in bestimmten geschäftsrelevanten Verbänden freigeschaltet werden. Sie verpflichten sich, nur solche Verbände zur Veröffentlichung auf Ihrem Expertenprofil anzugeben, bei denen Sie aktuell Mitglied sind und sie sofort zu entfernen, wenn die Mitgliedschaft nicht mehr besteht. Sie erlauben Houzz, in bestimmten Fällen, wie etwa der Bestätigung Ihrer Mitgliedschaft bei einer der oben genannten Verbände, Ihre Mitgliedschaft bei bestimmten Partnern dieser Verbände auf Ihrem Expertenprofil und in Ihrem Namen zu veröffentlichen.

  6. Keine garantierte Platzierung. Eine Platzierung Ihres Expertenprofils in den Houzz Suchergebnissen wird nicht garantiert; sie hängt von einer Reihe von Faktoren ab, wie etwa der Beliebtheit und der Anzahl von Fotos, Bewertungen und Nutzerinteraktionen. Houzz garantiert eine bestimmte Platzierung auf der Houzz-Website einzig im Rahmen von kostenpflichtigen Marketingpaketen. Weitere Informationen finden Sie hier. Weitere Informationen zu den Hauptparametern für die Bestimmung der Platzierung oder Rangfolge von Unternehmensprofilen auf der Houzz-Plattform finden Sie hier.

  7. Bewertungen. Kundinnen und Kunden können Ihr Unternehmen auf Ihrem Expertenprofil bewerten. Sie stimmen zu, dass Houzz negative Bewertungen nur dann entfernt, wenn sie gegen unsere Richtlinie für Bewertungen verstoßen oder wenn dies rechtlich erforderlich ist, wobei es unerheblich ist, ob ein Experte zahlender Kunde ist oder nicht. Sollten Sie neue oder zusätzliche Expertenprofile für dasselbe Unternehmen erstellen, behalten wir uns das Recht vor, Ihre älteren Bewertungen mit Ihrem neuen bzw. zusätzlichen Expertenprofil zu verknüpfen.

  8. Entfernung; Beendigung. Wenn Sie Ihr Expertenprofil deaktivieren oder löschen, können Ihre Posts, Bewertungen, Fotos und Kommentare entsprechend unserer Nutzungsvereinbarung und dem jeweils anwendbaren Recht auf der Plattform auch nach der Deaktivierung oder Löschung verbleiben. Houzz überwacht nicht aktiv die Aktivitäten unserer Experten, weder auf noch außerhalb unserer Plattform. Houzz behält sich jedoch das Recht vor, Ihr Expertenprofil zu entfernen, Ihr Konto zu deaktivieren, einige oder alle Vereinbarungen, die Sie mit Houzz haben, zu kündigen oder einige oder alle Dienstleistungen, die Houzz Ihnen zur Verfügung stellt, zu beenden, wenn wir glauben, dass Sie sich kriminell verhalten haben (einschließlich wenn Sie eines Verbrechens angeklagt wurden); wenn Sie ein anderes illegales oder betrügerisches Verhalten im Zusammenhang mit Ihrem Geschäft an den Tag gelegt haben (einschließlich, wenn Sie nicht ordnungsgemäß lizenziert sind); wenn Sie auf unserer Plattform oder gegenüber Houzz oder seinen Mitarbeitern missbräuchliches, belästigendes oder bedrohliches Verhalten an den Tag gelegt haben; oder wenn Sie anderweitig gegen unsere Nutzungsbedingungen, die Nutzungsrichtlinie oder diese Richtlinie zum Expertenprofil verstoßen. Houzz bewahrt eine Kopie der mit Ihrem Unternehmen verbundenen Informationen auf der Houzz-Plattform für 90 Tage nach der Deaktivierung oder Löschung Ihres Expertenprofils auf. Sofern Sie nicht die dauerhafte Löschung der Informationen, die mit Ihrem Geschäft auf der Houzz-Plattform verbunden sind, beantragen, kann Houzz diese Informationen nach eigenem Ermessen für einen längeren Zeitraum aufbewahren.

  9. Persönliche Daten. Houzz behandelt die persönlichen Daten der Experten gemäß der Datenschutzrichtlinie, die hiermit Bestandteil dieser Richtlinie ist.

    1. In dem Ausmaß, in dem Houzz und/oder seine Partner personenbezogene Daten (direkt oder durch Weiterübermittlung), die geschützt sind durch (A) die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung (DSGVO)); (B) die EU-ePrivacy-Richtlinie (Richtlinie 2002/58/EG); und (C) weitere nationale Datenschutzrichtlinien gemäß (A) (gemeinsam bezeichnet als EU-Datenschutzrecht), und/oder Datenschutzrichtlinien der Schweiz oder des Vereinigten Königreichs, an ein anderes Land oder einen Empfänger übertragen, die laut der Europäischen Kommission keinen ausreichenden Schutz personenbezogener Daten gewährleisten können (wie im EU-Datenschutzrecht beschrieben), werden Houzz und/oder seine Partner diese Daten gemäß den in Anlage A aufgeführten Standardvertragsklauseln für Datenverantwortliche (gemäß der Definition des Begriffs im EU-Datenschutzrecht) übertragen. Sie stimmen zu, dass Houzz und/oder seine Partner (wie jeweils zutreffend) als Datenimporteur agieren und Sie (in Ihrem Auftrag und dem Ihrer Partner) als Datenexporteur agieren (ungeachtet, ob Sie sich außerhalb des Europäischen Wirtschaftsraums, der Schweiz und/oder des Vereinigten Königreichs aufhalten).
    2. Sollte Houzz erfahren, dass eine Regierungsbehörde (einschließlich Strafverfolgungsbehörden) auf Zugriff auf Kopie der freiwillig oder verpflichtend erfassten personenbezogenen Daten des Experten oder der Nutzerdaten (“personenbezogene Daten des Experten”) anfordert, wird Houzz, sofern dies nicht gesetzlich verboten ist oder eine anderslautende gesetzliche Verpflichtung vorliegt, (A) den Experten umgehend informieren, (B) die betroffene Regierungsbehörde darüber informieren, dass der Experte es Houzz nicht gestattet hat, die personenbezogenen Daten des Experten an die Regierungsbehörde weiterzugeben, (C) die betroffene Regierungsbehörde darüber informieren, dass alle Anforderungen und Anfragen bezüglich des Zugriffs auf die personenbezogenen Daten des Experten schriftlich an den Experten zu richten sind, und (D) Houzz wird keinen Zugang zu den personenbezogenen Daten des Experten gewähren, sofern und solange nicht die Autorisierung durch den Experten vorliegt. Falls es Houzz gesetzlich verboten ist, (A) bis (D) dieses Abschnitts (ii) zu erfüllen oder falls eine entsprechende gesetzliche Verpflichtung vorliegt, wird Houzz angemessene und rechtmäßige Anstrengungen unternehmen, um ein solches Verbot bzw. eine solche Verpflichtung anzufechten (der Experte erkennt allerdings an, das seine solche Anfechtung aufgrund der Art, des Ausmaßes, des Kontexts und des Zwecks des beabsichtigten Zugriffs durch die Regierungsbehörde nicht immer angemessen oder möglich sein kann). Sofern Houzz das Verbot bzw. die Verpflichtung erfolgreich anfechtet, treten (A) bis (D) dieses Abschnitts (ii) in Kraft. In jedem Fall wird Houzz bei einer Offenlegung gegenüber einer Regierungsbehörde (entweder mit der Genehmigung des Experten oder aufgrund einer gesetzlichen Verpflichtung) die personenbezogenen Daten des Experten nur in dem Ausmaß offenlegen, in dem Houzz gesetzlich dazu verpflichtet ist und wird dabei das entsprechende rechtmäßige Verfahren achten. Dieser Abschnitt (ii) gilt nicht, wenn Houzz aufgrund der Art, des Ausmaßes, des Kontexts und des Zwecks des beabsichtigten Zugriffs durch die Regierungsbehörde die begründete und gutgläubige Vermutung hat, das sein umgehender Zugriff erforderlich ist, um eine unmittelbare Gefahr oder ernsthafte Schäden abzuwehren. In diesem Fall wird Houzz den Experten möglichst bald nach dem Zugriff informieren und dem Experten alle Informationen über den Zugriff zukommen lassen, es sei denn dies ist gesetzlich verboten.
    3. Soweit Sie persönliche Informationen über unsere Plattform erhalten (im Folgenden: Nutzerdaten), dürfen Sie diese Nutzerdaten einzig für den Zweck nutzen, zu dem sie übermittelt wurden, also dafür, der betreffenden Person zeitnah zu antworten (einschließlich, um Informationen zu Ihren Dienstleistungen und um die angeforderte Dienstleistung durchzuführen) oder zu den sonstigen, von der Person genehmigten Zwecken. Sie haben die Vertraulichkeit der Nutzerdaten vor der nicht genehmigten oder rechtswidrigen Verarbeitung oder Nutzung und vor dem zufälligen Verlust, der Zerstörung, der Änderung, der Weitergabe oder dem Zugang zu diesen Nutzerdaten zu schützen und diesbezüglich angemessene Sicherheitsvorkehrungen zu treffen. Sie dürfen solche Nutzerdaten einzig insoweit nutzen, wie es Ihnen von der betreffenden Person, um deren persönliche Informationen es geht, erlaubt wurde; sofern Ihnen die Befolgung dieser Bestimmung durch Ihre Auftragnehmer obliegt, gilt dies auch für die diesen gegenüber erteilte Erlaubnis. Unbeschadet des Vorstehenden, ist es Ihnen nicht gestattet, Nutzerdaten zu verkaufen, sei es für Geld oder sonstige geldwerte Leistungen. Sie stellen sicher, dass Ihre Nutzung von Nutzerdaten (einschließlich Ihrer Kommunikation mit Houzz-Nutzern per E-Mail, Telefon oder anderweitig) zu jeder Zeit mit geltendem Recht übereinstimmt (einschließlich bezüglich der Zeit, in der Sie Nutzerdaten speichern) und dass Sie Anfragen von Personen, die Ihre Rechte nach geltendem Recht ausüben möchten, nachkommen (z. B. um die Person nicht mehr zu kontaktieren, bezüglich der Löschung von oder dem Zugriff auf Daten). Wenn eine Person, zu der Sie keine Geschäftsbeziehung pflegen, nicht bejahend oder anderweitig empfänglich auf Ihre Kommunikation reagiert, stimmen Sie zu, dass Sie nach einer angemessenen Anzahl von Kontaktversuchen, keinen Kontakt mehr zu der Person über die Plattform aufnehmen. Wenn Sie eine Anfrage eines Eigenheimbesitzers ablehnen oder nicht daran interessiert sind, behält sich Houzz das Recht vor, die Benutzerdaten dieses Eigenheimbesitzers von Ihrem Konto zu löschen. Sie verstehen und stimmen zu, dass Sie und nicht Houzz der Absender und verantwortlich für alle Kommunikation über die Plattform sind. Die Plattform ist nicht für die Übertragung von Zahlungskarteninformationen und anderen sensiblen Informationen vorgesehen, sofern die Zahlungsfunktionen der Plattform nicht ausdrücklich dazu auffordern; Houzz ist jedoch nicht dazu verpflichtet, die Übertragung solcher Informationen über die Plattform zu überwachen oder einzuschränken. Wenn Sie eine Datenschutzanfrage oder -beschwerde von einer Person, einer Aufsichtsbehörde oder einer anderen Partei zur Nutzung von Nutzerdaten erhalten, informieren Sie Houzz unverzüglich über diese Anfrage oder Beschwerde und kooperieren angemessen, um auf diese Anfrage oder Beschwerde zu antworten. Houzz beschränkt den Zugang zu den Informationen, die mit Ihrem Unternehmen auf der Houzz-Plattform verbunden sind, auf einer Need-to-know-Basis (durch Richtlinien oder technische Kontrollen) für die in der Houzz-Datenschutzrichtlinie genannten Zwecke.
  10. Kommunikationspräferenzen. Bitte beachten Sie, dass Ihre gegebenenfalls Houzz bereits mitgeteilten Kommunikationspräferenzen bei der Erstellung eines Kontos bei Houzz nicht übernommen werden. Wir behalten uns das Recht vor, die von Ihnen zur Verfügung gestellten oder öffentlich zugänglichen Kontaktinformationen nutzen, um Sie zu kontaktieren, einschließlich um Sie zu unseren Dienstleistungen, Produkten, Tipps und Angeboten zu informieren.

  11. Houzz Trade Programm und Business Programm. Sie können dafür berechtigt sein, sich für das Houzz Trade Programm oder das Houzz Business Programm anzumelden. Mit der Bewerbung für oder Anmeldung im Houzz Trade Programm oder Houzz Business Programm stimmen Sie den Nutzungsbedingungen für das Houzz Trade Programm und das Houzz Business Programm zu, die ebenfalls Bestandteil dieser Richtlinie zum Expertenprofil sind.

  12. Endkunden-Streitigkeiten. Sie stimmen zu, dass Sie allein für Ihre Vereinbarungen oder Kommunikation mit Houzz-Nutzern verantwortlich sind und wir keine Haftung oder Verantwortung in Verbindung mit diesen Vereinbarungen bzw. dieser Kommunikation tragen. Wir behalten uns das Recht ohne Verpflichtung vor, uns in Streitigkeiten zwischen Ihnen und Houzz-Nutzern in jeglicher Art einzubringen.

  13. Ihr Inhalt. Um es Houzz zu ermöglichen, Ihr Expertenprofil anzuzeigen und Ihre Arbeit anderweitig bekannt zu machen, ist es nötig, dass Sie uns Inhalte und Materialien über Ihr Unternehmen („Kundeninhalte“) zur Verfügung stellen. Sie behalten alle Eigentumsrechte an Ihren Kundeninhalten, die Sie Houzz zur Verfügung stellen, und Sie gewähren Houzz eine Lizenz zur Nutzung dieser Kundeninhalte gemäß den Nutzungsbedingungen von Houzz, sodass Houzz Ihr Expertenprofil anzeigen und die Houzz-Plattform, Houzz oder Ihre Arbeit bewerben kann. Sie müssen Houzz diese Lizenz und bestimmte andere Rechte, die in den Nutzungsbedingungen von Houzz aufgeführt sind, gewähren, damit technische Maßnahmen, die wir beim Betrieb der Houzz-Plattform ergreifen, nicht als Rechtsverletzung gelten. Beispielsweise könnten uns Urheberrechtsgesetze daran hindern, bestimmte Inhalte (wie Ihre Angebote an Kunden) zu bearbeiten, zu pflegen, zu speichern, zu sichern und zu verbreiten, es sei denn, Sie gewähren uns diese Rechte. Wir greifen auch auf Dienstleister wie Webhosting-Dienste zurück, die die Inhalte erhalten müssen, damit wir die Houzz-Plattform betreiben können. Um ein einheitliches Erlebnis für andere in der Community zu gewährleisten, die unsere redaktionellen Artikel mit Ihren Fotos ansehen können oder die Ihre Fotos in ihren Ideenbüchern gespeichert haben, bleiben Ihre Fotos und öffentlichen Inhalte nach der Kontoschließung auf unserer Plattform.
    Für Kunden aus der Europäischen Union nutzt Houzz Ihre Inhalte als Online-Vermittlungsdienstleister gemäß der Europäischen Verordnung zu platform-to-business Beziehungen („P2B“)*, um Ihr Unternehmen in unser Project Match-Tool aufzunehmen, das Eigentümer und Mieter mit Experten zusammenbringt.
    *Verordnung (EU) 2019/1150 des Europäischen Parlaments und des Rates vom 20. Juni 2019 zur Förderung von Fairness und Transparenz für gewerbliche Nutzer von Online-Vermittlungsdiensten

Gültig ab 30. August 2021


ANHANG A

STANDARDVERTRAGSKLAUSELN – MODUL EINS: ÜBERMITTLUNG ZWISCHEN FÜR DIE DATENVERARBEITUNG VERANTWORTLICHEN (C2C)


ABSCHNITT I

Klausel 1
Zweck und Anwendungsbereich
  1. Mit diesen Standardvertragsklauseln soll sichergestellt werden, dass die Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)1 bei der Übermittlung personenbezogener Daten an ein Drittland eingehalten werden.
  2. Die Parteien:
    1. die in Anhang I.A aufgeführte(n) natürliche(n) oder juristische(n) Person(en), Behörde(n), Agentur(en) oder sonstige(n) Stelle(n) (im Folgenden „Einrichtung(en)“), die die personenbezogenen Daten übermittelt/n (im Folgenden jeweils „Datenexporteur“), und
    2. die in Anhang I.A aufgeführte(n) Einrichtung(en) in einem Drittland, die die personenbezogenen Daten direkt oder indirekt über eine andere Einrichtung, die ebenfalls Partei dieser Klauseln ist, erhält/erhalten (im Folgenden jeweils „Datenimporteur“),

    haben sich mit diesen Standardvertragsklauseln (im Folgenden „Klauseln“) einverstanden erklärt.

  3. Diese Klauseln gelten für die Übermittlung personenbezogener Daten gemäß Anhang I.B.
  4. Die Anlage zu diesen Klauseln mit den darin enthaltenen Anhängen ist Bestandteil dieser Klauseln.
Klausel 2
Wirkung und Unabänderbarkeit der Klauseln
  1. Diese Klauseln enthalten geeignete Garantien, einschließlich durchsetzbarer Rechte betroffener Personen und wirksamer Rechtsbehelfe gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 sowie — in Bezug auf Datenübermittlungen von Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter — Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679, sofern diese nicht geändert werden, mit Ausnahme der Auswahl des entsprechenden Moduls oder der entsprechenden Module oder der Ergänzung oder Aktualisierung von Informationen in der Anlage. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und/oder weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu diesen Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.
  2. Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Datenexporteur gemäß der Verordnung (EU) 2016/679 unterliegt.
Klausel 3
Drittbegünstigte
  1. Betroffene Personen können diese Klauseln als Drittbegünstigte gegenüber dem Datenexporteur und/oder dem Datenimporteur geltend machen und durchsetzen, mit folgenden Ausnahmen:
    1. Klausel 1, Klausel 2, Klausel 3, Klausel 6, Klausel 7
    2. Klausel 8 - Klausel 8.5 Buchstabe e und Klausel 8.9 Buchstabe b
    3. Klausel 9 - [nicht angewendet im Modul Eins (C2C) der Standardvertragsklauseln];
    4. Klausel 12 - Klausel 12 Buchstaben a und d
    5. Klausel 13
    6. Klausel 15.1 Buchstaben c, d und e
    7. Klausel 16 Buchstabe e
    8. Klausel 18 - Klausel 18 Buchstaben a und b
  2. Die Rechte betroffener Personen gemäß der Verordnung (EU) 2016/679 bleiben von Buchstabe a unberührt.
Klausel 4
Auslegung
  1. Werden in diesen Klauseln in der Verordnung (EU) 2016/679 definierte Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in dieser Verordnung.
  2. Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 auszulegen.
  3. Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die mit den in der Verordnung (EU) 2016/679 vorgesehenen Rechten und Pflichten im Widerspruch steht.
Klausel 5
Vorrang

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen von damit zusammenhängenden Vereinbarungen zwischen den Parteien, die zu dem Zeitpunkt bestehen, zu dem diese Klauseln vereinbart oder eingegangen werden, haben diese Klauseln Vorrang.

Klausel 6
Beschreibung der Datenübermittlung(en)

Die Einzelheiten der Datenübermittlung(en), insbesondere die Kategorien der übermittelten personenbezogenen Daten und der/die Zweck(e), zu dem/denen sie übermittelt werden, sind in Anhang I.B aufgeführt.

Klausel 7
Kopplungsklausel
  1. Eine Einrichtung, die nicht Partei dieser Klauseln ist, kann diesen Klauseln mit Zustimmung der Parteien jederzeit entweder als Datenexporteur oder als Datenimporteur beitreten, indem sie die Anlage ausfüllt und Anhang I.A unterzeichnet.
  2. Nach Ausfüllen der Anlage und Unterzeichnung von Anhang I.A wird die beitretende Einrichtung Partei dieser Klauseln und hat die Rechte und Pflichten eines Datenexporteurs oder eines Datenimporteurs entsprechend ihrer Bezeichnung in Anhang I.A.
  3. Für den Zeitraum vor ihrem Beitritt als Partei erwachsen der beitretenden Einrichtung keine Rechte oder Pflichten aus diesen Klauseln.

ABSCHNITT II — PFLICHTEN DER PARTEIEN

Klausel 8
Datenschutzgarantien

Der Datenexporteur versichert, sich im Rahmen des Zumutbaren davon überzeugt zu haben, dass der Datenimporteur — durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen — in der Lage ist, seinen Pflichten aus diesen Klauseln nachzukommen.

8.1. Zweckbindung

Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den/die in Anhang I.B genannten spezifischen Zweck(e) der Übermittlung. Er darf die personenbezogenen Daten nur dann für einen anderen Zweck verarbeiten,

  1. wenn er die vorherige Einwilligung der betroffenen Person eingeholt hat,
  2. wenn dies zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit bestimmten Verwaltungs-, Gerichts- oder regulatorischen Verfahren erforderlich ist oder
  3. wenn dies zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ist.
8.2. Transparenz
  1. Damit betroffene Personen ihre Rechte gemäß Klausel 10 wirksam ausüben können, teilt der Datenimporteur ihnen entweder direkt oder über den Datenexporteur Folgendes mit:
    1. seinen Namen und seine Kontaktdaten,
    2. die Kategorien der verarbeiteten personenbezogenen Daten,
    3. das Recht auf Erhalt einer Kopie dieser Klauseln,
    4. wenn er eine Weiterübermittlung der personenbezogenen Daten an Dritte beabsichtigt, den Empfänger oder die Kategorien von Empfängern (je nach Bedarf zur Bereitstellung aussagekräftiger Informationen), den Zweck und den Grund einer solchen Weiterübermittlung gemäß Klausel 8.7.
  2. Buchstabe a findet keine Anwendung, wenn die betroffene Person bereits über die Informationen verfügt, einschließlich in dem Fall, wenn diese Informationen bereits vom Datenexporteur bereitgestellt wurden, oder wenn sich die Bereitstellung der Informationen als nicht möglich erweist oder einen unverhältnismäßigen Aufwand für den Datenimporteur mit sich bringen würde. Im letzteren Fall macht der Datenimporteur die Informationen, soweit möglich, öffentlich zugänglich.
  3. Die Parteien stellen der betroffenen Person auf Anfrage eine Kopie dieser Klauseln, einschließlich der von ihnen ausgefüllten Anlage, unentgeltlich zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, notwendig ist, können die Parteien Teile des Textes der Anlage vor der Weitergabe einer Kopie unkenntlich machen; sie legen jedoch eine aussagekräftige Zusammenfassung vor, wenn die betroffene Person andernfalls den Inhalt der Anlage nicht verstehen würde oder ihre Rechte nicht ausüben könnte. Auf Anfrage teilen die Parteien der betroffenen Person die Gründe für die Schwärzungen so weit wie möglich mit, ohne die geschwärzten Informationen offenzulegen.
  4. Die Buchstaben a bis c gelten unbeschadet der Pflichten des Datenexporteurs gemäß den Artikeln 13 und 14 der Verordnung (EU) 2016/679.
8.3. Richtigkeit und Datenminimierung
  1. Jede Partei stellt sicher, dass die personenbezogenen Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sind. Der Datenimporteur trifft alle angemessenen Maßnahmen, um sicherzustellen, dass personenbezogene Daten, die im Hinblick auf den/die Zweck(e) der Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.
  2. Stellt eine der Parteien fest, dass die von ihr übermittelten oder erhaltenen personenbezogenen Daten unrichtig oder veraltet sind, unterrichtet sie unverzüglich die andere Partei.
  3. Der Datenimporteur stellt sicher, dass die personenbezogenen Daten angemessen und erheblich sowie auf das für den/die Zweck(e) ihrer Verarbeitung notwendige Maß beschränkt sind.
8.4. Speicherbegrenzung

Der Datenimporteur speichert die personenbezogenen Daten nur so lange, wie es für den/die Zweck(e), für den/die sie verarbeitet werden, erforderlich ist. Er trifft geeignete technische oder organisatorische Maßnahmen, um die Einhaltung dieser Verpflichtung sicherzustellen; hierzu zählen auch die Löschung oder Anonymisierung2 der Daten und aller Sicherungskopien am Ende der Speicherfrist.

8.5. Sicherheit der Verarbeitung
  1. Der Datenimporteur und — während der Datenübermittlung — auch der Datenexporteur treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten, einschließlich des Schutzes vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den personenbezogenen Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen sie dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und dem/den Zweck(en) der Verarbeitung sowie den mit der Verarbeitung verbundenen Risiken für die betroffene Person gebührend Rechnung. Die Parteien ziehen insbesondere eine Verschlüsselung oder Pseudonymisierung, auch während der Datenübermittlung, in Betracht, wenn dadurch der Verarbeitungszweck erfüllt werden kann.
  2. Die Parteien haben sich auf die in Anhang II aufgeführten technischen und organisatorischen Maßnahmen geeinigt. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Schutzniveau bieten.
  3. Der Datenimporteur gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
  4. Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Datenimporteur gemäß diesen Klauseln ergreift der Datenimporteur geeignete Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
  5. Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, meldet der Datenimporteur die Verletzung unverzüglich sowohl dem Datenexporteur als auch der gemäß Klausel 13 festgelegten zuständigen Aufsichtsbehörde. Diese Meldung enthält i) eine Beschreibung der Art der Verletzung (soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen personenbezogenen Datensätze), ii) ihre wahrscheinlichen Folgen, iii) die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und iv) die Kontaktdaten einer Anlaufstelle, bei der weitere Informationen eingeholt werden können. Soweit es dem Datenimporteur nicht möglich ist, alle Informationen zur gleichen Zeit bereitzustellen, kann er diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen.
  6. Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Datenimporteur ebenfalls die jeweiligen betroffenen Personen unverzüglich von der Verletzung des Schutzes personenbezogener Daten und der Art der Verletzung, erforderlichenfalls in Zusammenarbeit mit dem Datenexporteur, unter Angabe der unter Buchstabe e Ziffern ii bis iv genannten Informationen, es sei denn, der Datenimporteur hat Maßnahmen ergriffen, um das Risiko für die Rechte oder Freiheiten natürlicher Personen erheblich zu mindern, oder die Benachrichtigung wäre mit einem unverhältnismäßigen Aufwand verbunden. Im letzteren Fall gibt der Datenimporteur stattdessen eine öffentliche Bekanntmachung heraus oder ergreift eine vergleichbare Maßnahme, um die Öffentlichkeit über die Verletzung des Schutzes personenbezogener Daten zu informieren.
  7. Der Datenimporteur dokumentiert alle maßgeblichen Fakten im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten, einschließlich ihrer Auswirkungen und etwaiger ergriffener Abhilfemaßnahmen, und führt Aufzeichnungen darüber.
8.6. Sensible Daten

Sofern die Übermittlung personenbezogene Daten umfasst, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen oder Straftaten enthalten (im Folgenden „sensible Daten“), wendet der Datenimporteur spezielle Beschränkungen und/oder zusätzliche Garantien an, die an die spezifische Art der Daten und die damit verbundenen Risiken angepasst sind. Dies kann die Beschränkung des Personals, das Zugriff auf die personenbezogenen Daten hat, zusätzliche Sicherheitsmaßnahmen (wie Pseudonymisierung) und/oder zusätzliche Beschränkungen in Bezug auf die weitere Offenlegung umfassen.

8.7. Weiterübermittlungen

Der Datenimporteur darf die personenbezogenen Daten nicht an Dritte weitergeben, die (in demselben Land wie der Datenimporteur oder in einem anderen Drittland) außerhalb der Europäischen Union3 (ansässig sind (im Folgenden „Weiterübermittlung“), es sei denn, der Dritte ist im Rahmen des betreffenden Moduls an diese Klauseln gebunden oder erklärt sich mit der Bindung daran einverstanden. Andernfalls ist eine Weiterübermittlung durch den Datenimporteur nur in folgenden Fällen zulässig:

  1. Sie erfolgt an ein Land, für das ein Angemessenheitsbeschluss nach Artikel 45 der Verordnung (EU) 2016/679 gilt, der die Weiterübermittlung abdeckt,
  2. der Dritte gewährleistet auf andere Weise geeignete Garantien gemäß Artikel 46 oder Artikel 47 der Verordnung (EU) 2016/679 im Hinblick auf die betreffende Verarbeitung,
  3. der Dritte geht mit dem Datenimporteur ein bindendes Instrument ein, mit dem das gleiche Datenschutzniveau wie gemäß diesen Klauseln gewährleistet wird, und der Datenimporteur stellt dem Datenexporteur eine Kopie dieser Garantien zur Verfügung,
  4. die Weiterübermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit bestimmten Verwaltungs-, Gerichts- oder regulatorischen Verfahren erforderlich,
  5. die Weiterübermittlung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen, oder
  6. – falls keine der anderen Bedingungen erfüllt ist — der Datenimporteur hat die ausdrückliche Einwilligung der betroffenen Person zu einer Weiterübermittlung in einem speziellen Fall eingeholt, nachdem er sie über den/die Zweck(e), die Identität des Empfängers und die ihr mangels geeigneter Datenschutzgarantien aus einer solchen Übermittlung möglicherweise erwachsenden Risiken informiert hat. In diesem Fall unterrichtet der Datenimporteur den Datenexporteur und übermittelt ihm auf dessen Verlangen eine Kopie der Informationen, die der betroffenen Person bereitgestellt wurden.

Jede Weiterübermittlung erfolgt unter der Bedingung, dass der Datenimporteur alle anderen Garantien gemäß diesen Klauseln, insbesondere die Zweckbindung, einhält.

8.8. Verarbeitung unter der Aufsicht des Datenimporteurs

Der Datenimporteur stellt sicher, dass jede ihm unterstellte Person, einschließlich eines Auftragsverarbeiters, diese Daten ausschließlich auf der Grundlage seiner Weisungen verarbeitet.

8.9. Dokumentation und Einhaltung der Klauseln
  1. Jede Partei muss nachweisen können, dass sie ihre Pflichten gemäß diesen Klauseln erfüllt. Insbesondere führt der Datenimporteur geeignete Aufzeichnungen über die unter seiner Verantwortung durchgeführten Verarbeitungstätigkeiten.
  2. Der Datenimporteur stellt der zuständigen Aufsichtsbehörde diese Aufzeichnungen auf Verlangen zur Verfügung.
Klausel 9
Einsatz von Unterauftragsverarbeitern
[Nicht angewendet im Modul Eins (C2C) der Standardvertragsklauseln]
Klausel 10
Rechte betroffener Personen
  1. Der Datenimporteur bearbeitet, gegebenenfalls mit Unterstützung des Datenexporteurs, alle Anfragen und Anträge einer betroffenen Person im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten und der Ausübung ihrer Rechte gemäß diesen Klauseln unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang der Anfrage oder des Antrags4. Der Datenimporteur trifft geeignete Maßnahmen, um solche Anfragen und Anträge und die Ausübung der Rechte betroffener Personen zu erleichtern. Alle Informationen, die der betroffenen Person zur Verfügung gestellt werden, müssen in verständlicher und leicht zugänglicher Form vorliegen und in einer klaren und einfachen Sprache abgefasst sein.
  2. Insbesondere unternimmt der Datenimporteur auf Antrag der betroffenen Person folgende Handlungen, wobei der betroffenen Person keine Kosten entstehen:
    1. Er legt der betroffenen Person eine Bestätigung darüber vor, ob sie betreffende personenbezogene Daten verarbeitet werden, und, falls dies der Fall ist, stellt er ihr eine Kopie der sie betreffenden Daten und die in Anhang I enthaltenen Informationen zur Verfügung; er stellt, falls personenbezogene Daten weiterübermittelt wurden oder werden, Informationen über die Empfänger oder Kategorien von Empfängern (je nach Bedarf zur Bereitstellung aussagekräftiger Informationen), an die die personenbezogenen Daten weiterübermittelt wurden oder werden, sowie über den Zweck dieser Weiterübermittlung und deren Grund gemäß Klausel 8.7 bereit; er informiert die betroffene Person über ihr Recht, gemäß Klausel 12 Buchstabe c Ziffer i bei einer Aufsichtsbehörde Beschwerde einzulegen;
    2. er berichtigt unrichtige oder unvollständige Daten über die betroffene Person;
    3. er löscht personenbezogene Daten, die sich auf die betroffene Person beziehen, wenn diese Daten unter Verstoß gegen eine dieser Klauseln, die Rechte als Drittbegünstigte gewährleisten, verarbeitet werden oder wurden oder wenn die betroffene Person ihre Einwilligung, auf die sich die Verarbeitung stützt, widerruft.
  3. Verarbeitet der Datenimporteur die personenbezogenen Daten für Zwecke der Direktwerbung, so stellt er die Verarbeitung für diese Zwecke ein, wenn die betroffene Person Widerspruch dagegen einlegt.
  4. Der Datenimporteur trifft keine Entscheidung, die ausschließlich auf der automatisierten Verarbeitung der übermittelten personenbezogenen Daten beruht (im Folgenden „automatisierte Entscheidung“), welche rechtliche Wirkung für die betroffene Person entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen würde, es sei denn, die betroffene Person hat hierzu ihre ausdrückliche Einwilligung gegeben oder eine solche Verarbeitung ist nach den Rechtsvorschriften des Bestimmungslandes zulässig und in diesen sind angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person festgelegt. In diesem Fall muss der Datenimporteur, erforderlichenfalls in Zusammenarbeit mit dem Datenexporteur,
    1. die betroffene Person über die geplante automatisierte Entscheidung, die angestrebten Auswirkungen und die damit verbundene Logik unterrichten und
    2. geeignete Garantien umsetzen, die mindestens bewirken, dass die betroffene Person die Entscheidung anfechten, ihren Standpunkt darlegen und eine Überprüfung durch einen Menschen erwirken kann.
  5. Bei exzessiven Anträgen einer betroffenen Person — insbesondere im Fall von häufiger Wiederholung — kann der Datenimporteur entweder eine angemessene Gebühr unter Berücksichtigung der Verwaltungskosten für die Erledigung des Antrags verlangen oder sich weigern, aufgrund des Antrags tätig zu werden.
  6. Der Datenimporteur kann den Antrag einer betroffenen Person ablehnen, wenn eine solche Ablehnung nach den Rechtsvorschriften des Bestimmungslandes zulässig und in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele zu schützen.
  7. Beabsichtigt der Datenimporteur, den Antrag einer betroffenen Person abzulehnen, so unterrichtet er die betroffene Person über die Gründe für die Ablehnung und über die Möglichkeit, Beschwerde bei der zuständigen Aufsichtsbehörde einzulegen und/oder einen gerichtlichen Rechtsbehelf einzulegen.
Klausel 11
Rechtsbehelf
  1. Der Datenimporteur informiert die betroffenen Personen in transparenter und leicht zugänglicher Form mittels individueller Benachrichtigung oder auf seiner Website über eine Anlaufstelle, die befugt ist, Beschwerden zu bearbeiten. Er bearbeitet umgehend alle Beschwerden, die er von einer betroffenen Person erhält.
  2. Im Falle einer Streitigkeit zwischen einer betroffenen Person und einer der Parteien bezüglich der Einhaltung dieser Klauseln bemüht sich die betreffende Partei nach besten Kräften um eine zügige gütliche Beilegung. Die Parteien halten einander über derartige Streitigkeiten auf dem Laufenden und bemühen sich gegebenenfalls gemeinsam um deren Beilegung.
  3. Macht die betroffene Person ein Recht als Drittbegünstigte gemäß Klausel 3 geltend, erkennt der Datenimporteur die Entscheidung der betroffenen Person an,
    1. eine Beschwerde bei der Aufsichtsbehörde des Mitgliedstaats ihres gewöhnlichen Aufenthaltsorts oder ihres Arbeitsorts oder bei der zuständigen Aufsichtsbehörde gemäß Klausel 13 einzureichen,
    2. den Streitfall an die zuständigen Gerichte im Sinne der Klausel 18 zu verweisen.
  4. Die Parteien erkennen an, dass die betroffene Person von einer Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht gemäß Artikel 80 Absatz 1 der Verordnung (EU) 2016/679 vertreten werden kann.
  5. Der Datenimporteur unterwirft sich einem nach geltendem Unionsrecht oder dem geltenden Recht eines Mitgliedstaats verbindlichen Beschluss.
  6. Der Datenimporteur erklärt sich damit einverstanden, dass die Entscheidung der betroffenen Person nicht ihre materiellen Rechte oder Verfahrensrechte berührt, Rechtsbehelfe im Einklang mit geltenden Rechtsvorschriften einzulegen.
Klausel 12
Haftung
  1. Jede Partei haftet gegenüber der/den anderen Partei(en) für Schäden, die sie der/den anderen Partei(en) durch einen Verstoß gegen diese Klauseln verursacht.
  2. Jede Partei haftet gegenüber der betroffenen Person, und die betroffene Person hat Anspruch auf Schadenersatz für jeden materiellen oder immateriellen Schaden, den die Partei der betroffenen Person verursacht, indem sie deren Rechte als Drittbegünstigte gemäß diesen Klauseln verletzt. Dies gilt unbeschadet der Haftung des Datenexporteurs gemäß der Verordnung (EU) 2016/679.
  3. Ist mehr als eine Partei für Schäden verantwortlich, die der betroffenen Person infolge eines Verstoßes gegen diese Klauseln entstanden sind, so haften alle verantwortlichen Parteien gesamtschuldnerisch, und die betroffene Person ist berechtigt, gegen jede der Parteien gerichtlich vorzugehen.
  4. Die Parteien erklären sich damit einverstanden, dass eine Partei, die nach Buchstabe c haftbar gemacht wird, berechtigt ist, von der/den anderen Partei(en) den Teil des Schadenersatzes zurückzufordern, der deren Verantwortung für den Schaden entspricht.
  5. Der Datenimporteur kann sich nicht auf das Verhalten eines Auftragsverarbeiters oder Unterauftragsverarbeiters berufen, um sich seiner eigenen Haftung zu entziehen.
Klausel 13
Aufsicht
  1. Die Aufsichtsbehörde, die dafür verantwortlich ist, sicherzustellen, dass der Datenexporteur bei Datenübermittlungen die Verordnung (EU) 2016/679 einhält, fungiert als zuständige Aufsichtsbehörde (entsprechend der Angabe in Anhang I.C).
  2. Der Datenimporteur erklärt sich damit einverstanden, sich der Zuständigkeit der zuständigen Aufsichtsbehörde zu unterwerfen und bei allen Verfahren, mit denen die Einhaltung dieser Klauseln sichergestellt werden soll, mit ihr zusammenzuarbeiten. Insbesondere erklärt sich der Datenimporteur damit einverstanden, Anfragen zu beantworten, sich Prüfungen zu unterziehen und den von der Aufsichtsbehörde getroffenen Maßnahmen, darunter auch Abhilfemaßnahmen und Ausgleichsmaßnahmen, nachzukommen. Er bestätigt der Aufsichtsbehörde in schriftlicher Form, dass die erforderlichen Maßnahmen ergriffen wurden.

ABSCHNITT III — LOKALE RECHTSVORSCHRIFTEN UND PFLICHTEN IM FALLE DES ZUGANGS VON BEHÖRDEN ZU DEN DATEN

Klausel 14
Lokale Rechtsvorschriften und Gepflogenheiten, die sich auf die Einhaltung der Klauseln auswirken
  1. Die Parteien sichern zu, keinen Grund zu der Annahme zu haben, dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland, einschließlich Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die öffentlichen Behörden den Zugang zu diesen Daten gestatten, den Datenimporteur an der Erfüllung seiner Pflichten gemäß diesen Klauseln hindern. Dies basiert auf dem Verständnis, dass Rechtsvorschriften und Gepflogenheiten, die den Wesensgehalt der Grundrechte und Grundfreiheiten achten und nicht über Maßnahmen hinausgehen, die in einer demokratischen Gesellschaft notwendig und verhältnismäßig sind, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele sicherzustellen, nicht im Widerspruch zu diesen Klauseln stehen.
  2. Die Parteien erklären, dass sie hinsichtlich der Zusicherung in Buchstabe a insbesondere die folgenden Aspekte gebührend berücksichtigt haben:
    1. die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle, beabsichtigte Datenweiterleitungen, die Art des Empfängers, den Zweck der Verarbeitung, die Kategorien und das Format der übermittelten personenbezogenen Daten, den Wirtschaftszweig, in dem die Übertragung erfolgt, den Speicherort der übermittelten Daten,
    2. die angesichts der besonderen Umstände der Übermittlung relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes (einschließlich solcher, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang von Behörden zu diesen Daten gestatten) sowie die geltenden Beschränkungen und Garantien5,
    3. alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß diesen Klauseln eingerichtet wurden, einschließlich Maßnahmen, die während der Übermittlung und bei der Verarbeitung personenbezogener Daten im Bestimmungsland angewandt werden.
  3. Der Datenimporteur versichert, dass er sich im Rahmen der Beurteilung nach Buchstabe b nach besten Kräften bemüht hat, dem Datenexporteur sachdienliche Informationen zur Verfügung zu stellen, und erklärt sich damit einverstanden, dass er mit dem Datenexporteur weiterhin zusammenarbeiten wird, um die Einhaltung dieser Klauseln zu gewährleisten.
  4. Die Parteien erklären sich damit einverstanden, die Beurteilung nach Buchstabe b zu dokumentieren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
  5. Der Datenimporteur erklärt sich damit einverstanden, während der Laufzeit des Vertrags den Datenexporteur unverzüglich zu benachrichtigen, wenn er nach Zustimmung zu diesen Klauseln Grund zu der Annahme hat, dass für ihn Rechtsvorschriften oder Gepflogenheiten gelten, die nicht mit den Anforderungen in Buchstabe a im Einklang stehen; hierunter fällt auch eine Änderung der Rechtsvorschriften des Drittlandes oder eine Maßnahme (z. B. ein Offenlegungsersuchen), die sich auf eine nicht mit den Anforderungen in Buchstabe a im Einklang stehende Anwendung dieser Rechtsvorschriften in der Praxis bezieht.
  6. Nach einer Benachrichtigung gemäß Buchstabe e oder wenn der Datenexporteur anderweitig Grund zu der Annahme hat, dass der Datenimporteur seinen Pflichten gemäß diesen Klauseln nicht mehr nachkommen kann, ermittelt der Datenexporteur unverzüglich geeignete Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit), die der Datenexporteur und/oder der Datenimporteur ergreifen müssen, um Abhilfe zu schaffen. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Auffassung ist, dass keine geeigneten Garantien für eine derartige Übermittlung gewährleistet werden können, oder wenn er von der dafür zuständigen Aufsichtsbehörde dazu angewiesen wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit es um die Verarbeitung personenbezogener Daten gemäß diesen Klauseln geht. Sind mehr als zwei Parteien an dem Vertrag beteiligt, so kann der Datenexporteur von diesem Kündigungsrecht nur gegenüber der verantwortlichen Partei Gebrauch machen, sofern die Parteien nichts anderes vereinbart haben. Wird der Vertrag gemäß dieser Klausel gekündigt, finden Klausel 16 Buchstaben d und e Anwendung.
Klausel 15
Pflichten des Datenimporteurs im Falle des Zugangs von Behörden zu den Daten
15.1. Benachrichtigung
  1. Der Datenimporteur erklärt sich damit einverstanden, den Datenexporteur und, soweit möglich, die betroffene Person (gegebenenfalls mit Unterstützung des Datenexporteurs) unverzüglich zu benachrichtigen,
    1. wenn er von einer Behörde, einschließlich Justizbehörden, ein nach den Rechtsvorschriften des Bestimmungslandes rechtlich bindendes Ersuchen um Offenlegung personenbezogener Daten erhält, die gemäß diesen Klauseln übermittelt werden (diese Benachrichtigung muss Informationen über die angeforderten personenbezogenen Daten, die ersuchende Behörde, die Rechtsgrundlage des Ersuchens und die mitgeteilte Antwort enthalten), oder
    2. wenn er Kenntnis davon erlangt, dass eine Behörde nach den Rechtsvorschriften des Bestimmungslandes direkten Zugang zu personenbezogenen Daten hat, die gemäß diesen Klauseln übermittelt wurden; diese Benachrichtigung muss alle dem Datenimporteur verfügbaren Informationen enthalten.
  2. Ist es dem Datenimporteur gemäß den Rechtsvorschriften des Bestimmungslandes untersagt, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, so erklärt sich der Datenimporteur einverstanden, sich nach besten Kräften um eine Aufhebung des Verbots zu bemühen, damit möglichst viele Informationen so schnell wie möglich mitgeteilt werden können. Der Datenimporteur verpflichtet sich, seine Anstrengungen zu dokumentieren, um diese auf Verlangen des Datenexporteurs nachweisen zu können.
  3. Soweit dies nach den Rechtsvorschriften des Bestimmungslandes zulässig ist, erklärt sich der Datenimporteur bereit, dem Datenexporteur während der Vertragslaufzeit in regelmäßigen Abständen möglichst viele sachdienliche Informationen über die eingegangenen Ersuchen zur Verfügung zu stellen (insbesondere Anzahl der Ersuchen, Art der angeforderten Daten, ersuchende Behörde(n), ob Ersuchen angefochten wurden und das Ergebnis solcher Anfechtungen usw.).
  4. Der Datenimporteur erklärt sich damit einverstanden, die Informationen gemäß den Buchstaben a bis c während der Vertragslaufzeit aufzubewahren und der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
  5. Die Buchstaben a bis c gelten unbeschadet der Pflicht des Datenimporteurs gemäß Klausel 14 Buchstabe e und Klausel 16, den Datenexporteur unverzüglich zu informieren, wenn er diese Klauseln nicht einhalten kann.
15.2. Überprüfung der Rechtmäßigkeit und Datenminimierung
  1. Der Datenimporteur erklärt sich damit einverstanden, die Rechtmäßigkeit des Offenlegungsersuchens zu überprüfen, insbesondere ob das Ersuchen im Rahmen der Befugnisse liegt, die der ersuchenden Behörde übertragen wurden, und das Ersuchen anzufechten, wenn er nach sorgfältiger Beurteilung zu dem Schluss kommt, dass hinreichende Gründe zu der Annahme bestehen, dass das Ersuchen nach den Rechtsvorschriften des Bestimmungslandes, gemäß geltenden völkerrechtlichen Verpflichtungen und nach den Grundsätzen der Völkercourtoisie rechtswidrig ist. Unter den genannten Bedingungen sind vom Datenimporteur mögliche Rechtsmittel einzulegen. Bei der Anfechtung eines Ersuchens erwirkt der Datenimporteur einstweilige Maßnahmen, um die Wirkung des Ersuchens auszusetzen, bis die zuständige Justizbehörde über dessen Begründetheit entschieden hat. Er legt die angeforderten personenbezogenen Daten erst offen, wenn dies nach den geltenden Verfahrensregeln erforderlich ist. Diese Anforderungen gelten unbeschadet der Pflichten des Datenimporteurs gemäß Klausel 14 Buchstabe e.
  2. Der Datenimporteur erklärt sich damit einverstanden, seine rechtliche Beurteilung und eine etwaige Anfechtung des Offenlegungsersuchens zu dokumentieren und diese Unterlagen dem Datenexporteur zur Verfügung zu stellen, soweit dies nach den Rechtsvorschriften des Bestimmungslandes zulässig ist. Auf Anfrage stellt er diese Unterlagen auch der zuständigen Aufsichtsbehörde zur Verfügung.
  3. Der Datenimporteur erklärt sich damit einverstanden, bei der Beantwortung eines Offenlegungsersuchens auf der Grundlage einer vernünftigen Auslegung des Ersuchens die zulässige Mindestmenge an Informationen bereitzustellen.

ABSCHNITT IV — SCHLUSSBESTIMMUNGEN

Klausel 16
Verstöße gegen die Klauseln und Beendigung des Vertrags
  1. Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Klauseln einzuhalten.
  2. Verstößt der Datenimporteur gegen diese Klauseln oder kann er diese Klauseln nicht einhalten, setzt der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aus, bis der Verstoß beseitigt oder der Vertrag beendet ist. Dies gilt unbeschadet von Klausel 14 Buchstabe f.
  3. Der Datenexporteur ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn
    1. der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Buchstabe b ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb einer einmonatigen Aussetzung, wiederhergestellt wurde,
    2. der Datenimporteur in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstößt oder
    3. der Datenimporteur einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer zuständigen Aufsichtsbehörde, die seine Pflichten gemäß diesen Klauseln zum Gegenstand hat, nicht nachkommt.

    In diesen Fällen unterrichtet der Datenexporteur die zuständige Aufsichtsbehörde über derartige Verstöße. Sind mehr als zwei Parteien an dem Vertrag beteiligt, so kann der Datenexporteur von diesem Kündigungsrecht nur gegenüber der verantwortlichen Partei Gebrauch machen, sofern die Parteien nichts anderes vereinbart haben.

  4. Personenbezogene Daten, die vor Beendigung des Vertrags gemäß Buchstabe c übermittelt wurden, müssen nach Wahl des Datenexporteurs unverzüglich an diesen zurückgegeben oder vollständig gelöscht werden. Dies gilt gleichermaßen für alle Kopien der Daten. Der Datenimporteur bescheinigt dem Datenexporteur die Löschung. Bis zur Löschung oder Rückgabe der Daten stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Falls für den Datenimporteur lokale Rechtsvorschriften gelten, die ihm die Rückgabe oder Löschung der übermittelten personenbezogenen Daten untersagen, sichert der Datenimporteur zu, dass er die Einhaltung dieser Klauseln auch weiterhin gewährleistet und diese Daten nur in dem Umfang und so lange verarbeitet, wie dies gemäß den betreffenden lokalen Rechtsvorschriften erforderlich ist.
  5. Jede Partei kann ihre Zustimmung widerrufen, durch diese Klauseln gebunden zu sein, wenn i) die Europäische Kommission einen Beschluss nach Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 erlässt, der sich auf die Übermittlung personenbezogener Daten bezieht, für die diese Klauseln gelten, oder ii) die Verordnung (EU) 2016/679 Teil des Rechtsrahmens des Landes wird, an das die personenbezogenen Daten übermittelt werden. Dies gilt unbeschadet anderer Verpflichtungen, die für die betreffende Verarbeitung gemäß der Verordnung (EU) 2016/679 gelten.
Klausel 17
Anwendbares Recht

Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, sofern dieses Recht Rechte als Drittbegünstigte zulässt. Die Parteien vereinbaren, dass dies das Recht von Deutschland ist.

Klausel 18
Gerichtsstand und Zuständigkeit
  1. Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten eines EU-Mitgliedstaats beigelegt.
  2. Die Parteien vereinbaren, dass dies die Gerichte von Deutschland sind.
  3. Eine betroffene Person kann Klage gegen den Datenexporteur und/oder den Datenimporteur auch vor den Gerichten des Mitgliedstaats erheben, in dem sie ihren gewöhnlichen Aufenthaltsort hat.
  4. Die Parteien erklären sich damit einverstanden, sich der Zuständigkeit dieser Gerichte zu unterwerfen.


1 Handelt es sich bei dem Datenexporteur um einen Auftragsverarbeiter, der der Verordnung (EU) 2016/679 unterliegt und der im Auftrag eines Organs oder einer Einrichtung der Union als Verantwortlicher handelt, so gewährleistet der Rückgriff auf diese Klauseln bei der Beauftragung eines anderen Auftragsverarbeiters (Unterauftragsverarbeitung), der nicht unter die Verordnung (EU) 2016/679 fällt, ebenfalls die Einhaltung von Artikel 29 Absatz 4 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39), insofern als diese Klauseln und die gemäß Artikel 29 Absatz 3 der Verordnung (EU) 2018/1725 im Vertrag oder in einem anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter festgelegten Datenschutzpflichten angeglichen sind. Dies ist insbesondere dann der Fall, wenn sich der Verantwortliche und der Auftragsverarbeiter auf die im Beschluss 2021/915 enthaltenen Standardvertragsklauseln stützen.

2 Die Daten müssen in einer Weise anonymisiert werden, dass eine Person im Einklang mit Erwägungsgrund 26 der Verordnung (EU) 2016/679 nicht mehr identifizierbar ist; außerdem muss dieser Vorgang unumkehrbar sein.

3 Das Abkommen über den Europäischen Wirtschaftsraum (EWR-Abkommen) regelt die Einbeziehung der drei EWR-Staaten Island, Liechtenstein und Norwegen in den Binnenmarkt der Europäischen Union. Das Datenschutzrecht der Union, darunter die Verordnung (EU) 2016/679, ist in das EWR-Abkommen einbezogen und wurde in Anhang XI aufgenommen. Daher gilt eine Weitergabe durch den Datenimporteur an einen im EWR ansässigen Dritten nicht als Weiterübermittlung im Sinne dieser Klauseln.

4 Diese Frist kann um höchstens zwei weitere Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Datenimporteur unterrichtet die betroffene Person ordnungsgemäß und unverzüglich über eine solche Verlängerung.

5 Zur Ermittlung der Auswirkungen derartiger Rechtsvorschriften und Gepflogenheiten auf die Einhaltung dieser Klauseln können in die Gesamtbeurteilung verschiedene Elemente einfließen. Diese Elemente können einschlägige und dokumentierte praktische Erfahrungen im Hinblick darauf umfassen, ob es bereits früher Ersuchen um Offenlegung seitens Behörden gab, die einen hinreichend repräsentativen Zeitrahmen abdecken, oder ob es solche Ersuchen nicht gab. Dies betrifft insbesondere interne Aufzeichnungen oder sonstige Belege, die fortlaufend mit gebührender Sorgfalt erstellt und von leitender Ebene bestätigt wurden, sofern diese Informationen rechtmäßig an Dritte weitergegeben werden können. Sofern anhand dieser praktischen Erfahrungen der Schluss gezogen wird, dass dem Datenimporteur die Einhaltung dieser Klauseln nicht unmöglich ist, muss dies durch weitere relevante objektive Elemente untermauert werden; den Parteien obliegt die sorgfältige Prüfung, ob alle diese Elemente ausreichend zuverlässig und repräsentativ sind, um die getroffene Schlussfolgerung zu bekräftigen. Insbesondere müssen die Parteien berücksichtigen, ob ihre praktische Erfahrung durch öffentlich verfügbare oder anderweitig zugängliche zuverlässige Informationen über das Vorhandensein oder Nicht-Vorhandensein von Ersuchen innerhalb desselben Wirtschaftszweigs und/oder über die Anwendung der Rechtsvorschriften in der Praxis, wie Rechtsprechung und Berichte unabhängiger Aufsichtsgremien, erhärtet und nicht widerlegt wird.


ANLAGE

ANHANG I

A. LISTE DER PARTEIEN

Datenexporteur(e):

1. Name: Gemäß Expertenprofil des Kunden
Adresse: Gemäß Expertenprofil des Kunden
Name, Position und Kontaktinformationen der Kontaktperson: Gemäß Expertenprofil des Kunden
Relevante Aktivitäten für die gemäß diesen Klauseln übertragenen Daten: Bereitstellung der für die Ausführung der Houzz Pro Dienstleistungsvereinbarung erforderlichen personenbezogenen Daten.
Unterschrift und Datum: Zu der Zeit, zu der der Datenexporteur die Houzz Pro Dienstleistungsvereinbarung abschließt, werden auch die Standardvertragsklauseln, die fester Bestandteil der Houzz Pro Dienstleistungsvereinbarung sind, abgeschlossen.
Rolle (Datenverantwortlicher/Verarbeiter): Datenverantwortlicher

Datenimporteur(e): [Identität und Kontaktinformationen des Datenimporteurs/der Datenimporteure, einschließlich der für den Datenschutz verantwortlichen Kontaktperson]

1. Name: Houzz Inc.
Addresse: 285 Hamilton Avenue, Palo Alto, CA, USA 94301
Name, Position und Kontaktinformationen der Kontaktperson: EUprivacy@houzz.com
Relevante Aktivitäten für die gemäß diesen Klauseln übertragenen Daten: Verarbeitung der für die Ausführung der Houzz Pro Dienstleistungsvereinbarung erforderlichen personenbezogenen Daten.
Unterschrift und Datum: Zu der Zeit, zu der der Datenexporteur die Houzz Pro Dienstleistungsvereinbarung abschließt, werden auch die Standardvertragsklauseln, die fester Bestandteil der Houzz Pro Dienstleistungsvereinbarung sind, abgeschlossen.
Rolle (Datenverantwortlicher/Verarbeiter): Datenverantwortlicher
В. BESCHREIBUNG DER ÜBERTRAGUNG
Kategorien der Datensubjekte, deren personenbezogene Daten übertragen werden Die Angestellten, Vertreter, Lieferanten, Dienstleister, Auftragnehmer, Kunden und möglichen Kunden des Datenexporteurs.
Kategorien der übertragenen personenbezogenen Daten Identifizierende Daten, darunter ohne Einschränkung Vor- und Nachname, E-Mail-Adresse, Telefonnummer, Adresse (geschäftlich oder privat); Online-Nutzungsdaten; Kommunikationsdaten; elektronische identifizierende Daten, darunter Standortdaten; Finanzdaten (falls angegeben); Partnerschaften, Ausbildung und Fortbildung (falls angegeben); und berufliche Daten und Jobdaten.
Übertragene sensible Daten (falls vorhanden) und angewendete Beschränkungen oder Sicherheitsmaßnahmen, die vollständig die Art der Daten und involvierte Risiken berücksichtigen, wie zum Beispiel strenge Zweckeinschränkungen, Zugangsbeschränkungen (darunter Zugang nur für Mitarbeiter, die spezielle Schulungen absolviert haben), Protokollierung des Zugriffs auf die Daten, Beschränkungen der Weiterübertragung oder weitere Sicherheitsmaßnahmen. N/A
Häufigkeit der Übertragung (z.B. ob die Daten einmalig oder fortlaufend übertragen werden). Fortlaufend
Art der Verarbeitung Erfassung, Aufzeichnung, Organisation, Speicherung, Verwendung, Offenlegung durch Übertragung, Verbreitung oder anderweitige Zurverfügungstellung
Zweck(e) der Datenübertragung und Weiterverarbeitung Für den Datenimporteur zur Erbringung der Dienstleistungen, Verbesserung und Anpassung der Dienstleistungen und der Houzz-Plattform, sowie für die anderen in Artikel 2(b) und Artikel 10(b) des Vertrags beschriebenen Zwecken.
Zeitraum, für den die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die zur Bestimmung dieses Zeitraums verwendeten Kriterien Für die Dauer des Houzz-Kontos
Bei Übertragungen an (Unter-) Verarbeiter bitte auch den Inhalt, die Art und die Dauer der Verarbeitung angeben N/A
C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE
Die gemäß Artikel 13 zuständige(n) Aufsichtsbehörde(n) angeben Die zuständige Aufsichtsbehörde hängt vom Standort des im Expertenprofil des Kunden angegebenen Standort des Datenexporteurs ab.

ANHANG II - TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, DARUNTER TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN ZUR SICHERSTELLUNG DER SICHERHEIT DER DATEN

Maßnahmen, um die fortlaufende Vertraulichkeit, Integrität, Verfügbarkeit und Beständigkeit der Verarbeitungssysteme und -dienstleistungen sicherzustellen Von den Geschäfts-, Produkt-, Rechts-, und Technik-Stakeholdern wird eine periodische Prüfung der Unternehmenskontinuität durchgeführt. Im Rahmen der Risikoanalyse für Verkäufer wird die Sicherheit und der Datenschutz aller Datenverarbeitungen durch Dritte überprüft. Verschiedene technische Kontrollen werden durchgeführt, um die Sicherheit der Verarbeitungssysteme und -dienste sicherzustellen, darunter (aber nicht beschränkt auf): Endpunktdetektion und -antwort (EDR) Agenten auf Produktionshosts, Antivirusagenten auf Unternehmens-Endpunkten, Mobilgerätemanagement (MDM) auf Unternehmens-Endpunkten, Produktionszugang über softwaredefinierte Perimeter (SDP), separate Entwicklungs- und Produktionsumgebungen, sowie zentralisierte Systemereignisprotokollierung und Aggregation.
Maßnahmen, um sicherzustellen, dass personenbezogene Daten bei physischen oder technischen Zwischenfällen zeitnah wieder verfügbar sind und auf sie zugegriffen werden kann. Die Technikabteilung hat regelmäßige Exporte der Plattform und Benutzerdaten von den Runtime-Datenbanken eingeführt. Diese Exporte werden im Archivdatenspeicher gesichert, um bei Bedarf Zugriff und Wiederherstellung zu ermöglichen.
Verfahren für regelmäßige Testung, Bewertung und Beurteilung der Effektivität der technischen und organisatorischen Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten Systeme, Anwendungen und Verfahren unterliegen periodischen internen und externen Audits. Ein Beispiel dafür ist das Sicherheitslücken-Scanning der Webanwendung.
Maßnahmen zur Benutzeridentifikation und Autorisierung Die Authentifizierung für Systeme erfolgt über zentralisierte einmalige Anmeldung mit definierten Regeln für die Stärke der Berechtigungsnachweise und Multi-Faktor-Authentifizierung. Die Autorisierung für sensible Plattformfunktionen ist durch festgelegte Aufgaben für Personal mit Autorisierung und Zugang gemäß dokumentierten Verfahren beschränkt.
Maßnahmen für den Schutz der Daten während der Übertragung Zugriff auf die Plattform (z.B. Webseiten und native Anwendungen) ist nur über verschlüsselte Client-Verbindungen (HTTPS-Protokoll) möglich. Nur sichere Verschlüsselungsverfahren werden unterstützt (zum Beispiel werden TLS v1.1 und darunter und SSL aufgrund von bekannten Sicherheitslücken nicht verwendet).
Maßnahmen für den Schutz der Daten während der Speicherung Sensible Daten sind in den Systemen durch kryptografisch starke Verschlüsselung geschützt. Der Zugriff auf Produktionssysteme erfolgt über softwaredefinierte Parameter (SDP) und zentralisierte Kontenverwaltung mit einmaliger Anmeldung. Der IaaS-Kontenzugriff sorgt für beste Praktiken bei der Authentifizierung, einschließlich Multi-Faktor- Authentifizierung und Schlüsselrotation.
Maßnahmen um die physische Sicherheit der Standorte, an denen personenbezogene Daten verarbeitet werden, sicherzustellen Für den physischen Zutritt ist individueller Zugang über Schlüsselanhänger erforderlich.
Maßnahmen, um die Ereignisprotokollierung sicherzustellen Durchgehende Überwachung, Prüfung und Sanierung der Ereignisverarbeitung und Datenqualität werden von Datenanalysten und dem Leiter der Datensteuerung durchgeführt.
Maßnahmen für interne Kontrolle und Verwaltung von IT und IT-Sicherheit Richtlinien und Verfahren werden eingeführt und regelmäßig von der technischen Leitung, der IT-Leitung und der Sicherheitsleitung überprüft
Maßnahmen, um Datenminimisierung sicherzustellen Von den Rechts-, Produkt- und Technikteams werden regelmäßige Produktüberprüfungen und Beratungssitzungen abgehalten.
Maßnahmen, um begrenzte Datenhaltung sicherzustellen Die festgelegten Richtlinien zur Datenhaltung werden regelmäßig von der Rechtsabteilung, der IT-Leitung, der Sicherheitsleitung und der technischen Leitung überprüft.
Maßnahmen, um Datenportabilität zu ermöglichen und Löschung sicherzustellen Die Richtlinien und Verfahren des Datenschutzprogramms werden regelmäßig vom Datenschutzmanager und der technischen Leitung überprüft.

Bei Übertragungen an (Unter-) Verarbeiter sind auch die spezifischen technischen und organisatorischen Maßnahmen zu beschreiben, die die (Unter-) Verarbeiter ergreifen müssen, um den Datenverantwortlichen und - bei Übertragungen von einem Verarbeiter an einen Unterverarbeiter - den Datenexporteur zu unterstützen

N/A N/A