Nachtrag zur Datenverarbeitung (Data Processing Addendum, DPA)
Dieser Nachtrag zur Datenverarbeitung („DPA“) ist durch Verweis fester Bestandteil der Nutzungsbedingungen von monday.com (verfügbar unter www.monday.com/terms/tos) oder anderer Vereinbarungen, welche die Nutzung der Dienstleistungen von monday.com regeln („Vereinbarung“) sowie von und zwischen Ihnen, dem Kunden (gemäß der Definition der Vereinbarung) (gemeinsam bezeichnet als „Sie“, „Ihr/e“, „Kunde“) und monday.com Ltd. („monday.com“, „uns“, „wir“, „unser/e“) abgeschlossen wurden, um die zwischen den Parteien getroffene Vereinbarung betreffend die ausschließlich im Namen des Kunden durch monday.com erfolgende Datenverarbeitung zu reflektieren. Beide Parteien werden gemeinsam als die „Parteien“ und einzeln als eine „Partei“ bezeichnet.
Großgeschriebene Begriffe, die hier nicht definiert sind, haben die Bedeutung, die diesen Begriffen in der Vereinbarung zugewiesen wird.
Durch die Nutzung der Dienstleistungen akzeptiert der Kunde diesen DPA und Sie sichern zu und gewährleisten, dass Sie uneingeschränkt befugt sind, den Kunden an diesen DPA zu binden. Falls Sie diesen DPA nicht einhalten können oder nicht einverstanden sind, oder nicht die Befugnis haben, den Kunden oder eine andere juristische Person zu binden, stellen Sie uns bitte keine personenbezogenen Daten zur Verfügung.
Im Falle eines Widerspruchs zwischen bestimmten Bestimmungen dieser DSV und den Bestimmungen der Vereinbarung haben die Bestimmungen dieser DSV Vorrang vor den widersprüchlichen Bestimmungen der Vereinbarung ausschließlich in Bezug auf die Verarbeitung personenbezogener Daten.
- DEFINITIONEN
(a) „Verbundenes Unternehmen“ bedeutet jede juristische Person, welche die betreffende juristische Person direkt oder indirekt kontrolliert, von dieser kontrolliert wird oder mit der betreffenden juristischen Person einer gemeinsamen Kontrolle untersteht. Zum Zwecke dieser Definition bedeutet „Kontrolle/kontrollieren“ die direkte oder indirekte Inhaberschaft von oder Kontrolle über mehr als 50 % der Stimmrechte der betreffenden juristischen Person.
(b) „Befugtes verbundenes Unternehmen“ bedeutet jedes der mit dem Kunden verbundenen Unternehmen, welches ausdrücklich befugt ist, die Dienstleistungen gemäß der zwischen dem Kunden und monday.com abgeschlossenen Vereinbarung zu nutzen, jedoch keine eigene Vereinbarung mit monday.com unterzeichnet hat und kein „Kunde“ gemäß der in der Vereinbarung enthaltenen Definition ist.
(c) „CCPA“ bedeutet California Consumer Privacy Act of 2018, Cal. Civ. Code §§ 1798.100 et. Seq [CCPA – Verbraucherdatenschutzgesetz des US-Bundesstaates Kalifornien aus dem Jahre 2018, Kalifornisches Zivilgesetzbuch Abs. 1798.100 ff.] sowie dessen Durchführungsverordnungen in ihrer jeweils geltenden Fassung.
(d) Die Begriffe „Verantwortlicher“, „Mitgliedstaat“, „Auftragsverarbeiter“, „Verarbeitung“ und „Aufsichtsbehörde“ erhalten dieselbe Bedeutung wie in der DSGVO. Die Begriffe „Unternehmen“, „Unternehmenszweck“, „Verbraucher“ und „Dienstleistungsanbieter“ erhalten dieselbe Bedeutung wie im CCPA.
Um Missverständnisse auszuschließen und insoweit das CCPA gilt, ist in diesem DPA „Verantwortlicher“ gleichbedeutend mit „Unternehmen“ und „Auftragsverarbeiter“ gleichbedeutend mit „Dienstleistungsanbieter“. In diesem Sinne bezieht sich der Begriff Unterauftragsverarbeiter des Auftragsverarbeiters auch auf das Konzept des Dienstleistungsanbieters.
(e) „Datenschutzgesetze“ bedeutet alle geltenden und bindenden Gesetze und Verordnungen zum Schutz des Persönlichkeitsrechts sowie zum Datenschutz, einschließlich derer, die in der Europäischen Union, im Europäischen Wirtschaftsraum und in deren Mitgliedstaaten, der Schweiz, im Vereinten Königreich, in Kanada, Israel und in den USA gelten, einschließlich der DSGVO, der GDPR des Vereinten Königreichs und dem CCPA, und welche zum Zeitpunkt der Verarbeitung der personenbezogenen Daten gemäß dieser Vereinbarung auf diese Verarbeitung anwendbar und wirksam waren.
(f) „Betroffene Person“ bedeutet die identifizierte oder identifizierbare natürliche Person, auf die sich die personenbezogenen Daten beziehen.
(g) „DSGVO“ bedeutet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 betreffend den Schutz natürlicher Personen hinsichtlich der Verarbeitung personenbezogener Daten und des freien Verkehrs solcher Daten.
(h) „Personenbezogene Daten“ oder „persönliche Informationen“ bedeutet alle Informationen, die eine identifizierte oder identifizierbare natürliche Person oder einen Verbraucher identifizieren, sich auf diese/n beziehen, diese/n beschreiben, mit dieser/n in direkten oder indirekten Zusammenhang oder hinreichend mit ihr/ihm in Verbindung gebracht werden können und die von monday.com ausschließlich im Namen des Kunden gemäß diesem DPA und der Vereinbarung verarbeitet werden.
(i) „Services“ bezeichnet die cloudbasierten Dienste von monday.com, einschließlich unserer Plattformen, Produkte, Services, Anwendungen, Programmierschnittstellen („API“), Tools und aller zusätzlichen oder ergänzenden Produkte und Services von monday.com (einschließlich Upgrades (wie in der Vereinbarung definiert)), die online und über mobile Anwendungen angeboten werden („Plattform“), sowie alle anderen Services, die dem Kunden von monday.com im Rahmen der Vereinbarung bereitgestellt werden.
(j) „Sicherheitsdokumentation“ bedeutet die Sicherheitsdokumentation in ihrer jeweils geltenden Fassung, welche die von monday.com ergriffenen technischen und organisatorischen Maßnahmen darlegt, welche die Verarbeitung personenbezogener Daten gemäß der Vereinbarung und dem DPA durch monday.com regeln. Der DPA ist unter www.monday.com/trustcenter/datasecure verfügbar oder wird dem Kunden von monday.com auf andere angemessene Weise zugänglich gemacht.
(k) „Sensible Daten“ bedeutet personenbezogene Daten, welche von einer besonderen Gesetzgebung geschützt werden und einer einzigartigen Handhabung bedürfen, wie beispielsweise „besondere Kategorien von Daten“, „sensible Daten“ oder andere im Wesentlichen ähnliche Begriffe gemäß den anwendbaren Datenschutzgesetzen, welche unter anderem Folgendes umfassen können: (a) Sozialversicherungsnummer, Steueridentifikationsnummer, Ausweisnummer, Führerscheinnummer oder ähnliche Identifizierungsnummern (oder jegliche Teile davon); (b) finanzielle oder kreditbezogene Informationen, Kredit – oder Debitkartennummern; (c) Information, welche die ethnische Herkunft, politische Ansichten, religiöse oder philosophische Überzeugungen, die Mitgliedschaft in einer Gewerkschaft, genetische oder biometrische Daten offenlegen, um eine natürliche Person eindeutig zu identifizieren, sowie Daten betreffend die Gesundheit, das Sexualleben oder die sexuelle Orientierung oder Informationen zu strafrechtlichen Verurteilungen und Straftaten; (d) personenbezogene Daten bezüglich Kindern; und/oder (e) Kontopasswörter in kenntlicher Form.
(l) „Standardvertragsklauseln“ bedeutet (a) in Bezug auf die Übermittlung personenbezogener Daten, welche der DSGVO unterliegen, die Standardvertragsklausen zwischen Verantwortlichen und Auftragsverarbeitern (mit Standort hier) sowie zwischen unterschiedlichen Auftragsverarbeitern (mit Standort hier) gemäß der Bestätigung durch den Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021, einschließlich aller Anlagen I, II und V zu diesem Schriftstück, („EU SVK“), (b) in Bezug auf die Übermittlung personenbezogener Daten, welche der GDPR des Vereinten Königreichs unterliegen, der International Data Transfer Addendum zu den Standardvertragsklauseln der Europäischen Kommission vom 21. März 2022 (Fassung B.1.0) („IDTA“), und zwar in der Fassung, in der er in Form von Anlage III als fester Bestandteil in die EU SVK aufgenommen wurde („Nachtrag UK“) und (c) in Bezug auf Datenübermittlungen, welche dem Bundesgesetz über den Datenschutz (in der Fassung vom 25. September 2020) unterliegen, die in Anlage IV der EU SVK („Nachtrag Schweiz“) dargelegten Bestimmungen.
(m) „Unterauftragsverarbeiter“ bedeutet eine Drittpartei, welche auf Anweisung von monday.com spezielle Tätigkeiten zur Verarbeitung personenbezogener Daten durchführt.
(n) „UK GDPR“ bedeutet der Data Protection Act 2018 sowie die DSGVO, insoweit sie kraft Abs. 3 European Union (Withdrawal) Act 2018 Teil der Gesetzgebung von England und Wales, Schottland und Nordirland ist und insoweit sie durch die Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 (SI 2019/419) geändert wurde.
- VERARBEITUNG PERSONENBEZOGENER DATEN
2.1. Rollen der Parteien. Die Parteien bestätigen und stimmen zu, dass betreffend die ausschließlich durch monday.com im Namen des Kunden erfolgende Verarbeitung personenbezogener Daten: (a) der Kunde der Verantwortliche für die personenbezogenen Daten ist, und (b) monday.com der Auftragsverarbeiter solcher personenbezogenen Daten ist. Die nachfolgenden Begriffe „Verantwortlicher“ und „Auftragsverarbeiter“ bezeichne jeweils den Kunden bzw. monday.com.
2.2. Verpflichtungen des Kunden. Der Kunde hat bei der Nutzung der Dienstleistungen sowie im Rahmen seiner Anweisungen an den Auftragsverarbeiter die Datenschutzgesetze, die Vereinbarung und diesen DPA einzuhalten. Der Kunde hat sämtliche erforderlichen Rechtsgrundlagen zu etablieren und zu erhalten, um die personenbezogenen Daten zu erheben, zu verarbeiten und an den Auftragsverarbeiter zu übermitteln und die im Namen des Kunden vom Auftragsverarbeiter gemäß der Vereinbarung und diesem DPA durchgeführten Verarbeitungsaktivitäten zu bewilligen. Dies umfasst auch die Verfolgung eines Geschäftszwecks.
2.3 Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter. Der Auftragsverarbeiter hat die personenbezogenen Daten zu folgenden Zwecken zu verarbeiten: (a) gemäß der Vereinbarung und diesem DPA; (b) in Verbindung mit dessen Bereitstellung der Dienstleistungen; (c) um den angemessenen und dokumentierten Anweisungen des Kunden nachzukommen, sofern diese Anweisungen nicht in Konflikt mit den Bestimmungen der Vereinbarung und diesem DPA stehen und die Art und Weise berücksichtigen, in der die Verarbeitung stattzufinden hat; (d) zur Weitergabe personenbezogener Daten an Dritte oder zum Erhalt personenbezogener Daten von Dritten gemäß den Anweisungen des Kunden und/oder im Rahmen der Nutzung der Dienste durch den Kunden (z. B. Integrationen zwischen den Diensten und von Dritten bereitgestellten Diensten, die vom Kunden oder im Namen des Kunden konfiguriert wurden); (e) zur Umwandlung personenbezogener Daten in anonyme Informationen (wie im Vertrag definiert); und (f) gemäß den erforderlichen Gesetzen, welche für den Auftragsverarbeiter gelten, und/oder gemäß einem Beschluss, welcher von einem zuständigen Gericht oder einer anderen zuständigen Regierungs- oder halbstaatlichen Behörde erlassen wurde, sofern der Auftragsverarbeiter den Kunden vor der Verarbeitung über etwaige Rechtserfordernisse informiert, vorausgesetzt, die Offenlegung solcher Informationen ist nicht kraft Gesetz oder Beschluss untersagt.
Sofern es dem Auftragsverarbeiter gemäß den Datenschutzgesetzen nicht untersagt ist, den Kunden zu benachrichtigen, hat der Auftragsverarbeiter den Kunden unverzüglich zu informieren, wenn nach vernunftgemäßer Ansicht des Auftragsverarbeiters eine Anweisung des Kunden betreffend die Verarbeitung personenbezogener Daten gegen die anwendbaren Datenschutzgesetze verstößt. Hiermit sei eindeutig festgestellt, dass der Auftragsverarbeiter keinerlei Verpflichtung unterliegt, zu beurteilen, ob die vom Kunden gegebenen Anweisungen gegen die Datenschutzgesetze verstoßen.
2.4. Einzelheiten zur Datenverarbeitung. Der Gegenstand der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter ist die Erbringung der Dienstleistungen gemäß der Vereinbarung und diesem DPA. Die Einzelheiten betreffend die Dauer und Art sowie den Zweck und Typ personenbezogener Daten und Kategorien betroffener Personen, welche gemäß diesem DPA verarbeitet werden, werden in Anhang 1 (Einzelheiten zur Datenverarbeitung) dieses DPA näher erläutert.
2.5. Sensible Daten. Die Parteien stimmen zu, dass die Dienstleistungen nicht zur Verarbeitung sensibler Daten bestimmt sind. Sollte der Kunde jedoch wünschen, die Dienstleistungen zur Verarbeitung sensibler Daten zu nutzen, muss dieser zunächst die ausdrückliche, vorherige schriftliche Einwilligung von monday.com einholen und sämtliche von monday.com unter Umständen verlangten Zusatzvereinbarungen abschließen.
2.6. CCPA Standard of Care (Sorgfaltsstandard); kein Verkauf oder Weitergabe von Personenbezogenen Daten. Der Verarbeiter erkennt an und bestätigt, dass er keine personenbezogenen Daten als Gegenleistung für Services oder andere Leistungen erhält oder verarbeitet, die der Verarbeiter dem Kunden unter dem Vertrag oder dieses DPA zur Verfügung stellt. Der Verarbeiter versichert, dass er die Regeln, Anforderungen und Definitionen des CCPA versteht und sich verpflichtet, ohne vorherige schriftliche Zustimmung oder Anweisung des Kunden keine persönlichen Informationen zu verkaufen oder weiterzugeben (wie diese Begriffe im CCPA definiert sind), noch irgendeine Handlung vorzunehmen, die dazu führen würde, dass eine Übertragung von personenbezogenen Daten an oder von dem Verarbeiter unter dem Vertrag oder dieses DPA als „Verkauf“ und/oder „Weitergabe“ solcher Informationen unter dem CCPA qualifiziert wird. Der Verarbeiter erkennt an, dass der Kunde dem Verarbeiter personenbezogenen Daten nur zu begrenzten und spezifizierten Zwecken gemäß dieses DPA und dem Vertrag offenlegt. Der Verarbeiter darf alle personenbezogenen Daten nur (a) für solche begrenzten und spezifischen Zweck(e) und (b) in Übereinstimmung mit den anwendbaren Abschnitten des CCPA verarbeiten. Der Verarbeiter darf (i) persönliche Informationen nicht außerhalb der direkten Geschäftsbeziehung der Parteien, wie im Vertrag beschrieben, oder zu einem Geschäfts- oder kommerziellen Zweck, der nicht dem spezifischen Geschäftszweck der Erbringung der Dienstleistungen oder wie sonst durch CCPA, den Vertrag und/oder dieses DPA gestattet, behalten, verwenden oder offenlegen; noch (ii) Personenbezogenen Daten, die der Verarbeiter im Namen anderer Parteien verarbeitet, mit persönlichen Informationen des Kunden logisch trennen – es sei denn, dies ist ausdrücklich unter dem CCPA, seinen Durchführungsverordnungen, dem Vertrag und/oder dieses DPA zwischen den Parteien gestattet. Der Verarbeiter erkennt weiterhin an, dass der Kunde das Recht hat, nach Benachrichtigung angemessene und geeignete Schritte zu unternehmen, um jede unbefugte Nutzung von personenbezogenen Daten durch den Verarbeiter zu stoppen und zu beheben. Der Verarbeiter wird den Kunden benachrichtigen, falls der Verarbeiter zu der Feststellung gelangt, dass er seine Verpflichtungen unter dem CCPA nicht mehr erfüllen kann.
- ANFRAGEN BETROFFENER PERSONEN
Sollte der Auftragsverarbeiter eine Anfrage von einer betroffenen Person oder dem Verbraucher erhalten, um ihre Rechte (in dem Umfang, der ihnen nach den geltenden Datenschutzgesetzen zusteht) auszuüben, einschließlich des Rechts auf Zugriff, Berichtigung, Beschränkung der Verarbeitung, Löschung, Datenübertragbarkeit, Widerspruch gegen die Verarbeitung, Nichtteilnahme am automatisierten, individuellen Entscheidungsprozess, Ablehnung der Veräußerung personenbezogener Daten oder Nichtdiskriminierung („Anfragen der betroffenen Personen“), hat der Auftragsverarbeiter den Kunden zu benachrichtigen oder die betroffene Person bzw. den Verbraucher an den Kunden weiterzuleiten. Unter Berücksichtigung der Art der Datenverarbeitung hat der Auftragsverarbeiter den Kunden so weit wie möglich und angemessen zu unterstützen, sodass der Kunde die Anfrage der betroffenen Person beantworten kann. Es ist dem Auftragsverarbeiter gestattet, betroffene Personen oder Verbraucher an den Admin des Kunden weiterzuleiten – damit solche Anfragen bearbeitet werden können oder damit eine Beratung dahingehend erfolgen kann, wie sie ihre Rechte mittels der auf der Plattform verfügbaren Funktionen ausüben können.
- VERTRAULICHKEIT
Der Auftragsverarbeiter hat sicherzustellen, dass seine Angestellten und Auftragnehmer, welche an der Verarbeitung personenbezogener Daten beteiligt sind, sich der Vertraulichkeit unterworfen haben oder anderweitig einer gesetzlichen Vertraulichkeitsverpflichtung unterliegen.
- UNTERAUFTRAGVERARBEITER
5.1. Beauftragung von Unterauftragsverarbeitern
Der Kunde bestätigt und stimmt zu, dass (a) die verbundenen Unternehmen des Auftragsverarbeiters als Unterauftragsverarbeiter eingesetzt werden können; und (b) der Auftragsverarbeiter und die verbundenen Unternehmen des Auftragsverarbeiters jeweils Dritt-Unterauftragsverarbeiter in Verbindung mit der Bereitstellung der Services beauftragen können.
5.2.Liste aktueller Unterauftragsverarbeiter und Benachrichtigung betreffend neue Unterauftragsverarbeiter
5.2.1. Hiermit gewährt der Kunde dem Auftragsverarbeiter mit Stand vom Datum des Inkrafttretens eine allgemeine schriftliche Befugnis zur Zusammenarbeit mit den Unterauftragsverarbeitern, welche unter www.monday.com/terms/subprocessors („Seite der Unterauftragsverarbeiter“) aufgeführt sind und derzeit vom Auftragsverarbeiter eingesetzt werden, um personenbezogene Daten zu verarbeiten.
5.2.2. Die Seite der Unterauftragsverarbeiter bietet eine Funktion zum Abonnieren von Benachrichtigungen betreffend die Beauftragung neuer und das Ersetzen bestehender Unterauftragsverarbeiter („Benachrichtigungen betreffend die Unterauftragsverarbeiter“) und der Kunde bestätigt, dass er diese Funktion bei Abschluss dieses DPA abonniert und dass die mittels dieser Funktion gesendeten Benachrichtigungen die Verpflichtungen des Auftragsverarbeiters erfüllen, gemäß denen er den Kunden über die Beauftragung neuer oder das Ersetzen bestehender Unterauftragsverarbeiter zu informieren hat.
5.3. Widerspruch gegen neue Unterauftragsverarbeiter. Gemäß der Veröffentlichung einer Benachrichtigung betreffend die Unterauftragsverarbeiter ist der Kunde berechtigt, der Beauftragung eines neuen oder ersetzten Unterauftragsverarbeiters durch den Auftragsverarbeiter aus einem angemessenen Grund zu widersprechen, welcher im Zusammenhang mit dem Schutz der personenbezogenen Daten steht, die vom betreffenden Unterauftragsverarbeiter verarbeitet werden sollen. Solch ein Widerspruch ist umgehend innerhalb von sieben (7) Tagen nach Veröffentlichung solch einer Benachrichtigung betreffend die Unterauftragsverarbeiter vorzubringen, indem der Auftragsverarbeiter schriftlich unter der E-Mail-Adresse privacy@monday.com benachrichtigt wird. Inhalt einer solchen Benachrichtigung sind die detaillierten Gründe dafür, warum der Beauftragung des betreffenden neuen Unterauftragsverarbeiters widersprochen wird. Sollte der Kunde nicht innerhalb der Frist von sieben (7) Tagen mittels des vorstehend beschriebenen Verfahrens widersprochen haben, gilt die Beauftragung des neuen Unterauftragsverarbeiters als vom Kunden akzeptiert. Gesetzt den Fall, dass der Kunde der Beauftragung eines neuen Unterauftragsverarbeiters angemessen und wie im vorstehenden Satz erlaubt widerspricht, wird der Auftragsverarbeiter angemessene Anstrengungen unternehmen, um dem Kunden eine Änderung der Dienstleistungen zur Verfügung zu stellen oder eine wirtschaftlich angemessene Änderung der Konfiguration oder der Nutzung der Dienstleistungen durch den Kunden vorzuschlagen, um die Verarbeitung personenbezogener Daten durch den neuen, abgelehnten Unterauftragsverarbeiter zu vermeiden, ohne dass dies eine unangemessene Belastung für den Kunden darstellt. Sollte der Auftragsverarbeiter nicht in der Lage sein, innerhalb von dreißig (30) Tagen nach Erhalt des Widerspruchs eine solche Änderung zur Verfügung zu stellen, ist der Kunde berechtigt, als einziges Rechtsmittel die Vereinbarung und diesen DPA in Hinblick auf diese Services und/oder diejenigen Komponenten der Services durch Kündigungsschreiben an den Auftragsverarbeiter zu kündigen, welche der Auftragsverarbeiter nicht Bereitstellen kann, ohne dass der abgelehnte neue Unterauftragsverarbeiter beteiligt ist. Dies ist die alleinige Abhilfemaßnahme. Alle gemäß der Vereinbarung vor dem Kündigungsdatum ausstehenden Beträge hinsichtlich der entsprechenden Datenverarbeitung sind ordnungsgemäß an den Auftragsverarbeiter zu zahlen. Bis eine Entscheidung betreffend den neuen Unterauftragsverarbeiter getroffen wurde, ist der Auftragsverarbeiter berechtigt, die Verarbeitung der betreffenden personenbezogenen Daten zeitweise zu vermeiden oder einzustellen und/oder den Zugriff auf die jeweiligen Services zu sperren. In dem in diesem Abschnitt beschriebenen Fall erhält der Kunde gegen den Auftragsverarbeiter keine weiteren Ansprüche aus der Kündigung der Vereinbarung (einschließlich, jedoch nicht beschränkt auf etwaige Erstattungsanfragen) und/oder des DPA.
5.4. Vereinbarung mit den Unterauftragsverarbeitern. Der Auftragsverarbeiter oder ein verbundenes Unternehmen des Auftragsverarbeiters hat mit jedem bestehenden Unterauftragsverarbeiter eine schriftliche Vereinbarung abgeschlossen und hat auch mit jedem neuen Unterauftragsverarbeiter eine schriftliche Vereinbarung abzuschließen, welche dieselben oder im Wesentlichen dieselben Datenschutzverpflichtungen enthält, die auch in diesem DPA enthalten sind. Dies betrifft insbesondere Verpflichtungen zur Ergreifung solcher technischer und organisatorischer Maßnahmen, welche sicherstellen, dass die Datenverarbeitung die Erfordernisse der DSGVO erfüllt. Sollte ein Unterauftragsverarbeiter seine Datenschutzverpflichtungen hinsichtlich seiner Verarbeitung personenbezogener Daten nicht erfüllen, bleibt der Auftragsverarbeiter gegenüber dem Kunde dafür verantwortlich, dass der Unterauftragsverarbeiter seine Verpflichtungen erfüllt.
- SICHERHEIT & PRÜFUNGEN
6.1. Kontrollmaßnahmen für den Schutz personenbezogener Daten. Der Auftragsverarbeiter hat angemessene, den branchenüblichen Normen entsprechende technische und organisatorische Maßnahmen zum hiernach erforderten Schutz personenbezogener Daten zu ergreifen (einschließlich Maßnahmen gegen die unbefugte oder gesetzeswidrige Datenverarbeitung sowie gegen die versehentliche oder gesetzeswidrige Zerstörung, den Verlust oder die Änderung oder etwaige Schäden sowie gegen die unbefugte Offenlegung von oder den unbefugten Zugriff auf personenbezogene(n) Daten und zum Schutz der Vertraulichkeit und Integrität personenbezogener Daten). Auf angemessene Anfrage des Kunden hat der Auftragsverarbeiter dem Kunden eine angemessene Unterstützung zu gewähren, welche auf Kosten des Kunden erfolgt und den Bestimmungen des nachfolgenden Absatzes 11.1 unterliegt, um sicherzustellen, dass die Verpflichtungen gemäß Artikel 32 bis 36 DSGVO eingehalten werden, wobei die Art der Datenverarbeitung und die dem Auftragsverarbeiter zur Verfügung gestellten Informationen zu berücksichtigen sind.
6.2. Prüfungen und Inspektionen. Auf schriftliche Anfrage des Kunden, welche dieser mit einer Vorabfrist von 14 Tagen und in angemessenen Intervallen (jedoch nicht häufiger als einmal in 12 Monaten) zu stellen hat, sowie unter Ergreifung strikter Maßnahmen zur Sicherstellung der Vertraulichkeit durch den Kunden, hat der Auftragsverarbeiter einem Kunden, welcher kein Wettbewerbskonkurrent des Auftragsverarbeiters sein darf (oder dem unabhängigen, seriösen Drittprüfer des Kunden, welcher kein Wettbewerbskonkurrent des Auftragsverarbeiters ist, nicht in Konflikt mit dem Auftragsverarbeiter steht und der Vertraulichkeit sowie dem Wettbewerbsverbot unterliegt), Informationen zur Verfügung zu stellen, welche erforderlich sind, um die Einhaltung dieses DPA zu belegen und von ihm durchgeführte Prüfungen, einschließlich Inspektionen, zu ermöglichen und zu unterstützen. Der Auftragsverarbeiter ist berechtigt, seine gemäß diesem Absatz bestehenden Verpflichtungen zu erfüllen, indem er die fragebogenbasierten Prüfungen des Kunden beantwortet und/oder indem er dem Kunden Bescheinigungen, Zertifizierungen und Zusammenfassungen von Prüfungsberichten bereitstellt, welche von akkreditierten Drittprüfern ausschließlich betreffend die Einhaltung des DPA durch den Auftragsverarbeiter angefertigt werden. Jegliche Informationen betreffend die Prüfungen, Inspektionen und die daraus resultierenden Ergebnisse, einschließlich etwaiger Dokumente, welche die sich daraus ergebenden Resultate darlegen, sind vom Kunden ausschließlich dafür zu verwenden, um die Einhaltung dieses DPA durch den Auftragsverarbeiter zu beurteilen und sind nicht für andere Zwecke zu verwenden oder gegenüber Dritten offenzulegen, ohne dass die schriftliche Einwilligung des Auftragsverarbeiters im Voraus eingeholt wurde. Auf erstmaliger Anfrage des Auftragsverarbeiters hat der Kunde dem Auftragsverarbeiter sämtliche Unterlagen und Dokumentationen zukommen zu lassen, welche im Rahmen einer Prüfung und/oder Inspektion vom Auftragsverarbeiter bereitgestellt oder vom Kunden (oder seinen jeweilig beauftragten Prüfern) erhoben und/oder generiert wurden.
6.3. Im Falle einer wie vorstehend dargelegten Prüfung oder Inspektion hat der Kunde sicherzustellen, dass er (sowie seine jeweilig beauftragten Prüfer) keinerlei Schäden, Verletzungen oder Störungen des Betriebs, der Geschäftsräume und Ausstattung sowie des Personals und Geschäfts verursacht (oder sollte dies nicht vermieden werden können, dass er diese auf ein Mindestmaß reduziert), während er solch eine Prüfung oder Inspektion durchführt.
6.4. Die Prüfungsrechte, welche im vorstehenden Abs. 6.2 dargelegt werden, gelten nur insoweit die Vereinbarung dem Kunden keine anderweitigen Prüfungsrechte gewährt, welche die zutreffenden Erfordernisse der Datenschutzgesetze erfüllen (einschließlich Artikel 28(3)(h) DSGVO oder UK GDPR, falls zutreffend). Insofern und insoweit die Standardvertragsklauseln gelten, bleiben diese Standardklauseln von diesem Absatz 6 unberührt. Etwaige Rechte von Aufsichtsbehörden oder betroffenen Personen, welche ihnen gemäß den Standardvertragsklauseln zustehen, bleiben ebenfalls unberührt.
- MANAGEMENT VON DATENZWISCHENFÄLLEN UND BENACHRICHTIGUNG
7.1. Der Auftragsverarbeiter unterhält interne Richtlinien für die Verwaltung von Sicherheitsvorfällen und, insoweit dies gemäß den geltenden Datenschutzgesetzen erforderlich ist, hat er den Kunden umgehend zu benachrichtigen, sobald er Kenntnis von versehentlichen oder gesetzeswidrigen Zerstörungen, Verlusten, Änderungen, unbefugten Offenlegungen von oder Zugriffen auf personenbezogene Daten („Datenvorfall“) erlangt, welche vom Auftragsverarbeiter im Namen des Kunden verarbeitet werden. Der Auftragsverarbeiter hat angemessene Anstrengungen zu unternehmen, um etwaige Schritte zu identifizieren und einzuleiten, die der Auftragsverarbeiter als erforderlich und angemessen erachtet, um die Ursache für einen Datenvorfall zu beseitigen und/oder abzuschwächen, insoweit solch eine Beseitigung und/oder Abschwächung in der angemessenen Kontrolle des Auftragsverarbeiters liegt. Die hierin beschriebenen Verpflichtungen haben keinerlei Gültigkeit für Datenvorfälle, die der Kunde, dessen Benutzer oder von einer anderen Person verursacht wurden, welche die Dienstleistungen im Namen des Kunden nutzen.
7.2. Es ist dem Kunden untersagt, Erkenntnisse, Haftungsanerkennungen, Kommunikationen, Meldungen, Presseerklärungen oder Berichte betreffend einen Datenvorfall, welche den Auftragsverarbeiter direkt oder indirekt identifizieren, abzugeben, offenzulegen, freizugeben oder zu veröffentlichen (einschließlich im Rahmen etwaiger Rechtsverfahren oder in etwaigen Meldungen an Regulierungs- oder Aufsichtsbehörden oder betroffene Parteien), ohne im Voraus die schriftliche Genehmigung des Auftragsverarbeiters eingeholt zu haben, sofern und ausschließlich insoweit der Kunde verpflichtet ist, dies gemäß den anwendbaren Datenschutzgesetzen zu tun. Sofern dies nicht kraft geltender Gesetze untersagt ist, gilt in letzterem Fall, dass der Kunde verpflichtet ist, dem Auftragsverarbeiter eine angemessene schriftliche Benachrichtigung im Voraus zukommen zu lassen, damit der Auftragsverarbeiter die Möglichkeit erhält, Widerspruch gegen solch eine Offenlegung einzulegen. In jedem Fall hat der Kunde die Offenlegung auf das kraft dieser Gesetze erforderliche Mindestmaß zu beschränken.
- RÜCKGABE UND LÖSCHUNG PERSONENBEZOGENER DATEN
Nach Kündigung der Vereinbarung und Einstellung der Dienstleistungserbringung sowie auf Wunsch des Kunden (kundgetan über die Plattform oder mittels schriftlicher Benachrichtung an den Auftragsverarbeiter) hat der Auftragsverarbeiter nach Aufforderung durch den Kunden diesem sämtliche personenbezogenen Daten zurückzugeben, die er im Namen des Kunden auf die in der Vereinbarung beschriebenen Art und Weise verarbeitet hat, oder diese zu löschen, sofern die für den Auftragsverarbeiter geltenden Gesetze keine anderweitigen Erfordernisse oder Genehmigungen vorsehen.
- GRENZÜBERSCHREITENDE DATENÜBERMITTLUNG
9.1 Datenübertragung aus dem EWR, der Schweiz und dem Vereinten Königreich in Länder, welche ein angemessenes Datenschutzniveau bieten. Personenbezogene Daten können aus EU-Mitgliedstaaten sowie aus Norwegen, Island und Liechtenstein (gemeinsam bezeichnet als „EWR“), aus der Schweiz und dem Vereinten Königreich („UK“) in Länder übermittelt werden, welche ein angemessenes Datenschutzniveau gemäß den und Kraft der Angemessenheitsbeschlüsse in ihrer jeweiligen Fassung bieten, die von den jeweils zuständigen Behörden des EWR, der Schweiz und/oder des UK veröffentlicht wurden, einschließlich ähnlich genehmigter Mechanismen und Rahmenwerke („Angemessenheitsbeschlüsse“), ohne dass weitere Schutzmaßnahmen erforderlich sind. Zur Klarstellung: Der Begriff „Angemessenheitsbeschlüsse“ umfasst den Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023, mit dem der EU-US-Datenschutzrahmen geschaffen wurde.
9.2. Direkte Datenübermittlung aus dem EWR, der Schweiz und dem Vereinten Königreich in andere Länder. Sollte die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter eine direkte Übermittlung vom Kunden an monday.com beinhalten:
(i) vom EWR in andere Länder beinhalten, die keinen entsprechenden Angemessenheitsbeschlüssen unterliegen und sollten solche Datenübermittlungen nicht mittels eines alternativen, gemäß den Datenschutzgesetzen anerkannten Konformitätsinstruments erfolgen (welches vom Auftragsverarbeiter in eigenem Ermessen übernommen werden kann) („Datenübermittlung EWR“), gelten die Bestimmungen der EU-Standardvertragsklauseln;
(ii) vom UK in andere Länder beinhalten, die keinen entsprechenden Angemessenheitsbeschlüssen unterliegen und sollten solche Datenübermittlungen nicht mittels eines alternativen, gemäß den Datenschutzgesetzen anerkannten Konformitätsinstruments erfolgen (welches vom Auftragsverarbeiter in eigenem Ermessen übernommen werden kann) („Datenübermittlung UK“), gelten die Bestimmungen des Nachtrags UK;
(iii) von der Schweiz in andere Länder beinhalten, die keinen entsprechenden Angemessenheitsbeschlüssen unterliegen und sollten solche Datenübermittlungen nicht mittels eines alternativen, gemäß den Datenschutzgesetzen anerkannten Konformitätsinstruments erfolgen (welches vom Auftragsverarbeiter in eigenem Ermessen übernommen werden kann) („Datenübermittlung Schweiz“), gelten die Bestimmungen des Nachtrags Schweiz;
(iv) die in Anlage V der EU-Standardvertragsklauseln (Zusätzliche Schutzmaßnahmen) festgelegten Bestimmungen gelten für die Datenübermittlung EWR, für die Datenübermittlung UK sowie für die Datenübermittlung Schweiz, sofern die Standardvertragsklauseln gelten.
9.3. Weiterübermittlung aus dem EWR, der Schweiz und dem Vereinigten Königreich in andere Länder. Wenn der Verarbeiter personenbezogene Daten aus Ländern des EWR, des Vereinigten Königreichs und der Schweiz an autorisierte Unter-Auftragsverarbeiter, einschließlich der Tochtergesellschaften des Verarbeiters, in Länder weiterüberträgt, die keinem Angemessenheitsbeschluss unterliegen, gelten die jeweiligen Standardvertragsklauseln (Modul 3), die im Anhang des Durchführungsbeschlusses der Kommission (EU) 2021/914 vom 4. Juni 2021 und jegliche zugehörigen Anhänge („SCCs“) aufgeführt sind, sowie die IDTA und/oder die SCCs, angepasst gemäß der Anleitung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten vom 27. August 2021 zwischen dem Verarbeiter und seinen jeweiligen Unter-Auftragsverarbeitern und Tochtergesellschaften.
9.4. Datenübertragung aus anderen Ländern: Sollte die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter die vom Kunden durchgeführte und/oder angeordnete Übertragung von personenbezogenen Daten an den Auftragsverarbeiter beinhalten, die von einem Hoheitsgebiet aus erfolgt, welches ein bestimmtes Konformitätsinstrument erfordert, um eine rechtmäßige Datenübermittlung durchzuführen, hat der Kunde den Auftragsverarbeiter zu solchen geltenden Anforderungen zu benachrichtigen. Ferner haben sich die Parteien zu bemühen, jegliche erforderlichen Änderungen dieses DPA gemäß den Bestimmungen des nachfolgenden Absatzes 11.2 vorzunehmen.
- BEFUGTE VERBUNDENE UNTERNEHMEN
10.1. Vertragsverhältnis. Die Parteien bestätigen und stimmen zu, dass der Kunde mit Ausführung dieses DPA die DPA in eigenem Namen und, sofern zutreffend, im Namen und im Auftrag seiner befugten verbundenen Unternehmen (in welchem Fall jedes verbundene Unternehmen zustimmt, sich den Verpflichtungen zu unterwerfen, welche dem Kunden gemäß dem DPA auferlegt wurden) eingeht, sofern und insoweit der Auftragsverarbeiter personenbezogene Daten im Namen solch eines verbundenen Unternehmens verarbeitet, wodurch es folglich zum „Verantwortlichen“ betreffend die in seinem Namen verarbeiteten personenbezogenen Daten werden würde. Jeglicher Zugriff auf sowie sämtliche Nutzung der Dienstleistungen durch die verbundenen Unternehmen unterliegen den Bestimmungen und Bedingungen der Vereinbarung und dieses DPA. Jedwede Verletzung der darin enthaltenen Bestimmungen und Bedingungen seitens eines verbundenen Unternehmens gilt als Verletzung seitens des Kunden.
10.2. Kommunikation. Der Kunde bleibt für die Koordinierung der gesamten Kommunikation mit dem Auftragsverarbeiter im Rahmen der Vereinbarung und diesem DPA verantwortlich und ist berechtigt, jegliche Kommunikation in Bezug auf diesen DPA im Namen seiner befugten verbundenen Unternehmen zu tätigen und zu empfangen.
- SONSTIGE BESTIMMUNGEN
11.1. Datenschutzfolgeabschätzung und vorherige Beratung. Auf angemessene Anfrage des Kunden gewährt der Auftragsverarbeiter dem Kunden auf dessen Kosten eine angemessene Zusammenarbeit und Unterstützung, die erforderlich ist, um die gemäß der DSGVO oder der UK GDPR (soweit anwendbar) bestehenden Verpflichtung des Kunden zur Durchführung einer Datenschutzfolgeabschätzung im Zusammenhang mit der Nutzung der Dienstleistungen durch den Kunden zu erfüllen, soweit der Kunde nicht anderweitig Zugang zu den relevanten Informationen hat und soweit diese Informationen dem Auftragsverarbeiter zur Verfügung stehen. Der Auftragsverarbeiter unterstützt den Kunden im Rahmen der Erfüllung seiner gemäß diesem Absatz 11.1 bestehenden Aufgaben bei der Zusammenarbeit oder vorherigen Beratung mit der Aufsichtsbehörde auf Kosten des Kunden sowie in angemessener Weise, soweit dies gemäß DSGVO oder UK GDPR erforderlich ist.
11.2. Änderungen. Jede der Parteien ist berechtigt, eine schriftliche Anfrage betreffend die Änderung dieses DPA zu stellen, indem sie der jeweils anderen Partei unter Einhaltung einer Vorabfrist von mindestens fünfundvierzig (45) Kalendertagen ein entsprechendes Schreiben zukommen lässt. Dies gilt für den Fall, dass solch eine Änderung aufgrund einer Änderung der geltenden Datenschutzgesetze erforderlich wird, damit die beabsichtigte (oder fortzuführende) Verarbeitung personenbezogener Daten ohne eine Verletzung dieser Datenschutzgesetze erfolgen kann. Gemäß solch einer Benachrichtigung haben die Parteien wirtschaftlich angemessene Maßnahmen zu ergreifen, um solch eine erforderliche Änderung zu realisieren. Ferner haben sie Verhandlungen nach Treu und Glauben durchzuführen, die darauf abzielen, solche oder alternative Änderungen zu vereinbaren und umzusetzen, damit die gemäß den geltenden Datenschutzgesetzen bestehenden Erfordernisse, welche in der Benachrichtigung des Kunden oder des Auftragsverarbeiters festgestellt wurden, so schnell wie möglich erfüllt werden können. Ferner ist der Auftragsverarbeiter berechtigt, diesen DPA von Zeit zu Zeit und ohne Benachrichtigung zu ändern, sofern solche Änderungen nicht in Konflikt zu wesentlichen Aspekten der Rechte des Kunden oder der Verpflichtungen des Auftragsverarbeiters stehen (d.h. Korrektur von Fehlern oder Rechtschreibfehlern, Vornahme technischer Änderungen oder Anpassungen, die aus anderen Gründen vorgenommen werden, die der Auftragsverarbeiter als erforderlich ansieht). Zu Klarstellung: Sollte der Auftragsverarbeiter eine im Wesentlichen nachteilige Änderung betreffend die Rechte des Kunden oder die Verpflichtungen des Auftragsverarbeiters vornehmen, hat der Auftragsverarbeiter den Kunden zu benachrichtigen, indem er eine Benachrichtigung auf der Webseite oder über die Plattform veröffentlicht und/oder eine diesbezügliche E-Mail sendet.
ANHANG 1 – EINZELHEITEN ZUR DATENVERARBEITUNG
Art und Zweck der Verarbeitung
- Erbringung der Dienstleistungen für den Kunden;
- Erfüllung der Vereinbarung, dieses DPA und/oder anderer von und zwischen den Parteien abgeschlossener Verträge;
- Handeln auf Anweisung des Kunden, wenn diese Anweisungen mit den Bestimmungen der Vereinbarung übereinstimmen;
- Teilen personenbezogener Daten mit Dritten gemäß den Anweisungen des Kunden und/oder gemäß der Verwendung der Dienstleistungen durch den Kunden (z.B. Integrationen zwischen den Dienstleistungen und etwaigen Services, die von Dritten bereitgestellt werden, sowie entsprechend den Konfigurationen, die von oder im Namen des Kunden vorgenommen wurden, um das Teilen personenbezogener Daten zwischen den Dienstleistungen und solchen Services Dritter zu ermöglichen);
- Anonymisierung von personenbezogenen Daten;
- Einhalten der geltenden Gesetze und Vorschriften;
- Alle Aufgaben, die mit einem der oben genannten Punkte zusammenhängen.
Verarbeitungsdauer
Vorbehaltlich der Abschnitte des DPA und/oder der Vereinbarung, die sich mit der Dauer der Datenverarbeitung und den Folgen ihres Ablaufs oder ihrer Beendigung befassen, wird der Auftragsverarbeiter personenbezogene Daten während der Laufzeit der Vereinbarung und für die Dauer der vertragsgemäßen Dienstleistungserbringung verarbeiten, sofern nicht schriftlich etwas anderes vereinbart wurde.
Art der personenbezogenen Daten
Der Kunde kann personenbezogene Daten an den Dienst übermitteln, wobei die Art und der Umfang dieser Daten vom Kunden nach eigenem Ermessen bestimmt und kontrolliert wird.
Kategorien von Datensubjekten
Die Kategorien betroffener Personen im Hinblick auf die personenbezogenen Daten, welche vom Auftragsverarbeiter verarbeitet werden, sind durch den Kunden bedingt und umfassen, sind aber nicht beschränkt auf, die nachfolgenden Kategorien:
- Mitarbeiter, Erfüllungsgehilfen, Berater, Freelancer des Kunden (die natürliche Personen sind)
- Interessenten, Kunden, Geschäftspartner und Lieferanten des Kunden (die natürliche Personen sind)
- Mitarbeiter oder Kontaktpersonen von Interessenten, Kunden, Geschäftspartnern und Verkäufern des Kunden
- Jede andere dritte Person, deren personenbezogene Daten von den Services verarbeitet werden.