Diese Datenverarbeitungsvereinbarung („Vereinbarung“) ist Teil des Dienstleistungsvertrags („Hauptvereinbarung“) zwischen TeleRetro (das „Unternehmen“) und dem TeleRetro-Kunden, der im entsprechenden TeleRetro-Bestelldokument für TeleRetro-Dienste identifiziert wird (der „Datenverarbeiter“) (zusammen als die „Parteien“).
INDEM
(A) Das Unternehmen als Datenverantwortlicher agiert.
(B) Das Unternehmen bestimmte Dienstleistungen, die die Verarbeitung personenbezogener Daten beinhalten, an den Datenverarbeiter auslagern möchte.
(C) Die Parteien beabsichtigen, eine Datenverarbeitungsvereinbarung zu implementieren, die den Anforderungen des aktuellen Rechtsrahmens in Bezug auf die Datenverarbeitung und der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Allgemeine Datenschutzverordnung) entspricht.
(D) Die Parteien möchten ihre Rechte und Pflichten festlegen.
ES WIRD WIE FOLGT VEREINBART:
1. Definitionen und Interpretation
1.1 Sofern hierin nicht anders definiert, haben großgeschriebene Begriffe und Ausdrücke in dieser Vereinbarung die folgende Bedeutung:
1.1.1 „Vereinbarung“ meint diese Datenverarbeitungsvereinbarung und alle Anhänge;
1.1.2 „Unternehmensbezogene personenbezogene Daten“ meint jegliche personenbezogenen Daten, die von einem beauftragten Verarbeiter im Namen des Unternehmens gemäß oder in Verbindung mit der Hauptvereinbarung verarbeitet werden;
1.1.3 „Beauftragter Verarbeiter“ meint einen Unter-Verarbeiter;
1.1.4 „Datenschutzgesetze“ meint die EU-Datenschutzgesetze und, soweit anwendbar, die Datenschutz- oder Datenschutzgesetze eines anderen Landes;
1.1.5 „EWR“ meint den Europäischen Wirtschaftsraum;
1.1.6 „EU-Datenschutzgesetze“ meint die EU-Richtlinie 95/46/EG, wie sie in das nationale Recht jedes Mitgliedstaats umgesetzt wurde und wie sie von Zeit zu Zeit geändert, ersetzt oder abgelöst wird, einschließlich der DSGVO und Gesetze, die die DSGVO umsetzen oder ergänzen;
1.1.7 „DSGVO“ meint die EU-Datenschutz-Grundverordnung 2016/679;
1.1.8 „Datenübertragung“ meint:
1.1.8.1 eine Übertragung von unternehmensbezogenen personenbezogenen Daten vom Unternehmen an einen beauftragten Verarbeiter; oder
1.1.8.2 eine Weiterübertragung von unternehmensbezogenen personenbezogenen Daten von einem beauftragten Verarbeiter an einen unterbeauftragten Verarbeiter oder zwischen zwei Einrichtungen eines beauftragten Verarbeiters, in jedem Fall, wenn eine solche Übertragung durch Datenschutzgesetze (oder durch die Bedingungen von Datenübertragungsvereinbarungen, die eingerichtet wurden, um die Datenübertragungsbeschränkungen der Datenschutzgesetze anzugehen) verboten wäre;
1.1.9 „Dienstleistungen“ meint die agilen Retrospektivdienste, die das Unternehmen online anbietet.
1.1.10 „Unter-Verarbeiter“ meint jede Person, die vom Verarbeiter oder im Namen des Verarbeiters ernannt wurde, um personenbezogene Daten im Zusammenhang mit der Vereinbarung im Namen des Unternehmens zu verarbeiten.
1.2 Die Begriffe „Kommission“, „Verantwortlicher“, „betroffene Person“, „Mitgliedstaat“, „personenbezogene Daten“, „Verletzung des Schutzes personenbezogener Daten“, „Verarbeitung“ und „Aufsichtsbehörde“ haben die gleiche Bedeutung wie in der DSGVO, und ihre verwandten Begriffe werden entsprechend ausgelegt.
2. Verarbeitung von unternehmensbezogenen personenbezogenen Daten
2.1 Der Verarbeiter wird:
2.1.1 alle anwendbaren Datenschutzgesetze bei der Verarbeitung von unternehmensbezogenen personenbezogenen Daten einhalten; und
2.1.2 unternehmensbezogene personenbezogene Daten nicht anders als auf die dokumentierten Anweisungen des entsprechenden Unternehmens verarbeiten.
2.2 Das Unternehmen erteilt dem Verarbeiter die Anweisung, unternehmensbezogene personenbezogene Daten zu verarbeiten.
3. Personal des Verarbeiters
Der Verarbeiter wird angemessene Schritte unternehmen, um die Zuverlässigkeit jedes Mitarbeiters, Vertreters oder Vertragspartners eines beauftragten Verarbeiters, der Zugang zu den unternehmensbezogenen personenbezogenen Daten haben könnte, zu gewährleisten, wobei in jedem Fall der Zugang streng auf diejenigen Personen beschränkt ist, die die relevanten unternehmensbezogenen personenbezogenen Daten kennen/müssen, wie es für die Zwecke der Hauptvereinbarung und zur Einhaltung der anwendbaren Gesetze im Rahmen der Tätigkeiten dieser Person beim beauftragten Verarbeiter unbedingt notwendig ist, wobei sichergestellt wird, dass alle diese Personen Geheimhaltungsverpflichtungen oder beruflichen oder gesetzlichen