{"id":8184,"date":"2024-07-19T02:26:58","date_gmt":"2024-07-19T02:26:58","guid":{"rendered":"https:\/\/migration.stradaglobal.com\/strada-dpa-bedingungen\/"},"modified":"2024-08-08T14:06:43","modified_gmt":"2024-08-08T14:06:43","slug":"strada-dpa-bedingungen","status":"publish","type":"page","link":"http:\/\/oldsite.strada.client.lbrn.io\/de\/strada-dpa-bedingungen\/","title":{"rendered":"Strada DPA-Bedingungen"},"content":{"rendered":"\n

DPA-Bedingungen<\/strong><\/p>\n\n

Datum des Inkrafttretens: 15. Juli 2024<\/p>\n\n

Dieser Datenschutzzusatz (dieser “DPA<\/strong>“) unterliegt dem zugrunde liegenden Dienstleistungsvertrag zwischen Strada und dem Kunden (der “Dienstleistungsvertrag<\/strong>“), gem\u00e4\u00df dem Strada m\u00f6glicherweise verpflichtet sein kann, personenbezogene Daten (wie unten definiert) zu verarbeiten.<\/p>\n\n

Abschnitt 1 – Definitionen.<\/strong> Gro\u00dfgeschriebene Begriffe, die hier verwendet, aber nicht anderweitig definiert werden, haben die Bedeutung, die ihnen in der Dienstleistungsvereinbarung zugeschrieben wird.\nSofern der ausdr\u00fcckliche Kontext nichts anderes erfordert, umfasst jeder Verweis auf den Dienstleistungsvertrag jedes Auftragsformular, jede Leistungsbeschreibung oder jedes andere Bestelldokument, das im Rahmen dieses Vertrags abgeschlossen wird. 1.1.<\/strong> “Datenschutzgesetze<\/strong>” bezeichnet alle anwendbaren Gesetze und Vorschriften in Bezug auf Privatsph\u00e4re, Sicherheit oder Datenschutz, einschlie\u00dflich, soweit anwendbar, der EU-Datenschutz-Grundverordnung 2016\/679 (“DSGVO”),<\/strong> des California Consumer Privacy Act von 2018 (“CCPA”),<\/strong> des California Privacy Rights Act von 2020 (“CPRA”),<\/strong> des Gramm-Leach-Bliley Act (“GLBA”),<\/strong> des britischen Datenschutzgesetzes von 2018 oder der britischen DSGVO, in der jeweils g\u00fcltigen Fassung, \u00c4nderung, Aufhebung oder Ersetzung.1.2.<\/strong> “Betroffene Person<\/strong>” bezeichnet in Bezug auf personenbezogene Daten eine identifizierte oder identifizierbare nat\u00fcrliche Person.1.3.<\/strong> “Personenbezogene Daten<\/strong>” sind alle Informationen, die von oder im Auftrag von Strada f\u00fcr den Kunden im Zusammenhang mit dem Dienstleistungsvertrag verarbeitet werden und\n(a) sich auf eine betroffene Person bezieht, die direkt oder indirekt allein oder in Kombination mit diesen Informationen identifiziert werden kann, die von oder im Auftrag von Strada verarbeitet werden, insbesondere durch Bezugnahme auf eine Kennung wie einen Namen, eine Identifikationsnummer, Standortdaten, eine Online-Kennung oder auf einen oder mehrere Faktoren, die f\u00fcr die physische physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identit\u00e4t dieser nat\u00fcrlichen Person oder\n(b) anderweitig durch die Datenschutzgesetze gesch\u00fctzt ist.\nPersonenbezogene Daten umfassen alle anderen Informationen, die nach den geltenden Datenschutzgesetzen “personenbezogene Daten”, “personenbezogene Daten”, “personenbezogene Daten” oder \u00e4hnliche Begriffe darstellen. 1.4.<\/strong> “Verarbeitung<\/strong>” oder “Prozess(e)<\/strong>” bezeichnet\n(a) alle Vorg\u00e4nge oder Vorg\u00e4nge, die mit personenbezogenen Daten oder mit personenbezogenen Datens\u00e4tzen durchgef\u00fchrt werden, unabh\u00e4ngig davon, ob sie automatisiert sind oder nicht, einschlie\u00dflich der Erhebung, Speicherung, Anpassung oder \u00c4nderung, des Abrufs, der Verwendung, der Offenlegung, des L\u00f6schens oder der Vernichtung, und\n(b) jede andere T\u00e4tigkeit im Zusammenhang mit personenbezogenen Daten, die unter die Definition von “Verarbeitung” gem\u00e4\u00df den Datenschutzgesetzen f\u00e4llt. 1.5.<\/strong> “Standardvertragsklauseln<\/strong>” oder “Standardvertragsklauseln<\/strong>” sind die Standardvertragsklauseln f\u00fcr die \u00dcbermittlung personenbezogener Daten aus der Europ\u00e4ischen Union (“EU”)<\/strong> oder dem Europ\u00e4ischen Wirtschaftsraum (“EWR<\/strong>“) in Drittl\u00e4nder, die dem Durchf\u00fchrungsbeschluss (EU) 2021\/914 der Kommission vom 4. Juni 2021 beigef\u00fcgt sind, oder Nachfolgedokumente oder \u00dcbermittlungsmechanismen.1.6.<\/strong> “Unterauftragsverarbeiter<\/strong>” bezeichnet jede Person (mit Ausnahme eines Mitarbeiters), einschlie\u00dflich der verbundenen Unternehmen von Strada, die von oder im Namen von Strada mit der Verarbeitung personenbezogener Daten im Auftrag des Kunden beauftragt wurde.1.7.<\/strong> “UK IDTA”<\/strong> bezeichnet den Nachtrag f\u00fcr die internationale Daten\u00fcbermittlung zu den SCCs, Version B1.0, der am 21. M\u00e4rz 2022 vom Parlament des Vereinigten K\u00f6nigreichs (“UK”)<\/strong> genehmigt wurde und gem\u00e4\u00df Abschnitt 119A des Data Protection Act 2018 erlassen wurde, um Artikel 46 der britischen DSGVO bei eingeschr\u00e4nkten \u00dcbertragungen zu entsprechen, oder Nachfolgedokumente oder \u00dcbertragungsmechanismen.Abschnitt 2.\nVerarbeitung personenbezogener Daten. <\/strong><\/p>\n\n

2.1.\nInstructions; Limits on Use. <\/strong> Der Kunde (als Verantwortlicher) beauftragt Strada (als Auftragsverarbeiter) hiermit mit der Verarbeitung personenbezogener Daten zum Zwecke der Erbringung der Dienstleistungen und der anderweitigen Erf\u00fcllung seiner Verpflichtungen oder der Geltendmachung seiner Rechte aus dem Dienstleistungsvertrag und dieser DPA, in \u00dcbereinstimmung mit geltendem Recht und Befolgung aller anderen Anweisungen, die vom Kunden oder im Namen des Kunden erteilt werden (der “Zweck<\/strong>\u201d).\nStrada speichert personenbezogene Daten nur zu diesem Zweck, verwendet, legt sie offen oder verarbeitet sie auf andere Weise.\nDer Kunde ist daf\u00fcr verantwortlich, Strada alle relevanten Informationen zur Verf\u00fcgung zu stellen, die zur Erf\u00fcllung des Zwecks erforderlich sind, und stellt sicher, dass seine Anweisungen an Strada den Datenschutzgesetzen entsprechen.\nStrada wird den Kunden unverz\u00fcglich benachrichtigen, wenn ihrer Meinung nach eine Anweisung, die vom Kunden oder im Namen des Kunden erteilt wird, im Widerspruch zu einem Datenschutzgesetz steht; vorausgesetzt, dass Strada nicht daf\u00fcr verantwortlich ist, solche Konflikte zu suchen oder zu entdecken oder anderweitig sicherzustellen, dass solche Konflikte nicht existieren.\nF\u00fcr den Fall, dass Strada den Kunden \u00fcber einen solchen Konflikt informiert, kann Strada die Ausf\u00fchrung der anwendbaren Anweisung in dem Umfang aussetzen, der zur Vermeidung eines solchen Konflikts erforderlich ist, w\u00e4hrend die Parteien in gutem Glauben zusammenarbeiten, um diese Angelegenheit rechtzeitig zu l\u00f6sen. 2.2.\nLimits on Disclosure. <\/strong> Strada gibt keine personenbezogenen Daten an Dritte weiter, es sei denn, dies ist zur Erf\u00fcllung des Zwecks erforderlich und anderweitig in \u00dcbereinstimmung mit dieser DPA.\nDer Kunde darf personenbezogene Daten nur in dem von Strada angeforderten Umfang an Strada weitergeben oder soweit dies f\u00fcr den Zweck erforderlich ist.\nDer Kunde darf personenbezogene Daten nur in dem \u00fcblichen und vereinbarten Format und auf die vereinbarte Weise an Strada weitergeben. 2.3.\nCompliance with Data Protection Laws. <\/strong> Jede Vertragspartei kommt ihren Verpflichtungen aus den Datenschutzgesetzen nach.\nStrada unterst\u00fctzt den Kunden in angemessener Weise bei der Erf\u00fcllung seiner Verpflichtungen aus den Datenschutzgesetzen in Bezug auf die Verarbeitung personenbezogener Daten unter Ber\u00fccksichtigung der Art der Verarbeitung durch Strada und der Strada zur Verf\u00fcgung stehenden Informationen.\nStrada benachrichtigt den Kunden, wenn es Grund zu der Annahme hat, dass es seinen Verpflichtungen aus diesem DPA oder anderen geltenden Datenschutzgesetzen nicht nachkommen kann, in welchem Fall die Parteien in gutem Glauben zusammenarbeiten werden, um geeignete Ma\u00dfnahmen zur Bew\u00e4ltigung der Situation zu ermitteln. 2.4.\nSupervisory Authority Requests <\/strong>.\nIf Client receives a request for information from a competent supervisory authority in relation to Processing of Personal Data by Strada (including details regarding the Purpose), Strada shall provide reasonable assistance to Client in responding to such request to the extent Client does not otherwise have access to such information, and taking into account the nature of the Processing and information available to Strada. 2.5.\nData Protection Impact Assessment and Prior Consultation <\/strong>.\nStrada shall provide reasonable assistance to Client with any data protection impact assessments, and prior consultations with supervising authorities or other competent data privacy authorities, which Client reasonably considers to be required by the Data Protection Laws, in each case solely in relation to Processing of Personal Data by, and taking into account the nature of the Processing and information available to, Strada. 2.6.\nData Subject Rights. <\/strong> Strada benachrichtigt den Kunden unverz\u00fcglich, wenn es eine Anfrage einer betroffenen Person erh\u00e4lt, die Rechte aus den Datenschutzgesetzen in Bezug auf ihre personenbezogenen Daten geltend macht.\nStrada wird auf eine solche Anfrage nur auf schriftliche Anweisungen (einschlie\u00dflich E-Mail) des Kunden antworten oder wie es die Datenschutzgesetze vorschreiben. In diesem Fall wird Strada, soweit dies nach diesen Datenschutzgesetzen zul\u00e4ssig ist, den Kunden vor einer solchen Antwort \u00fcber diese Anforderung informieren.\nStrada wird den Kunden in angemessener Weise bei seinen Bem\u00fchungen unterst\u00fctzen, seinen Verpflichtungen zur Beantwortung solcher Anfragen nachzukommen, einschlie\u00dflich des Zugangs zu oder der Information \u00fcber die relevanten personenbezogenen Daten, der L\u00f6schung oder \u00c4nderung der relevanten personenbezogenen Daten, und zwar in jedem Fall, soweit dies nach den Datenschutzgesetzen und in \u00dcbereinstimmung mit den Datenschutzgesetzen erforderlich ist.\nWenn Strada aus Gr\u00fcnden, die nach den Datenschutzgesetzen zul\u00e4ssig sind, nicht in der Lage ist, eine solche Unterst\u00fctzung zu leisten, wird Strada den Kunden unverz\u00fcglich \u00fcber diese Tatsache informieren und diese Unterst\u00fctzung unverz\u00fcglich leisten, nachdem die Gr\u00fcnde f\u00fcr die Nichterf\u00fcllung abgelaufen sind. 2.7.\nReturn and Destruction. <\/strong> Auf schriftliches Verlangen des Kunden oder nach Beendigung oder Ablauf des Dienstleistungsvertrags ist Strada verpflichtet, und verlangt von seinen Unterauftragsverarbeitern,\n(a) eine Kopie der personenbezogenen Daten durch sichere Datei\u00fcbertragung im \u00fcblichen Format von Strada an den Kunden zur\u00fcckzugeben und\n(b) alle anderen Kopien personenbezogener Daten zu l\u00f6schen oder dauerhaft zu anonymisieren.\nStrada wird einer solchen schriftlichen Aufforderung innerhalb von 20 Werktagen nachkommen.\nStrada und seine Unterauftragsverarbeiter k\u00f6nnen personenbezogene Daten aufbewahren, soweit dies zur Erf\u00fcllung des Zwecks und zur Einhaltung des geltenden Rechts erforderlich ist, wobei in diesem Fall die Bedingungen dieser DPA so lange f\u00fcr diese personenbezogenen Daten gelten, wie sie aufbewahrt werden. 2.8.\nRecordkeeping. <\/strong> Strada f\u00fchrt genaue und aktuelle Aufzeichnungen \u00fcber die Verarbeitung personenbezogener Daten, einschlie\u00dflich\n(a) Aufzeichnungen \u00fcber den Zugang zu und die Sicherheit der personenbezogenen Daten, die Zwecke und Kategorien der Verarbeitung der personenbezogenen Daten und deren Unterauftragsverarbeiter und\n(b) alle anderen Aufzeichnungen, die nach den Datenschutzgesetzen erforderlich sind.\nDiese AVV dient als Verzeichnis der Verarbeitungst\u00e4tigkeiten gem\u00e4\u00df Art. 30 Abs. 2 DSGVO. 2.9.\nEmployees. <\/strong> Der Zugriff auf personenbezogene Daten erfolgt nur durch Mitarbeiter von Strada, die einen solchen Zugriff ben\u00f6tigen, um Strada im Zusammenhang mit dem Zweck zu unterst\u00fctzen.\nSofern nicht anders durch geltende lokale Gesetze eingeschr\u00e4nkt, verlangt Strada, dass alle neuen Mitarbeiter vor der Einstellung einer umfassenden Hintergrund\u00fcberpr\u00fcfung in \u00dcbereinstimmung mit den lokalen Gesetzen und Gepflogenheiten unterzogen werden.\nStrada verlangt, dass Vereinbarungen, die Geheimhaltungs- \/ Vertraulichkeitsbestimmungen enthalten, von allen neuen Mitarbeitern unterzeichnet werden.\nStrada bietet seinen Mitarbeitern regelm\u00e4\u00dfige Schulungen zu Datensicherheit und Datenschutz an 2.10.\nSubprocessors. <\/strong> Der Kunde erm\u00e4chtigt Strada in der Regel, Unterauftragsverarbeiter zu ernennen, um die Leistung der Dienste zu unterst\u00fctzen.\nStrada wird seine Unterauftragsverarbeiter im entsprechenden Auftragsformular, in der Leistungsbeschreibung, im \u00c4nderungsauftrag oder in einem anderen Dokument auff\u00fchren, in dem die jeweiligen Dienstleistungen ausf\u00fchrlicher beschrieben werden.\nNur in dem Umfang, der zur Einhaltung der Datenschutzgesetze erforderlich ist, hat der Kunde das Recht, innerhalb von 10 Werktagen nach einer solchen Mitteilung gegen jede \u00c4nderung Einspruch einzulegen; vorausgesetzt, dass der Kunde nur auf der Grundlage berechtigter Bedenken widersprechen kann, dass der neue oder ersetzende Unterauftragsverarbeiter nicht in der Lage ist, das von dieser DPA geforderte Schutzniveau f\u00fcr personenbezogene Daten zu gew\u00e4hrleisten.\nWenn der Kunde innerhalb dieser Frist keinen Einspruch gegen die Ernennung erhebt, kann Strada den neuen oder ersetzenden Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten beauftragen.\nWiderspricht der Kunde dem Termin innerhalb dieser Frist, kann Strada w\u00e4hlen,\n(a) einen solchen Unterauftragsverarbeiter nicht einzusetzen oder\n(b) die vom Kunden in seinem Einspruch geforderten Korrekturma\u00dfnahmen zu ergreifen und den Unterauftragsverarbeiter einzusetzen.\nStrada arbeitet nach Treu und Glauben mit dem Kunden zusammen, um Materialien zur Verf\u00fcgung zu stellen, die belegen, dass ein Unterauftragsverarbeiter in der Lage ist, das von dieser DPA geforderte Schutzniveau f\u00fcr personenbezogene Daten zu gew\u00e4hrleisten.\nStrada bleibt f\u00fcr die Nutzung, Offenlegung oder sonstige Verarbeitung personenbezogener Daten durch einen seiner Unterauftragsverarbeiter im gleichen Umfang verantwortlich, wie wenn eine solche Nutzung, Offenlegung oder sonstige Verarbeitung durch Strada erfolgen w\u00fcrde.\nBevor ein Unterauftragsverarbeiter personenbezogene Daten verarbeitet, f\u00fchrt Strada eine angemessene Sorgfaltspr\u00fcfung durch, um festzustellen, ob dieser Unterauftragsverarbeiter in der Lage ist, das von dieser DPA geforderte Schutzniveau f\u00fcr personenbezogene Daten zu gew\u00e4hrleisten.\nDie Vereinbarung zwischen Strada und jedem Unterauftragsverarbeiter wird durch einen schriftlichen Vertrag geregelt, der Anforderungen enth\u00e4lt, die konsistent und nicht weniger streng sind als die, die f\u00fcr Strada im Rahmen dieses DPA gelten.\nStrada erkl\u00e4rt, dass es ein Lieferantensicherheitsprogramm unterh\u00e4lt, das die Einhaltung solcher Vertr\u00e4ge durch Unterauftragsverarbeiter bewertet.\nAuf schriftliche Anfrage des Kunden stellt Strada dem Kunden eine Zusammenfassung der Datenschutzbedingungen des Unterauftragsverarbeiters zur Verf\u00fcgung (gegebenenfalls geschw\u00e4rzt, um vertrauliche Informationen zu sch\u00fctzen). <\/p>\n\n

2.11<\/strong> Zugriff durch Beh\u00f6rden.<\/strong> Wenn Strada oder einer seiner Vertreter aufgefordert oder verpflichtet wird, personenbezogene Daten aufgrund eines Gesetzes oder eines Gerichtsverfahrens au\u00dferhalb des definierten Zwecks an eine Regierungsbeh\u00f6rde (einschlie\u00dflich Strafverfolgungsbeh\u00f6rden) weiterzugeben oder anderweitig zu verarbeiten, wird Strada (sofern gesetzlich zul\u00e4ssig) eine solche Anfrage unverz\u00fcglich in angemessener Weise anfechten, den Kunden benachrichtigen und (auf Kosten des Kunden) bei den Bem\u00fchungen des Kunden um eine angemessene Schutzanordnung oder einen anderen Rechtsbehelf in angemessener Weise zusammenarbeiten.\nStrada wird der zust\u00e4ndigen Regierungsbeh\u00f6rde mitteilen, dass Strada ein\n(i) Verarbeiter der personenbezogenen Daten, der\n(ii) der Kunde eine solche Offenlegung nicht genehmigt hat und dass\n(iii) alle Anfragen oder Forderungen nach Zugang zu den personenbezogenen Daten sollten dem Kunden mitgeteilt oder ihm zugestellt werden.\nUngeachtet des Vorstehenden erkennt der Kunde an, dass eine solche Anfechtung angesichts der Art, des Umfangs, des Kontexts und der Zwecke der beabsichtigten beh\u00f6rdlichen Anfrage nicht immer angemessen oder m\u00f6glich ist.\nIn keinem Fall wird Strada mehr personenbezogene Daten offenlegen, als erforderlich sind, um der Aufforderung zur Offenlegung nachzukommen. Abschnitt 3.\nTechnische und organisatorische Ma\u00dfnahmen. <\/strong> Strada implementiert und pflegt geeignete physische, technische, organisatorische und administrative Ma\u00dfnahmen, die angemessen darauf ausgelegt sind, personenbezogene Daten vor unbefugter Zerst\u00f6rung, Verlust, Zugriff auf oder \u00c4nderung zu sch\u00fctzen, einschlie\u00dflich der Ma\u00dfnahmen, die in Anlage A aufgef\u00fchrt und in diese aufgenommen wurden.\nDie von Strada ergriffenen Ma\u00dfnahmen zum Schutz personenbezogener Daten m\u00fcssen koh\u00e4rent und nicht weniger streng sein als das, was nach den Datenschutzgesetzen erforderlich ist.\nStrada implementiert und pflegt schriftliche Datenschutz- und Informationssicherheitsrichtlinien, die den Branchenstandards entsprechen. <\/p>\n\n

Abschnitt 4.\nBenachrichtigung und Reaktion auf Datensicherheitsvorf\u00e4lle. <\/strong><\/p>\n\n

4.1.<\/strong> Strada benachrichtigt den Kunden unverz\u00fcglich und in \u00dcbereinstimmung mit den Anforderungen der geltenden Datenschutzgesetze \u00fcber jede best\u00e4tigte oder vern\u00fcnftigerweise vermutete Sicherheitsverletzung durch Strada oder einen seiner Unterauftragsverarbeiter, die zum unrechtm\u00e4\u00dfigen oder unbefugten Zugriff, zur \u00c4nderung, zur Zerst\u00f6rung, zur Offenlegung oder zum Verlust personenbezogener Daten f\u00fchrt (ein “Datensicherheitsvorfall”).<\/p>\n\n

4.2. <\/strong>Im Falle eines Datensicherheitsvorfalls ergreift Strada angemessene und geeignete Ma\u00dfnahmen, um\n(a) die Auswirkungen eines solchen Datensicherheitsvorfalls zu untersuchen,\n(b) die Ursache eines solchen Datensicherheitsvorfalls zu identifizieren,\n(c) den Datensicherheitsvorfall zu beheben und\n(d) ein erneutes Auftreten eines solchen Datensicherheitsvorfalls zu verhindern. 4.3. <\/strong>Strada wird dem Kunden unverz\u00fcglich Informationen \u00fcber die Art und die Folgen des Datensicherheitsvorfalls zur Verf\u00fcgung stellen, soweit Strada bekannt ist, einschlie\u00dflich solcher Informationen, die erforderlich sind, damit der Kunde die relevanten Parteien in \u00dcbereinstimmung mit den Datenschutzgesetzen benachrichtigen kann.\nStrada wird ohne vorherige Anweisung des Kunden keine Dritten benachrichtigen, dies schriftlich zu tun oder wenn dies gesetzlich vorgeschrieben ist. Abschnitt 5.\nAudits. <\/strong><\/p>\n\n

5.1<\/strong> Der Kunde kann auf eigene Kosten und nach angemessener Vorank\u00fcndigung an Strada die B\u00fccher, Aufzeichnungen und sonstigen Unterlagen von Strada pr\u00fcfen, soweit dies erforderlich ist, um die Einhaltung der Bedingungen dieser DPA durch Strada zu \u00fcberpr\u00fcfen; vorausgesetzt, dass der Kunde seine Pr\u00fcfungsrechte aus diesem Vertrag nicht mehr als einmal in einem Zeitraum von 12 Monaten aus\u00fcben darf (es sei denn, dies ist gesetzlich vorgeschrieben oder im Zusammenhang mit einer Pr\u00fcfung, die von einer staatlichen Stelle eingeleitet wurde, die f\u00fcr den Kunden zust\u00e4ndig ist).\nJede solche Pr\u00fcfung findet w\u00e4hrend der normalen Gesch\u00e4ftszeiten statt und darf den normalen Gesch\u00e4ftsbetrieb von Strada nicht unangemessen beeintr\u00e4chtigen, und Strada ist nicht verpflichtet, Informationen offenzulegen oder anderweitig Zugang zu Informationen zu gew\u00e4hren, deren Offenlegung dazu f\u00fchren w\u00fcrde, dass Strada gegen eine Vertraulichkeitsverpflichtung oder geltendes Recht verst\u00f6\u00dft.\nDer Kunde kann einen Dritten mit der Durchf\u00fchrung einer solchen Pr\u00fcfung beauftragen, solange dieser Dritte kein Wettbewerber von Strada ist und eine Vertraulichkeitsvereinbarung abschlie\u00dft, die f\u00fcr Strada akzeptabel ist.\nAudits im Rahmen dieser DPA unterliegen allen zus\u00e4tzlichen Bedingungen in Bezug auf Audits im Dienstleistungsvertrag. <\/p>\n\n

5.2<\/strong> Wenn Strada die Einhaltung von branchenweit anerkannten Zertifizierungen oder genehmigten Verhaltenskodizes (wie z. B. ISO 27001, EU Cloud Code of Conduct oder SOC 2 Typ 2 Auditbericht) nachweist, darf der Kunde nur Bereiche pr\u00fcfen, die nicht von diesen Zertifizierungen oder genehmigten Verhaltensregeln abgedeckt sind.Abschnitt 6.\nCCPA\/CPRA. <\/strong> Dieser Abschnitt gilt f\u00fcr alle personenbezogenen Daten, die dem CCPA\/CPRA unterliegen.6.1. <\/strong>Der Kunde erkl\u00e4rt und garantiert Strada, dass alle personenbezogenen Daten, die vom oder im Namen des Kunden im Rahmen dieser Vereinbarung offengelegt werden, ausschlie\u00dflich f\u00fcr den Zweck bereitgestellt werden, der ein “Gesch\u00e4ftszweck” (wie in CCPA\/CPRA definiert) ist.6.2. <\/strong>Strada speichert, verwendet und gibt personenbezogene Daten nur f\u00fcr diesen Zweck und nicht f\u00fcr andere kommerzielle Zwecke oder anderweitig au\u00dferhalb der Beziehung zwischen Strada und dem Kunden weiter.\nStrada darf personenbezogene Daten nicht verkaufen, weitergeben oder vermischen, es sei denn, dies ist ausdr\u00fccklich durch den CCPA\/CPRA gestattet.\nStrada kommt seinen Verpflichtungen aus dem CCPA\/CPRA nach.\nStrada wird den Kunden unverz\u00fcglich benachrichtigen, wenn es seinen Verpflichtungen aus dem CCPA\/CPRA nicht mehr nachkommen kann. 6.3. <\/strong>Strada erkennt an und stimmt zu, dass der Kunde das Recht hat, angemessene und geeignete Schritte zu unternehmen, um\n(a) sicherzustellen, dass Strada die personenbezogenen Daten in einer Weise verwendet, die mit den Verpflichtungen des Kunden gem\u00e4\u00df CCPA\/CPRA vereinbar ist, und\n(b) die unbefugte Nutzung personenbezogener Daten zu stoppen und zu beheben. 6.4. <\/strong>Der Kunde ist verpflichtet, Strada unverz\u00fcglich \u00fcber jede Anfrage eines Verbrauchers gem\u00e4\u00df CCPA\/CPRA zu informieren, der Strada nachkommen muss, und die Informationen bereitzustellen, die Strada ben\u00f6tigt, um einer solchen Anfrage nachzukommen.<\/p>\n\n

Abschnitt 7.\nEinzelheiten zur Verarbeitung. <\/strong> Bestimmte Informationen \u00fcber die Verarbeitung personenbezogener Daten durch Strada, die gem\u00e4\u00df Artikel 28 Absatz 3 der DSGVO erforderlich sind, sind in Anlage B aufgef\u00fchrt, die hierin enthalten ist.\nDer Kunde kann von Zeit zu Zeit angemessene \u00c4nderungen an Anlage B vornehmen, indem er Strada dar\u00fcber informiert, wenn er dies zur Erf\u00fcllung dieser Anforderungen f\u00fcr erforderlich h\u00e4lt.\nNichts in Anlage B verleiht einer Partei ein Recht oder erlegt ihr eine Verpflichtung auf. <\/p>\n\n

Abschnitt 8.\nGrenz\u00fcberschreitende \u00dcberweisungen. <\/strong><\/p>\n\n

8.1.\nGeneral. <\/strong>Keine der Parteien wird personenbezogene Daten grenz\u00fcberschreitend \u00fcbermitteln, es sei denn, eine solche \u00dcbermittlung entspricht den Datenschutzgesetzen.\nDie Parteien werden bei Bedarf angemessen zusammenarbeiten, um festzustellen, ob eine grenz\u00fcberschreitende \u00dcbermittlung personenbezogener Daten zwischen dem Kunden und Strada im Zusammenhang mit dem Zweck den Datenschutzgesetzen entspricht. <\/p>\n\n

8.2.\nSCCs. <\/strong>Wenn eine \u00dcbertragung personenbezogener Daten zwischen dem Kunden und Strada die Ausf\u00fchrung der SCCs erfordert, um die Datenschutzgesetze einzuhalten, schlie\u00dfen der Kunde als Verantwortlicher und Datenexporteur und Strada als Auftragsverarbeiter und Datenimporteur hiermit die SCCs ab, die ab dem Beginn einer solchen \u00dcbertragung wirksam sind (und hierin durch Verweis aufgenommen werden).\nDie Vertragsparteien verwenden das Modul II (Verantwortlicher zum Auftragsverarbeiter) der Standardvertragsklauseln, das wie folgt ausgef\u00fcllt wird: <\/p>\n\n

8.2.1. <\/strong>Klausel 7: Es gilt die optionale Docking-Klausel.<\/p>\n\n

8.2.2. <\/strong>Klausel 9: Option 2 gilt, und die Frist f\u00fcr die Benachrichtigung \u00fcber \u00c4nderungen des Unterauftragsverarbeiters ist die in dieser DPA vereinbarte.<\/p>\n\n

8.2.3. <\/strong>Klausel 11(a): Die fakultative Formulierung findet keine Anwendung.<\/p>\n\n

8.2.4. <\/strong>Klausel 13 und Anhang I.C.: Die Aufsichtsbeh\u00f6rde der Republik Irland ist die zust\u00e4ndige Aufsichtsbeh\u00f6rde.<\/p>\n\n

8.2.5. <\/strong>Klausel 17: Option 1 findet Anwendung, und das anwendbare Recht ist das Recht der Republik Irland.<\/p>\n\n

8.2.6. <\/strong>Klausel 18(b): Streitigkeiten werden von den Gerichten der Republik Irland beigelegt.<\/p>\n\n

8.2.7. <\/strong>Anhang I:\n(a) Die Liste der Parteien ist in der Dienstleistungsvereinbarung und in jedem anwendbaren Auftragsformular, jeder Leistungsbeschreibung, jedem \u00c4nderungsauftrag oder einem anderen Dokument, in dem die anwendbaren Dienstleistungen ausf\u00fchrlicher beschrieben sind, festgelegt;\n(b) die Beschreibungen der \u00dcbertragung sind in Anlage B<\/strong> (Einzelheiten der Verarbeitung) dargelegt; und (c) die zust\u00e4ndige Aufsichtsbeh\u00f6rde ist wie oben dargelegt. <\/p>\n\n

8.2.8. <\/strong><\/a>Anhang II: Die technischen und organisatorischen Ma\u00dfnahmen sind in Anlage A<\/strong> (Technische und organisatorische Ma\u00dfnahmen) dargelegt, die f\u00fcr Strada und seine Unterauftragsverarbeiter im Wesentlichen gleich sind.<\/p>\n\n

8.2.9. <\/strong>Anhang III: Die Liste der Unterauftragsverarbeiter wird gem\u00e4\u00df Abschnitt 2.10 (Unterauftragsverarbeiter) gef\u00fchrt.<\/p>\n\n

8.2.10. <\/strong>Die Parteien k\u00f6nnen die Anh\u00e4nge zu den Standardvertragsklauseln in jedem Auftragsformular, jeder Leistungsbeschreibung, jedem \u00c4nderungsauftrag oder in einem anderen Dokument erg\u00e4nzen, in dem die anwendbaren Dienstleistungen ausf\u00fchrlicher beschrieben werden, die durch Bezugnahme in Bezug auf diese Dienstleistungen als Bestandteil dieser Vereinbarung gelten.\nIm Falle eines Widerspruchs oder einer Widerspr\u00fcchlichkeit zwischen dieser DPA oder einem solchen erg\u00e4nzenden Dokument einerseits und den SCCs andererseits haben die SCCs Vorrang, soweit dies nach den Datenschutzgesetzen erforderlich ist.\nUngeachtet gegenteiliger Bestimmungen in diesem Vertrag d\u00fcrfen diese DPA oder ein solches erg\u00e4nzendes Dokument in keinem Fall direkt oder indirekt die Rechte der betroffenen Personen gem\u00e4\u00df den Datenschutzgesetzen beeintr\u00e4chtigen. <\/p>\n\n

8.3.\nUK IDTA <\/strong>.\nIf any transfer of Personal Data between Client and Strada requires execution of the UK IDTA in order to comply with Data Protection Laws, Client, as controller and data exporter, and Strada, as processor and data importer, hereby enter into (and incorporate herein by reference) the UK IDTA effective as of the commencement of such transfer.\nThe UK IDTA shall be populated as follows: <\/p>\n\n

8.3.1. <\/strong>Teil 1, Tabelle 1 (Parteien): Die Parteien sind wie in der Dienstleistungsvereinbarung und allen anwendbaren Bestellformularen, Leistungsbeschreibungen, \u00c4nderungsauftr\u00e4gen oder anderen Dokumenten festgelegt, die die anwendbaren Dienstleistungen ausf\u00fchrlicher beschreiben.<\/p>\n\n

8.3.2. <\/strong>Teil 1, Tabelle 2 (Ausgew\u00e4hlte SCCs, Module und ausgew\u00e4hlte Klauseln): Das UK IDTA ist den SCCs gem\u00e4\u00df Abschnitt 8.2 (SCCs) hinzuzuf\u00fcgen.<\/p>\n\n

8.3.3. <\/strong>Teil 1, Tabelle 3 (Anhangsinformationen): Die Anhangsinformationen m\u00fcssen in Abschnitt 8.2 (SCCs) dargelegt sein.<\/p>\n\n

8.3.4. <\/strong>Teil 1, Tabelle 4 (Beendigung dieses Nachtrags, wenn sich der genehmigte Nachtrag \u00e4ndert): Keine der Parteien kann das britische IDTA gem\u00e4\u00df Abschnitt 19 beenden.<\/p>\n\n

8.4.\nSwiss Data Protection Act <\/strong>.\nThe SCCs, as set forth in Section 8.2 (SCCs), shall apply to any cross-border transfers of Personal Data governed by the Swiss Data Protection Act, with the following modifications: <\/p>\n\n

8.4.1. <\/strong>Alle Verweise in den SCCs auf die \u00abVerordnung (EU) 2016\/679\u00bb sind als Verweise auf das schweizerische Datenschutzgesetz auszulegen, und alle Verweise in den SCCs auf bestimmte Artikel der \u00abVerordnung (EU) 2016\/679\u00bb werden durch den entsprechenden Artikel oder Abschnitt des schweizerischen Datenschutzgesetzes ersetzt.<\/p>\n\n

8.4.2. <\/strong>Alle Verweise in den SCCs auf “EU”, “Union”, “Mitgliedstaat” oder “Recht der Mitgliedstaaten” sind als Verweise auf die Schweiz und das Recht der Schweiz auszulegen und d\u00fcrfen nicht so ausgelegt werden, dass betroffene Personen in der Schweiz von der Aus\u00fcbung ihrer Rechte an ihrem gew\u00f6hnlichen Aufenthaltsort gem\u00e4\u00df Klausel 18(c) der SCCs ausgeschlossen sind.\nIn Anbetracht des Vorstehenden wird Klausel 17 der SCCs dahingehend ge\u00e4ndert, dass das anwendbare Recht das Recht der Schweiz ist. <\/p>\n\n

8.4.3. <\/strong>Alle Verweise in den SCCs auf “zust\u00e4ndige Aufsichtsbeh\u00f6rde” oder “zust\u00e4ndige Gerichte” sind als Verweise auf den Eidgen\u00f6ssischen Datenschutz- und \u00d6ffentlichkeitsbeauftragten der Schweiz (der “Schweizerischer ED\u00d6B<\/strong>“) und gegebenenfalls die Gerichte der Schweiz. Um das Vorstehende zu f\u00f6rdern, werden (a) Klausel 13 und Anhang I.C. der SCCs dahingehend ge\u00e4ndert, dass der Schweizer ED\u00d6B die Befugnis f\u00fcr Daten\u00fcbermittlungen hat, die dem Schweizerischen Datenschutzgesetz unterliegen (wobei vereinbart wird, dass die Zust\u00e4ndigkeit f\u00fcr Daten\u00fcbermittlungen, die nicht dem Schweizerischen Datenschutzgesetz unterliegen, wie in diesem DPA anderweitig festgelegt) und (b) Klausel 18(b) der SCCs dahingehend ge\u00e4ndert wird, dass Streitigkeiten werden von den Gerichten der Schweiz beigelegt.<\/p>\n\n

Abschnitt 9.\nVerbundene Kunden. <\/strong>Die Bedingungen dieser DPA gelten gleicherma\u00dfen f\u00fcr alle personenbezogenen Daten, die von oder im Auftrag von Strada f\u00fcr ein verbundenes Unternehmen des Kunden verarbeitet werden.\nDer Kunde erkl\u00e4rt und garantiert, dass er jederzeit ordnungsgem\u00e4\u00df und effektiv autorisiert ist und bleiben wird, diese DPA abzuschlie\u00dfen und alle seine Verpflichtungen aus dieser DPA im Namen jedes dieser verbundenen Unternehmen des Kunden zu erf\u00fcllen.\nDer Kunde haftet jederzeit f\u00fcr die Einhaltung dieser DPA durch die verbundenen Unternehmen des Kunden, und alle Handlungen und Unterlassungen der verbundenen Unternehmen des Kunden, die Dienstleistungen im Rahmen des Dienstleistungsvertrags erhalten, gelten als Handlungen und Unterlassungen des Kunden. <\/p>\n\n

Abschnitt 10.\nPflichten des Kunden. <\/strong>Wenn der Kunde Strada anweist, personenbezogene Daten an einen Kunden, einen Anbieter oder einen anderen Vertreter (mit Ausnahme von Strada) weiterzugeben, ist der Kunde f\u00fcr die Handlungen und Unterlassungen dieses Anbieters oder eines anderen Vertreters in Bezug darauf verantwortlich.\nDer Kunde ist daf\u00fcr verantwortlich, alle Rechte (einschlie\u00dflich der rechtm\u00e4\u00dfigen Rechtsgrundlagen) aufrechtzuerhalten, alle Lizenzen, Genehmigungen, Genehmigungen und Zustimmungen einzuholen und alle Mitteilungen zu machen, die in jedem Fall erforderlich sind, damit Strada personenbezogene Daten zu diesem Zweck verarbeiten kann.\nDer Kunde bleibt daf\u00fcr verantwortlich, sicherzustellen, dass seine Aufbewahrung, Nutzung, Offenlegung oder sonstige Verarbeitung personenbezogener Daten seinen Richtlinien und Praktiken sowie den daf\u00fcr geltenden Gesetzen entspricht. <\/p>\n\n

Abschnitt 11.\nAusdruck; Wirkung der K\u00fcndigung. <\/strong>Die Laufzeit dieser DPA beginnt mit dem Datum des Inkrafttretens des Dienstleistungsvertrags und dauert so lange an, wie der Dienstleistungsvertrag in Kraft bleibt oder Strada oder einer seiner Unterauftragsverarbeiter personenbezogene Daten aufbewahrt.\nDie Rechte und Pflichten der Parteien, die ihrer Natur nach die K\u00fcndigung oder den Ablauf dieser DPA \u00fcberdauern sollten, bleiben auch nach einer solchen K\u00fcndigung oder einem solchen Ablauf bestehen. <\/p>\n\n

Abschnitt 12.\nVerschiedenes. 12.1.\nEntire Agreement. <\/strong>Diese DPA gilt als Bestandteil des Dienstleistungsvertrags und als Teil davon.\nDiese DPA stellt zusammen mit der Dienstleistungsvereinbarung die einzige und vollst\u00e4ndige Vereinbarung der Parteien in Bezug auf den Vertragsgegenstand dar und ersetzt alle vorherigen und gleichzeitigen Absprachen, Vereinbarungen, Zusicherungen und Garantien, sowohl schriftlich als auch m\u00fcndlich, in Bezug auf diesen Gegenstand.\nZur Vermeidung von Missverst\u00e4ndnissen wird darauf hingewiesen, dass alle Anspr\u00fcche und Verbindlichkeiten, die sich aus oder im Zusammenhang mit dieser DPA ergeben, unter den Bedingungen des Dienstleistungsvertrags geltend gemacht werden, einschlie\u00dflich aller darin enthaltenen Bestimmungen in Bezug auf Entsch\u00e4digung, Haftungsbeschr\u00e4nkung, Streitbeilegung, Rechtswahl oder Gerichtsstand. 12.2.\nSeverability. <\/strong>Sollte eine Bestimmung dieser DPA oder deren Anwendung auf eine Person, einen Ort oder einen Umstand von einem zust\u00e4ndigen Gericht f\u00fcr ung\u00fcltig, nichtig oder nicht durchsetzbar erkl\u00e4rt werden, so bleiben der Rest dieser DPA und die Bestimmung, die auf andere Personen, Orte oder Umst\u00e4nde angewendet wird, in vollem Umfang in Kraft und wirksam und ung\u00fcltig. Nichtige oder nicht durchsetzbare Bestimmungen werden im gr\u00f6\u00dftm\u00f6glichen gesetzlich zul\u00e4ssigen Umfang durchgesetzt.12.3.\nAmendment; Waiver. <\/strong>Die Parteien vereinbaren, angemessene Ma\u00dfnahmen zu ergreifen, die erforderlich sind, um diese DPA von Zeit zu Zeit zu \u00e4ndern, soweit dies f\u00fcr die Parteien erforderlich ist, um die Datenschutzgesetze einzuhalten.\nDiese DPA darf nicht ge\u00e4ndert oder anderweitig modifiziert werden, es sei denn, eine solche Erg\u00e4nzung oder Modifikation wird schriftlich festgelegt, als Erg\u00e4nzung oder Modifikation dieser DPA gekennzeichnet und von einem bevollm\u00e4chtigten Vertreter jeder der Parteien unterzeichnet.\nAuf keine Bestimmung dieses DPA kann verzichtet werden, es sei denn, ein solcher Verzicht wird schriftlich niedergelegt, als Verzicht auf diesen DPA gekennzeichnet und von einem bevollm\u00e4chtigten Vertreter der verzichtenden Partei unterzeichnet.\nSofern in diesem DPA nichts anderes bestimmt ist, gilt kein Vers\u00e4umnis oder keine Verz\u00f6gerung einer Partei bei der Aus\u00fcbung eines Rechts aus diesem DPA als Verzicht darauf, noch schlie\u00dft eine einzelne oder teilweise Aus\u00fcbung davon eine andere oder weitere Aus\u00fcbung desselben oder die Aus\u00fcbung eines anderen Rechts aus. 12.4.\nNo Third Party Beneficiaries. <\/strong>Diese DPA ist f\u00fcr die Parteien und ihre jeweiligen Rechtsnachfolger und zul\u00e4ssigen Abtretungsempf\u00e4nger bindend und kommt ihnen zugute, und nichts hierin ist, weder ausdr\u00fccklich noch stillschweigend, dazu bestimmt oder soll einer anderen Person ein gesetzliches oder billigkeitsrechtliches Recht, einen Vorteil oder ein Rechtsmittel jeglicher Art im Rahmen oder aufgrund dieser DPA \u00fcbertragen.12.5.\nRelationship of the Parties. <\/strong>Die Beziehung zwischen den Parteien ist die von unabh\u00e4ngigen Auftragnehmern, und diese DPA begr\u00fcndet keine Agentur, Partnerschaft, Joint Venture, Treuhand, Franchise oder Arbeitsverh\u00e4ltnis zwischen den Parteien (oder zwischen einer Partei und einem Vertreter der anderen Partei).\nKeine der Parteien hat aufgrund dieses DPA das Recht, die Befugnis oder die Autorit\u00e4t, weder ausdr\u00fccklich noch stillschweigend, die andere Partei zu binden. 12.6.\nForce Majeure; Excused Performance. <\/strong>Ungeachtet gegenteiliger Bestimmungen in diesem DPA haftet Strada nicht f\u00fcr die Nichteinhaltung seiner Verpflichtungen aus diesem DPA oder f\u00fcr eine andere Handlung oder Unterlassung, die auf Folgendes zur\u00fcckzuf\u00fchren ist, noch als Versto\u00df gegen diesen DPA.\n(a) jede Nichteinhaltung der Verpflichtungen des Kunden aus diesen oder aus den Datenschutzgesetzen,\n(b) jede Handlung oder Unterlassung eines Verk\u00e4ufers oder eines anderen Vertreters des Kunden (mit Ausnahme von Strada und seinen Unterauftragsverarbeitern) oder\n(c) jede h\u00f6here Gewalt oder andere Handlungen oder Umst\u00e4nde, die au\u00dferhalb der angemessenen Kontrolle von Strada liegen; vorausgesetzt, dass nichts in diesem Abschnitt die Verpflichtung von Strada zur Durchf\u00fchrung seines Business Continuity- und Disaster Recovery-Programms einschr\u00e4nkt oder anderweitig beeintr\u00e4chtigt.\nJede der Vertragsparteien unternimmt wirtschaftlich vertretbare Anstrengungen, um die Auswirkungen der vorstehenden Umst\u00e4nde abzumildern. 12.7.\nInterpretation. <\/strong>Alle Unklarheiten in dieser DPA werden zugunsten einer Bedeutung gel\u00f6st, die es beiden Parteien erm\u00f6glicht, die Datenschutzgesetze einzuhalten.\nSofern der ausdr\u00fcckliche Kontext nichts anderes erfordert, beziehen sich die W\u00f6rter “hiervon”, “hierin”, “hierunter” und W\u00f6rter von \u00e4hnlicher Bedeutung auf diese DPA als Ganzes und nicht auf eine bestimmte Bestimmung dieser DPA, Verweise auf einen bestimmten Abschnitt beziehen sich auf die Abschnitte in dieser DPA, sofern nicht ausdr\u00fccklich etwas anderes bestimmt ist, und die W\u00f6rter “einschlie\u00dfen”, “einschlie\u00dflich” und W\u00f6rter von \u00e4hnlicher Bedeutung gelten als gefolgt von den Worten “ohne Einschr\u00e4nkung”.\nDie Bildunterschriften oder \u00dcberschriften in dieser DPA dienen nur der \u00dcbersichtlichkeit und sind nicht als Teil einer Bestimmung dieser DPA zu betrachten oder beeinflussen deren Auslegung oder Interpretation. <\/p>\n\n

12.9 <\/strong>Gesch\u00e4ftliche Kontaktinformationen<\/strong>.\nStrada und der Kunde k\u00f6nnen die gesch\u00e4ftlichen Kontaktinformationen der anderen Partei, zu denen auch personenbezogene Daten wie der Name und die gesch\u00e4ftliche E-Mail-Adresse einer Person geh\u00f6ren, verarbeiten, um eine Person in beruflicher oder gesch\u00e4ftlicher Funktion zu kontaktieren, zu identifizieren oder zu authentifizieren.\nDiese Verarbeitung erfolgt als unabh\u00e4ngige Verantwortliche unabh\u00e4ngig davon, ob sie gesch\u00e4ftlich t\u00e4tig sind, um die Dienste zu erbringen und zu erhalten.\nJede der Parteien hat geeignete technische und organisatorische Ma\u00dfnahmen ergriffen und befolgt diese, um die gesch\u00e4ftlichen Kontaktinformationen der anderen Partei zu sch\u00fctzen. 12.8.\nNotices. <\/strong>Alle Mitteilungen im Rahmen dieses DPA an Strada sind an stradaclientcontracting@migration.stradaglobal.com<\/a> Alle Mitteilungen im Rahmen dieses DPA an den Kunden sind in \u00dcbereinstimmung mit dem Dienstleistungsvertrag zu senden.<\/p>\n\n

Anlage A – Technische und organisatorische Ma\u00dfnahmen<\/strong><\/p>\n\n

1. Physische Sicherheit. <\/strong><\/p>\n\n

Strada unterh\u00e4lt Sicherheitskontrollen f\u00fcr Zugangspunkte, Wartebereiche, Telekommunikationsbereiche und Verkabelungsbereiche, die Informationsverarbeitungssysteme oder Medien mit personenbezogenen Daten enthalten.\nZu den Sicherheitskontrollen geh\u00f6ren: <\/p>\n\n