Abonnementvertrag für Acre Intrusion Connect

Datum: 15. Mai 2024

von und zwischen

Vanderbilt International AB
Englundavägen 7
Feld 1275
17124 Solna
Schweden

und

Sie, der Endbenutzer oder Dienstanbieter, abonnieren und/oder nutzen den Acre Intrusion Connect Softwaredienst

Abonnement-Vereinbarung

§ 1 Geltungsbereich

1. Die folgende Abonnementvereinbarung gilt für den Acre Intrusion Connect Software Service und die dazugehörigen Dienste, die von Vanderbilt International (SWE) AB (im Folgenden als „Vanderbilt“ bezeichnet) für Endbenutzer und/oder Dienstanbieter bereitgestellt werden.
2. Für die Zwecke dieses Abonnementvertrags
   a. der „Acre Intrusion Connect Software Service“ bezeichnet die Cloud-basierte Lösung, die für die Fernüberwachung, Verwaltung und Wartung von Acre Intrusion Panels konzipiert ist; derzeit umfasst der Acre Intrusion Connect Software Service eine Webanwendung (über einen Internetbrowser) sowie mobile Apps für die Android- und die Apple-Plattform;
   b. Ein „Acre Intrusion Panel“ muss aus mindestens einem Teil der Acre Intrusion Panel-Hardware bestehen, die von der Acre-Unternehmensgruppe hergestellt oder vertrieben wird (siehe https://acresecurity.com/);
   c. „Endnutzer“ sind natürliche oder juristische Personen, die den Acre Intrusion Connect Softwaredienst nutzen, um ein Acre Intrusion Panel in ihrem eigenen Namen zu überwachen, zu verwalten und zu warten;
   d. „Dienstanbieter“ sind natürliche oder juristische Personen, die den Acre Intrusion Connect Softwaredienst nutzen, um Acre Intrusion Panels im Namen von Endbenutzern zu überwachen, zu verwalten und zu warten oder Endnutzer dabei zu unterstützen; und
   e. „Kunden“ sind entweder Endnutzer oder Dienstanbieter.
3. Diese Abonnementvereinbarung hat Vorrang vor allen Angeboten, Bestellungen, Bestätigungen oder anderen ähnlichen Dokumenten oder Vereinbarungen, die abweichende Bedingungen enthalten oder auf andere Bedingungen als diese Abonnementvereinbarung verweisen, einschließlich der Allgemeinen Geschäftsbedingungen des Kunden.

§ 2 Leistungsumfang

1. Vanderbilt stellt den Acre Intrusion Connect Software Service gemäß den Servicespezifikationen von Vanderbilt bereit, sofern nichts anderes vereinbart ist. Ungeachtet des Vorstehenden kann Vanderbilt den Acre Intrusion Connect Softwaredienst kontinuierlich weiterentwickeln, ohne dazu verpflichtet zu sein. Dies erfolgt unter anderem, um dem technischen Fortschritt Rechnung zu tragen, die Sicherheit, Funktionalität und Betriebsfähigkeit des Acre Intrusion Connect Softwaredienstes zu verbessern oder um die Einhaltung der geltenden Gesetze sicherzustellen („Kontinuierliche Innovation“). Solche Änderungen sind ohne Zustimmung des Kunden zulässig, sofern Gegenstand und Leistung des Acre Intrusion Connect Softwaredienstes zumindest beibehalten werden und die Interessen des Kunden nicht unangemessen beeinträchtigt werden. Vanderbilt informiert regelmäßig über die Continuous Innovation, z. B. per E-Mail, durch Versionshinweise oder innerhalb des Acre Intrusion Connect-Softwaredienstes selbst.
2. Gemäß den geltenden Servicespezifikationen umfasst die Systemverfügbarkeit des Acre Intrusion Connect Software Service regelmäßig geplante Wartungsperioden, in denen keine Leistungspflicht besteht.
3. Erfüllungs- und Gefahrenübergang für den Acre Intrusion Connect Software Service ist der Übergabepunkt der Internetverbindung des jeweiligen Servers, der von Vanderbilt zur Erbringung des Acre Intrusion Connect Software Service verwendet wird.

§ 3 Nutzungsrecht

1. Dem Endbenutzer und/oder den Mitarbeitern des Endbenutzers, falls vorhanden, wird ein nicht ausschließliches Recht eingeräumt, den Acre Intrusion Connect-Softwaredienst zur Überwachung, Verwaltung und Wartung eines Acre Intrusion Panels in seinem eigenen Namen zu nutzen, sofern er und/oder seine Mitarbeiter sowie das jeweilige Acre Intrusion Panel im Acre Intrusion Connect Softwaredienst registriert sind.
2. Dem Dienstanbieter und/oder den Mitarbeitern des Dienstanbieters, falls vorhanden, wird ein nicht ausschließliches Recht eingeräumt, den Acre Intrusion Connect-Softwaredienst zur Überwachung, Verwaltung und Wartung von Acre Intrusion Panels im Namen Dritter oder zur Unterstützung Dritter dabei zu nutzen, sofern er und/oder seine Mitarbeiter sowie die jeweiligen Acre Intrusion Panels und Dritte im Acre Intrusion Connect Softwaredienst registriert sind. Zur Klarstellung: Der Dienstanbieter kann diesen Dritten seine Dienstleistungen in Rechnung stellen oder nicht.
3. In Bezug auf die mobilen Apps des Acre Intrusion Connect Software Service umfasst das Nutzungsrecht das Herunterladen, Installieren und Ausführen dieser Apps für die in den obigen Absätzen 1. und 2. genannten Zwecke.
4. Das Recht zur Nutzung des Acre Intrusion Connect Softwaredienstes ist nicht übertragbar und berechtigt den Endbenutzer oder Dienstanbieter nicht, Dritten Rechte daran zu gewähren.
5. Die Nutzung des Acre Intrusion Connect-Softwaredienstes für andere als die oben beschriebenen Zwecke ist untersagt. Insbesondere darf der Kunde nicht den gesamten Inhalt des Acre Intrusion Connect-Softwaredienstes, einschließlich, aber nicht beschränkt auf Software, Bilder, Grafiken, Texte und/oder Marken, kopieren, verwenden, verteilen oder anderweitig verfügbar machen.

§ 4 Vergütung

1. Für Endbenutzer ist der Acre Intrusion Connect Software Service kostenlos, sofern nicht anders vereinbart.
2. Für Dienstanbieter wird der Acre Intrusion Connect-Softwaredienst gemäß dem geltenden Abonnementplan oder einem anderen vereinbarten Preis berechnet.
3. Wiederkehrende Abonnementgebühren sind in den ersten zwei Wochen jedes Abonnementzeitraums im Voraus zu zahlen.
4. Alle Preise verstehen sich zuzüglich Mehrwertsteuer, anderer Steuern und/oder behördlicher Abgaben, die gegebenenfalls zusätzlich zu den Preisen zu zahlen sind.
5. Kommt der Kunde mit der Zahlung einer fälligen Vergütung in Verzug, hat Vanderbilt Anspruch auf Zinsen ab dem Tag, an dem die Zahlung fällig war. Der Zinssatz liegt 8 Prozentpunkte über dem am Fälligkeitstag der Zahlung geltenden Zinssatz der Hauptrefinanzierungsfazilität der Europäischen Zentralbank. Bei verspäteter Zahlung kann Vanderbilt nach Benachrichtigung des Kunden die Vertragserfüllung bis zum Eingang der Zahlung aussetzen oder den Vertrag kündigen und Schadensersatz für den Vanderbilt entstandenen Schaden verlangen.
6. Der Kunde darf aufgrund einer Forderung, die er gegen Vanderbilt hat, den fälligen Betrag nicht ganz oder teilweise einbehalten oder einen Teil dieser Zahlung ohne vorherige Zustimmung von Vanderbilt verrechnen.

§ 5 Datenschutz und Datenverarbeitung

Die in Anlage A enthaltenen Bestimmungen der Vereinbarung über die Verarbeitung von Daten im Auftrag sind integraler Bestandteil dieser Vereinbarung und gelten für die Verarbeitung personenbezogener Daten.

§ 6 Pflichten des Kunden

1. Der Kunde verpflichtet sich, den Acre Intrusion Connect Software Service nur für legale Zwecke oder Dienste zu nutzen. Dabei beachtet er die Gesetze Schwedens sowie die Gesetze der Länder, in denen der Kunde ansässig ist, sowie die Gesetze der Länder, in denen sich die jeweiligen Acre Intrusion Panel (s) und/oder die von Acre Intrusion Panel (s) betreuten Dritten befinden.
2. Der Kunde stellt Vanderbilt, ihre verbundenen Unternehmen sowie ihre Lieferanten von Ansprüchen frei, die Dritte aufgrund der Verletzung von Rechten, insbesondere Urheberrechten, gewerblichen Schutzrechten oder Rechten an personenbezogenen Daten, geltend machen, sofern die Verletzung durch den Kunden oder seine Mitarbeiter verursacht wurde.

§ 7 Gewährleistung

1. Der Kunde muss Vanderbilt unverzüglich über alle Fehler informieren, die im Acre Intrusion Connect Softwaredienst auftreten. Eine solche Mitteilung darf unter keinen Umständen später als zwei (2) Wochen nach Auftreten des Fehlers erfolgen. Wenn der Kunde Vanderbilt nicht innerhalb der oben genannten Frist benachrichtigt, verliert der Kunde seine Gewährleistungsansprüche.
2. Vanderbilt wird alle Fehler innerhalb einer angemessenen Frist behandeln. Die Fehlerbehandlung im Sinne dieser Vereinbarung umfasst die Abgrenzung der Fehlerursache, die Fehlerdiagnose sowie die Beseitigung des Fehlers oder die Vermeidung seiner Auswirkungen, die die Funktionalität des Acre Intrusion Connect-Softwaredienstes beeinträchtigen. Die Fehlerbehandlung kann insbesondere in Form von Patches, Updates oder Upgrades, Anweisungen zur Umgehung des Fehlers oder, nach Rücksprache mit dem Kunden, auch durch Bereitstellung einer neueren Hauptversion des Acre Intrusion Connect Software Service erfolgen. Vanderbilt entscheidet nach eigenem Ermessen auf der Grundlage einer professionellen Bewertung über Art und Umfang der zu erbringenden Fehlerbehandlung, wobei Vanderbilt das Interesse des Kunden an der Funktionalität des Acre Intrusion Connect Software Service berücksichtigt.
3. Der Kunde muss Vanderbilt unverzüglich über alle Ansprüche informieren, in denen geltend gemacht wird, dass der Acre Intrusion Connect Software Service von Vanderbilt die Urheberrechte oder gewerbliche und geistige Eigentumsrechte Dritter verletzt. In einem solchen Fall und unter der Voraussetzung, dass Vanderbilt eine angemessene Gelegenheit hatte, seinen Standpunkt darzulegen, erwirkt Vanderbilt nach eigenem Ermessen für den Kunden das Recht, den Acre Intrusion Connect Softwaredienst zu nutzen, den Acre Intrusion Connect Softwaredienst so zu modifizieren, dass der Verstoß beseitigt wird, den Acre Intrusion Connect Softwaredienst durch einen anderen Dienst von entsprechender Qualität und Effizienz zu ersetzen oder den Acre Intrusion Connect Softwaredienst zu kündigen und seine Vergütung abzüglich einer angemessenen Vergütung zu erstatten. Abzug für die Zwischennutzung .
4. Ansprüche des Kunden wegen Irrtümern und Mängeln verjähren in der Regel ein Jahr nach Auftreten des Fehlers oder Mangels. Die einjährige Verjährungsfrist gilt nicht für die Haftung für schuldhaft verursachte Schäden an der Verletzung des Lebens, des Körpers oder der Gesundheit sowie für die Haftung für sonstige Schäden im Falle einer vorsätzlichen Pflichtverletzung oder soweit Vanderbilt den Fehler oder Mangel arglistig verschwiegen oder eine Garantie für die Beschaffenheit der Sache übernommen hat, oder im Rahmen einer Haftung nach dem Produkthaftungsgesetz.

§ 8 Haftungsbeschränkung, Verjährungsfrist

1. Vanderbilt haftet uneingeschränkt für schuldhaft verursachte Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit. Vanderbilt haftet auch uneingeschränkt bei vorsätzlicher Pflichtverletzung und sofern Vanderbilt den Mangel arglistig verschwiegen hat, sowie im Umfang der Haftung nach dem geltenden Produkthaftungsgesetz. Soweit Vanderbilt eine Garantie für die Qualität oder Haltbarkeit des Acre Intrusion Connect Software Service übernommen hat, haftet Vanderbilt ebenfalls uneingeschränkt, jedoch nur in dem von der Garantie abgedeckten Umfang.
2. Für andere Schäden gilt Folgendes: Vanderbilt haftet nicht für indirekte Schäden und Folgeschäden, entgangenen Gewinn, Produktionsausfall, Betriebsunterbrechung, vertragliche Ansprüche Dritter, Nutzungsausfall oder Finanzierungskosten. Die Gesamthaftung von Vanderbilt für Schäden, pauschale Schadensersatz/Strafen, Schadensersatzansprüche und Schadensersatzansprüche, unabhängig von der Rechtsgrundlage der Ansprüche und unter Bezugnahme auf alle im Vertrag genannten Schadensfälle, beträgt in keinem Fall mehr als 25.000, - EUR (in Worten: fünfundzwanzigtausend Euro) pro Ereignis und insgesamt. In jedem Fall erlischt die vertragliche Gesamthaftung von Vanderbilt (wie in dieser Klausel dargelegt) am Ende der geltenden Verjährungsfrist für den Acre Intrusion Connect Softwaredienst.
3. Der Einwand des Mitverschuldens (z.B. Verletzung von Pflichten des Kunden) bleibt offen.
4. Hinsichtlich der Haftung für Fehler und Mängel im Allgemeinen gilt die in § 7 Ziffer 4 dieses Abonnementvertrags vorgesehene Verjährungsfrist.

§ 9 Vertraulichkeit

1. Unter „Vertraulichen Informationen“ im Sinne dieses Abonnementvertrags sind alle Informationen zu verstehen, die Vanderbilt oder der Kunde durch geeignete Maßnahmen vor einer uneingeschränkten Weitergabe an Dritte schützen, die als solche gekennzeichnet sind oder die je nach den Umständen der Offenlegung oder ihres Inhalts als vertraulich anzusehen sind.
2. Die Parteien verpflichten sich, alle vertraulichen Informationen der anderen Partei, die sie vor und im Zuge der Erfüllung oder Ausführung des Vertrags erhalten haben, auf unbestimmte Zeit in der gleichen Weise zu schützen, wie sie ihre eigenen vergleichbaren vertraulichen Informationen durch geeignete Maßnahmen schützen und vertraulich zu behandeln. Eine Weitergabe durch die empfangende Partei an Dritte ist nur zulässig, soweit dies für die Ausübung der Rechte der empfangenden Partei oder für die Erfüllung des Vertrags erforderlich ist, und diese Personen unterliegen Vertraulichkeitsverpflichtungen, die im Wesentlichen mit den hier dargelegten vergleichbar sind. Duplikate vertraulicher Informationen der jeweils anderen Partei müssen — soweit technisch möglich — alle Hinweise und Anmerkungen zu deren vertraulichem oder geheimem Charakter enthalten, die im Original enthalten sind.
3. Die Verpflichtung zur Wahrung der Vertraulichkeit gilt nicht für Informationen, die (a) von der empfangenden Partei unabhängig entwickelt wurden, (b) der empfangenden Partei von einem Dritten rechtmäßig zur Verfügung gestellt wurden, ohne gegen diese Vereinbarung oder eine andere Vereinbarung zu verstoßen, (c) der empfangenden Partei zum Zeitpunkt der Offenlegung uneingeschränkt bekannt waren oder (d) zum Zeitpunkt der Offenlegung öffentlich zugänglich waren oder später ohne Pflichtverletzung der empfangenden Partei öffentlich zugänglich werden.

§ 10 Laufzeit, Kündigung

1. Sofern nicht anders vereinbart, läuft der Vertrag zwölf Monate ab seinem Beginn (Vertragsjahr), sofern nichts anderes vereinbart ist. Der Vertrag verlängert sich jeweils automatisch um ein weiteres Jahr, sofern er nicht mindestens drei Monate vor Ablauf des jeweiligen Vertragsjahres von einer der Vertragsparteien gekündigt wird.
2. Eine fristlose Kündigung aus wichtigem Grund bleibt unberührt.
3. Der Kunde stellt sicher, dass innerhalb von drei Monaten nach Ablauf des Vertrags alle Inhalte und Daten (einschließlich personenbezogener Daten), die von ihm oder seinen Kunden auf den Servern von Vanderbilt gespeichert sind, von ihm heruntergeladen und anderweitig von ihm gesichert wurden. Drei Monate nach Ablauf des Vertrags endet die Verpflichtung von Vanderbilt, solche Inhalte und Daten zu speichern, und Vanderbilt kann alle Inhalte und Daten (einschließlich personenbezogener Daten) löschen. Vor der Löschung wird Vanderbilt den Kunden jedoch mit einer Frist von mindestens zwei Wochen schriftlich oder in Textform über die bevorstehende Löschung informieren.

§ 11 Bekämpfung von Bestechung und Korruption

Der Kunde muss (i) alle geltenden Gesetze, Vorschriften, Kodizes und Sanktionen im Zusammenhang mit der Bekämpfung von Bestechung und Korruption einhalten, einschließlich, aber nicht beschränkt auf den UK Bribery Act und den US Foreign and Corrupt Practice Act („relevante Anforderungen“), (ii) über eigene Richtlinien und Verfahren zur Bekämpfung von Bestechung und Korruption verfügen und diese aufrechterhalten, (iii) Vanderbilt unverzüglich jede Anfrage oder Forderung nach unangemessenen finanziellen oder sonstigen Vorteilen von jegliche Art, die der Kunde im Zusammenhang mit diesem Vertrag erhalten hat, (iv) Vanderbilt unverzüglich benachrichtigen, wenn ein Ein ausländischer Beamter wird leitender Angestellter oder Angestellter des Kunden oder erwirbt eine direkte oder indirekte Beteiligung am Kunden (und der Kunde garantiert, dass er keine ausländischen Amtsträger als leitende Angestellte, Mitarbeiter oder direkte oder indirekte Eigentümer hat) und (v) keine Aktivitäten, Praktiken oder Verhaltensweisen ausübt, die eine Straftat im Sinne der relevanten Anforderungen darstellen würden. Der Kunde muss alle Belege für die Einhaltung der Vorschriften vorlegen, die Vanderbilt nach vernünftigem Ermessen verlangen kann. Ein Verstoß gegen diese Klausel gilt als wesentlicher Verstoß, der Vanderbilt berechtigt, den Vertrag sofort zu kündigen und Schadensersatz für alle Verluste zu verlangen, die Vanderbilt entstanden sind.

§ 12 Höhere Gewalt

Vanderbilt ist berechtigt, die Erfüllung seiner Verpflichtungen aus dem Vertrag unverzüglich auszusetzen, sofern die Erfüllung durch einen der folgenden Umstände behindert oder unangemessen erschwert wird: Arbeitskämpfe und andere Umstände, die außerhalb des Einflussbereichs von Vanderbilt liegen, wie Feuer, Krieg, umfangreiche militärische Mobilisierung, Aufstand, Requisition, Beschlagnahme, Embargo, Beschränkungen der Energienutzung und Mängel oder Verzögerungen bei Lieferungen durch Unterlieferer Auftragnehmer, die durch einen der in dieser Klausel genannten Umstände verursacht wurden.

§ 13 Streitfälle und anzuwendendes Recht

1. Der Vertrag unterliegt schwedischem Recht, ohne Rücksicht auf seine kollisionsrechtlichen Bestimmungen. Das Übereinkommen der Vereinten Nationen über Verträge über den internationalen Warenkauf findet keine Anwendung.
2. Alle Streitigkeiten, Kontroversen oder Ansprüche, die sich aus oder im Zusammenhang mit dem Vertrag oder dessen Verletzung, Kündigung oder Ungültigkeit ergeben, werden gemäß den Schiedsregeln des Schiedsinstituts der Stockholmer Handelskammer endgültig durch ein Schiedsverfahren beigelegt. Das Schiedsgericht besteht aus drei Schiedsrichtern. Der Sitz des Schiedsverfahrens ist Stockholm. Die im Schiedsverfahren zu verwendende Sprache ist Englisch.
3. Die Parteien verpflichten sich, auf unbestimmte Zeit weder das Bestehen noch den Inhalt eines Urteils oder einer Entscheidung im Zusammenhang mit dem Vertrag oder Informationen über Verhandlungen, Schiedsverfahren oder Mediation in diesem Zusammenhang offenzulegen. Diese Vertraulichkeitsverpflichtung gilt nicht für Informationen, zu deren Offenlegung eine Partei gesetzlich, aufgrund einer behördlichen Anordnung oder gemäß den geltenden Börsenregeln verpflichtet ist oder die für die Vollstreckung eines Urteils oder eines Schiedsspruchs erforderlich sein können. Ungeachtet des Vorstehenden ist Vanderbilt berechtigt, sich mit Forderungen auf Zahlung fälliger Zahlungen in erster Instanz an das Bezirksgericht Stockholm zu wenden.

Nachtrag A

Vereinbarung über die Verarbeitung von Daten im Auftrag

für Acer Intrusion Connect

zwischen

Sie, der Endbenutzer oder Dienstanbieter, nutzen den Acre Intrusion Connect Software Service

— im Folgenden „Verantwortlicher“ —

und

Vanderbilt International AB
Englundavägen 7
Feld 1275
17124 Solna
Schweden

- im Folgenden „Verarbeiter“ -.

Klausel 1

Gegenstand der Vereinbarung

1. Der Verarbeiter wird den Acre Intrusion Connect Software Service bereitstellen, eine cloudbasierte Lösung zur Fernüberwachung, Verwaltung und Wartung von Acre Intrusion Panels. Derzeit umfasst der Acre Intrusion Connect Software Service eine Webanwendung (über einen Internetbrowser) sowie mobile Apps für die Android- und Apple-Plattformen (im Folgenden als „Acre Intrusion Connect Software Service“ bezeichnet). Dabei verarbeitet der Auftragsverarbeiter personenbezogene Daten ausschließlich im Auftrag und gemäß den Anweisungen des für die Verarbeitung Verantwortlichen im Sinne von Art. 4 Nr. 8 und Art. 28 DSGVO (Verarbeitung im Auftrag).
2. Diese Vereinbarung regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten und hat in dieser Hinsicht Vorrang vor allen anderen Vereinbarungen der Parteien. Die beigefügten Standardvertragsklauseln sind ein integraler Bestandteil dieser Vereinbarung. Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen verwandter Vereinbarungen zwischen den Parteien, die zum Zeitpunkt der Vereinbarung oder des späteren Abschlusses dieser Klauseln bestanden, haben diese Klauseln Vorrang.
3. Für die Zwecke dieser Vereinbarung sind „Endnutzer“ natürliche oder juristische Personen, die den Acre Intrusion Connect Softwaredienst nutzen, um ein Acre Intrusion Panel in ihrem eigenen Namen zu überwachen, zu verwalten und zu warten. „Dienstanbieter“ sind natürliche oder juristische Personen, die den Acre Intrusion Connect Softwaredienst nutzen, um AACRE Intrusion Panels im Namen von Endbenutzern zu überwachen, zu verwalten und zu warten oder Endbenutzer dabei zu unterstützen; und „Verantwortlicher“ bezeichnet entweder einen Endbenutzer bzw. einen Dienstanbieter. Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter können für die Zwecke dieser Vereinbarung als „Partei“ oder zusammen als „Parteien“ bezeichnet werden.
4. Die Parteien verstehen unter „GDPR“ die Verordnung (EU) 2016/679 — auch bekannt als die Allgemeine Datenschutzverordnung.
5. Diese Vereinbarung basiert auf den Definitionen gemäß Art. 4 DSGVO, insbesondere im Hinblick auf die Begriffe „Datenverarbeitung“ oder „Verarbeitung“ (von Daten) gemäß Art. 4 Nr. 2 DSGVO.
6. Unter „personenbezogenen Daten“ im Sinne dieser Vereinbarung verstehen die Parteien diejenigen personenbezogenen Daten, die der Auftragsverarbeiter im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet, wobei es unerheblich ist, ob der Auftragsverarbeiter diese vom für die Verarbeitung Verantwortlichen, von den betroffenen Personen oder von Dritten erhalten hat und ob die Verarbeitung im Rahmen der Leistungspflichten des Auftragsverarbeiters oder auf andere Weise erfolgt, soweit sie aus dem Bereich des für die Verarbeitung Verantwortlichen stammen.

Klausel 2

Dauer

1. Die Leistungen des Auftragsverarbeiters für den für die Verarbeitung Verantwortlichen ergeben sich aus dem separat zwischen den Parteien geschlossenen Vertrag, im Folgenden der „Hauptvertrag“.
2. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags. Diese Vereinbarung bleibt über das Ende des Hauptvertrags hinaus gültig, solange der Auftragsverarbeiter personenbezogene Daten im Namen des für die Verarbeitung Verantwortlichen aufbewahrt.
3. Der Verarbeiter erwirbt keine Rechte an den personenbezogenen Daten und ist verpflichtet, die personenbezogenen Daten in einer Form herauszugeben, die vom für die Verarbeitung Verantwortlichen jederzeit auf erste Anfrage gelesen und weiterverarbeitet werden kann. Die Zurückbehaltungsrechte des Auftragsverarbeiters in Bezug auf die personenbezogenen Daten und die zugehörigen Datenträger sind ausgeschlossen.
4. Drei Monate nach Ablauf des Hauptvertrags oder auf Anfrage des für die Verarbeitung Verantwortlichen löscht der Auftragsverarbeiter alle personenbezogenen Daten und Datenträger, die ihm vom für die Verarbeitung Verantwortlichen zur Verfügung gestellt oder in seinem Namen verarbeitet wurden. Der Auftragsverarbeiter dokumentiert die Löschung aller noch vorhandenen personenbezogenen Daten und stellt diese Unterlagen auf Anfrage des für die Verarbeitung Verantwortlichen zur Verfügung. Vor der Löschung informiert der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen jedoch schriftlich oder in Textform mit einer Frist von mindestens zwei Wochen über die bevorstehende Löschung.

Klausel 3

Diverses

1. Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schrift- oder Textform. Dies gilt auch für einen Verzicht auf dieses Formerfordernis.
2. Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise unwirksam oder undurchführbar sein oder werden, so wird dadurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. Die Parteien verpflichten sich, die unwirksame Bestimmung durch eine rechtlich zulässige Bestimmung zu ersetzen, die dem Zweck der unwirksamen Bestimmung am nächsten kommt und den Anforderungen des Artikels 28 DSGVO am besten entspricht.
3. Diese Vereinbarung unterliegt schwedischem Recht, ohne Rücksicht auf die Bestimmungen des Kollisionsrechts.
4. Alle Streitigkeiten, Kontroversen oder Ansprüche, die sich aus oder im Zusammenhang mit dem Vertrag oder dessen Verletzung, Kündigung oder Ungültigkeit ergeben, werden gemäß den Schiedsregeln des Schiedsinstituts der Stockholmer Handelskammer endgültig durch ein Schiedsverfahren beigelegt. Das Schiedsgericht besteht aus drei Schiedsrichtern. Der Sitz des Schiedsverfahrens ist Stockholm. Die im Schiedsverfahren zu verwendende Sprache ist Englisch.
5. Die Parteien verpflichten sich, auf unbestimmte Zeit weder das Bestehen noch den Inhalt eines Urteils oder einer Entscheidung im Zusammenhang mit dem Vertrag oder Informationen über Verhandlungen, Schiedsverfahren oder Mediation in diesem Zusammenhang offenzulegen. Diese Vertraulichkeitsverpflichtung gilt nicht für Informationen, zu deren Offenlegung eine Partei gesetzlich, aufgrund einer behördlichen Anordnung oder gemäß den geltenden Börsenregeln verpflichtet ist oder die für die Vollstreckung eines Urteils oder eines Schiedsspruchs erforderlich sein können.

***

Standardvertragsklauseln

ABSCHNITT I

Klausel 1

Zweck und Umfang

1. Der Zweck dieser Standardvertragsklauseln (die Klauseln) besteht darin, die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sicherzustellen.
2. Die in Anhang I aufgeführten für die Verarbeitung Verantwortlichen und Auftragsverarbeiter haben diesen Klauseln zugestimmt, um die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 und/oder Artikel 29 Absätze 3 und 4 der Verordnung (EU) 2018/1725 sicherzustellen.
3. Diese Klauseln gelten für die Verarbeitung personenbezogener Daten gemäß Anhang II.
4. Die Anlagen I bis IV sind integraler Bestandteil der Klauseln.
5. Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der für die Verarbeitung Verantwortliche gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt.
6. Diese Klauseln allein gewährleisten nicht die Einhaltung der Verpflichtungen im Zusammenhang mit internationalen Übermittlungen gemäß Kapitel V der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725.

Klausel 2

Unveränderlichkeit der Klauseln

1. Die Vertragsparteien verpflichten sich, die Klauseln nicht zu ändern, mit Ausnahme der Hinzufügung von Informationen zu den Anhängen oder der Aktualisierung der darin enthaltenen Informationen.
2. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfassenderen Vertrag aufzunehmen oder weitere Klauseln oder zusätzliche Schutzmaßnahmen hinzuzufügen, sofern sie den Klauseln nicht direkt oder indirekt widersprechen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beeinträchtigen.

Klausel 3

Interpretation

1. Wenn in diesen Klauseln die in der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 definierten Begriffe verwendet werden, haben diese Begriffe dieselbe Bedeutung wie in dieser Verordnung.
2. Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 zu lesen und auszulegen.
3. Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die den in der Verordnung (EU) 2016/679/Verordnung (EU) 2018/1725 vorgesehenen Rechten und Pflichten zuwiderläuft oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beeinträchtigt.

Klausel 4

Hierarchie

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen verwandter Vereinbarungen zwischen den Parteien, die zum Zeitpunkt der Vereinbarung oder des späteren Abschlusses dieser Klauseln bestanden, haben diese Klauseln Vorrang.

Klausel 5

Docking-Klausel

1. Jedes Unternehmen, das nicht Vertragspartei dieser Klauseln ist, kann mit Zustimmung aller Parteien diesen Klauseln jederzeit als für die Verarbeitung Verantwortlicher oder Verarbeiter beitreten, indem es die Anhänge ausfüllt und Anhang I unterzeichnet.
2. Sobald die Anlagen unter Buchstabe a ausgefüllt und unterzeichnet sind, gilt die beitretende Stelle als Vertragspartei dieser Klauseln und hat gemäß ihrer Benennung in Anhang I die Rechte und Pflichten eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters.
3. Das beitretende Unternehmen hat keine Rechte oder Pflichten, die sich aus diesen Klauseln aus der Zeit vor dem Beitritt zur Vertragspartei ergeben.

ABSCHNITT II — PFLICHTEN DER PARTEIEN

Klausel 6

Beschreibung der Verarbeitung (en)

Die Einzelheiten der Verarbeitungsvorgänge, insbesondere die Kategorien personenbezogener Daten und die Verarbeitungszwecke, für die die personenbezogenen Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet werden, sind in Anhang II aufgeführt.

Klausel 7

Pflichten der Parteien

7.1. Anweisungen

1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf Grundlage dokumentierter Anweisungen des für die Verarbeitung Verantwortlichen, sofern er nicht nach dem Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, dazu verpflichtet ist. In diesem Fall informiert der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen vor der Verarbeitung über diese gesetzliche Anforderung, es sei denn, das Gesetz verbietet dies aus wichtigen Gründen des öffentlichen Interesses. Während der gesamten Dauer der Verarbeitung personenbezogener Daten kann der für die Verarbeitung Verantwortliche auch nachfolgende Anweisungen erteilen. Diese Anweisungen müssen stets dokumentiert werden.
2. Der Auftragsverarbeiter informiert den für die Verarbeitung Verantwortlichen unverzüglich, wenn seiner Ansicht nach die Anweisungen des für die Verarbeitung Verantwortlichen gegen die Verordnung (EU) 2016/679/Verordnung (EU) 2018/1725 oder die geltenden Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstoßen.

7.2. Beschränkung des Zwecks

Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur für den oder die spezifischen Zwecke der Verarbeitung gemäß Anhang II, sofern er keine weiteren Anweisungen von dem für die Verarbeitung Verantwortlichen erhält.

7.3. Dauer der Verarbeitung personenbezogener Daten

Die Verarbeitung durch den Verarbeiter erfolgt nur für die in Anhang II angegebene Dauer.

7.4. Sicherheit der Verarbeitung

1. Der Auftragsverarbeiter ergreift mindestens die in Anhang III genannten technischen und organisatorischen Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dazu gehört auch der Schutz der Daten vor einer Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf die Daten führt (Verletzung des Schutzes personenbezogener Daten). Bei der Bewertung des angemessenen Sicherheitsniveaus tragen die Vertragsparteien dem Stand der Technik, den Kosten der Umsetzung, der Art, dem Umfang, dem Kontext und dem Zweck der Verarbeitung sowie den damit verbundenen Risiken für die betroffenen Personen gebührend Rechnung.
2. Der Auftragsverarbeiter gewährt Mitgliedern seines Personals Zugang zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, nur insoweit, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter stellt sicher, dass sich die zur Verarbeitung der erhaltenen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

7,5. Sensible Daten

Umfasst die Verarbeitung personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetische Daten oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit oder das Sexualleben oder die sexuelle Orientierung einer Person oder Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten („sensible Daten“), wendet der Auftragsverarbeiter besondere Einschränkungen und/oder zusätzliche Schutzmaßnahmen an.

7.6 Dokumentation und Einhaltung

1. Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können.
2. Der Auftragsverarbeiter bearbeitet Anfragen des für die Verarbeitung Verantwortlichen zur Datenverarbeitung gemäß diesen Klauseln umgehend und angemessen.
3. Der Auftragsverarbeiter stellt dem für die Verarbeitung Verantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in diesen Klauseln festgelegten Verpflichtungen nachzuweisen, die sich unmittelbar aus der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 ergeben. Auf Anfrage des für die Verarbeitung Verantwortlichen gestattet der Auftragsverarbeiter auch Prüfungen der unter diese Klauseln fallenden Verarbeitungstätigkeiten und trägt dazu bei, und zwar in angemessenen Abständen oder wenn es Anzeichen für eine Nichteinhaltung gibt. Bei der Entscheidung über eine Überprüfung oder ein Audit kann der für die Verarbeitung Verantwortliche die entsprechenden Zertifizierungen berücksichtigen, über die der Auftragsverarbeiter verfügt.
4. Der für die Verarbeitung Verantwortliche kann wählen, ob er die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen möchte. Audits können auch Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Auftragsverarbeiters umfassen und müssen gegebenenfalls mit einer angemessenen Frist durchgeführt werden.
5. Die Vertragsparteien stellen den zuständigen Aufsichtsbehörden die in dieser Klausel genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.

7.7. Verwendung von Subprozessoren

1. Der Auftragsverarbeiter darf keine seiner im Namen des für die Verarbeitung Verantwortlichen gemäß diesen Klauseln ausgeführten Verarbeitungsvorgänge ohne vorherige ausdrückliche schriftliche Genehmigung des für die Verarbeitung Verantwortlichen an einen Unterauftragsverarbeiter weitervergeben. Der Auftragsverarbeiter reicht den Antrag auf besondere Genehmigung mindestens drei Monate vor der Beauftragung des betreffenden Unterauftragsverarbeiters ein, zusammen mit den Informationen, die der für die Verarbeitung Verantwortliche benötigt, um über die Genehmigung zu entscheiden. Die Liste der vom für die Verarbeitung Verantwortlichen autorisierten Unterauftragsverarbeiter finden Sie in Anhang IV. Die Vertragsparteien halten den Anhang IV auf dem neuesten Stand.
2. Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Namen des für die Verarbeitung Verantwortlichen), erfolgt dies im Rahmen eines Vertrags, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auferlegt, die dem Datenverarbeiter gemäß diesen Klauseln auferlegt werden. Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter die Verpflichtungen einhält, denen der Auftragsverarbeiter gemäß diesen Klauseln und der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt.
3. Auf Anfrage des für die Verarbeitung Verantwortlichen stellt der Auftragsverarbeiter dem für die Verarbeitung Verantwortlichen eine Kopie dieser Unterauftragsvereinbarung und aller nachfolgenden Änderungen zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Auftragsverarbeiter den Vertragstext vor der Weitergabe der Kopie redigieren.
4. Der Auftragsverarbeiter bleibt gegenüber dem für die Verarbeitung Verantwortlichen in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters gemäß seinem Vertrag mit dem Auftragsverarbeiter verantwortlich. Der Auftragsverarbeiter unterrichtet den für die Verarbeitung Verantwortlichen über jede Nichterfüllung seiner vertraglichen Verpflichtungen durch den Unterauftragsverarbeiter.
5. Der Auftragsverarbeiter vereinbart mit dem Unterauftragsverarbeiter eine Klausel über Drittbegünstigte, wonach — falls der Auftragsverarbeiter tatsächlich verschwunden ist, rechtlich nicht mehr existiert oder zahlungsunfähig geworden ist — der für die Verarbeitung Verantwortliche das Recht hat, den Unterauftragsverarbeiter zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

7.8. Internationale Übertragungen

1. Jede Übermittlung von Daten an ein Drittland oder eine internationale Organisation durch den Auftragsverarbeiter erfolgt nur auf der Grundlage dokumentierter Anweisungen des für die Verarbeitung Verantwortlichen oder zur Erfüllung einer bestimmten Anforderung nach dem Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, und erfolgt in Übereinstimmung mit Kapitel V der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725.
2. Der für die Verarbeitung Verantwortliche erklärt sich damit einverstanden, dass, wenn der Auftragsverarbeiter einen Unterauftragsverarbeiter gemäß Klausel 7.7 mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Namen des für die Verarbeitung Verantwortlichen) beauftragt und diese Verarbeitungstätigkeiten eine Übertragung personenbezogener Daten im Sinne von Kapitel V der Verordnung (EU) 2016/679 beinhalten, der Auftragsverarbeiter und der Unterauftragsverarbeiter die Einhaltung von Kapitel V der Verordnung (EU) 2016/679 sicherstellen können, indem sie von der Kommission gemäß Artikel 46 Absatz 2 der Verordnung angenommene Standardvertragsklauseln verwenden (EU) 2016/679, stellte die Bedingungen für die Die Verwendung dieser Standardvertragsklauseln ist erfüllt.

Klausel 8

Unterstützung des Controllers

1. Der Auftragsverarbeiter informiert den für die Verarbeitung Verantwortlichen unverzüglich über jede Anfrage, die er von der betroffenen Person erhalten hat. Er beantwortet die Anfrage nicht selbst, es sei denn, der für die Verarbeitung Verantwortliche hat ihn dazu ermächtigt.
2. Der Auftragsverarbeiter unterstützt den für die Verarbeitung Verantwortlichen bei der Erfüllung seiner Verpflichtungen zur Beantwortung von Anfragen der betroffenen Personen zur Ausübung ihrer Rechte unter Berücksichtigung der Art der Verarbeitung. Bei der Erfüllung seiner Pflichten gemäß den Buchstaben a und b hat der Auftragsverarbeiter die Anweisungen des für die Verarbeitung Verantwortlichen zu befolgen
3. Zusätzlich zu der Verpflichtung des Auftragsverarbeiters, den für die Verarbeitung Verantwortlichen gemäß Klausel 8 (b) zu unterstützen, unterstützt der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen außerdem dabei, die Einhaltung der folgenden Verpflichtungen sicherzustellen, wobei die Art der Datenverarbeitung und die dem Auftragsverarbeiter zur Verfügung stehenden Informationen berücksichtigt werden:
   1. die Verpflichtung, eine Bewertung der Auswirkungen der geplanten Verarbeitungsvorgänge auf den Schutz personenbezogener Daten durchzuführen (eine „Datenschutz-Folgenabschätzung“), wenn eine Art der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt;
   2. die Verpflichtung, vor der Verarbeitung die zuständige (n) Aufsichtsbehörde (n) zu konsultieren, wenn eine Datenschutz-Folgenabschätzung ergibt, dass die Verarbeitung zu einem hohen Risiko führen würde, wenn der für die Verarbeitung Verantwortliche keine Maßnahmen zur Risikominderung ergreift;
   3. die Verpflichtung, sicherzustellen, dass personenbezogene Daten richtig und aktuell sind, indem der für die Verarbeitung Verantwortliche unverzüglich informiert wird, wenn der Auftragsverarbeiter feststellt, dass die von ihm verarbeiteten personenbezogenen Daten unrichtig oder veraltet sind;
   4. die Verpflichtungen aus Artikel 32 der Verordnung (EU) 2016/679.
4. Die Vertragsparteien legen in Anhang III die geeigneten technischen und organisatorischen Maßnahmen fest, mit denen der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen bei der Anwendung dieser Klausel unterstützen muss, sowie den Umfang und den Umfang der erforderlichen Unterstützung.

Klausel 9

Meldung einer Verletzung des Schutzes personenbezogener Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten arbeitet der Auftragsverarbeiter mit dem für die Verarbeitung Verantwortlichen zusammen und unterstützt ihn dabei, seinen Verpflichtungen gemäß den Artikeln 33 und 34 der Verordnung (EU) 2016/679 oder gegebenenfalls gemäß den Artikeln 34 und 35 der Verordnung (EU) 2018/1725 nachzukommen, wobei die Art der Verarbeitung und die dem Auftragsverarbeiter zur Verfügung stehenden Informationen berücksichtigt werden.

9.1 Datenschutzverletzung in Bezug auf die vom für die Verarbeitung Verantwortlichen verarbeiteten Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten in Bezug auf die vom für die Verarbeitung Verantwortlichen verarbeiteten Daten unterstützt der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen:

1. bei der Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige (n) Aufsichtsbehörde (n), gegebenenfalls ohne unangemessene Verzögerung, nachdem der für die Verarbeitung Verantwortliche davon Kenntnis erlangt hat/ (es sei denn, es ist unwahrscheinlich, dass die Verletzung des Schutzes personenbezogener Daten zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt);
2. bei der Einholung der folgenden Informationen, die gemäß Artikel 33 Absatz 3 der Verordnung (EU) 2016/679 in der Mitteilung des für die Verarbeitung Verantwortlichen anzugeben sind und mindestens Folgendes enthalten müssen:
   1. die Art der personenbezogenen Daten, einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen sowie der Kategorien und der ungefähren Anzahl der betreffenden personenbezogenen Datensätze;
   2. die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
   3. die Maßnahmen, die der für die Verarbeitung Verantwortliche getroffen hat oder zu ergreifen beabsichtigt, um der Verletzung des Schutzes personenbezogener Daten zu begegnen, einschließlich gegebenenfalls Maßnahmen zur Minderung ihrer möglichen nachteiligen Auswirkungen.
   Wenn und soweit es nicht möglich ist, alle diese Informationen gleichzeitig bereitzustellen, enthält die ursprüngliche Mitteilung die zu diesem Zeitpunkt verfügbaren Informationen; weitere Informationen sind, sobald sie verfügbar sind, anschließend unverzüglich bereitzustellen.
3. gemäß Artikel 34 der Verordnung (EU) 2016/679 der Verpflichtung nachzukommen, die betroffene Person unverzüglich über die Verletzung des Schutzes personenbezogener Daten zu informieren, wenn die Verletzung des Schutzes personenbezogener Daten wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

9.2 Datenschutzverletzung in Bezug auf vom Prozessor verarbeitete Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten, die vom Auftragsverarbeiter verarbeitet werden, benachrichtigt der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen unverzüglich, nachdem der Auftragsverarbeiter von der Verletzung Kenntnis erlangt hat. Diese Mitteilung muss mindestens Folgendes enthalten:

1. eine Beschreibung der Art des Verstoßes (einschließlich, wenn möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen und der betroffenen Datensätze);
2. die Einzelheiten einer Kontaktstelle, bei der weitere Informationen über die Verletzung des Schutzes personenbezogener Daten eingeholt werden können;
3. ihre wahrscheinlichen Folgen und die Maßnahmen, die ergriffen wurden oder zu ergreifen sind, um den Verstoß zu beheben, einschließlich der Abschwächung seiner möglichen nachteiligen Auswirkungen.

Wenn und soweit es nicht möglich ist, alle diese Informationen gleichzeitig bereitzustellen, enthält die ursprüngliche Mitteilung die zu diesem Zeitpunkt verfügbaren Informationen; weitere Informationen sind, sobald sie verfügbar sind, anschließend unverzüglich bereitzustellen.

Die Vertragsparteien legen in Anhang III alle anderen Angaben fest, die der Auftragsverarbeiter bereitzustellen hat, wenn er den für die Verarbeitung Verantwortlichen bei der Erfüllung seiner Verpflichtungen gemäß den Artikeln 33 und 34 der Verordnung (EU) 2016/679 unterstützt.

ABSCHNITT III — SCHLUSSBESTIMMUNGEN

Klausel 10

Nichteinhaltung der Klauseln und Kündigung

1. Unbeschadet der Bestimmungen der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 kann der für die Verarbeitung Verantwortliche den Auftragsverarbeiter anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis dieser diese Klauseln einhält oder der Vertrag gekündigt wird. Der Auftragsverarbeiter informiert den für die Verarbeitung Verantwortlichen unverzüglich, falls er aus welchem Grund auch immer nicht in der Lage ist, diese Klauseln einzuhalten.
2. Der für die Verarbeitung Verantwortliche ist berechtigt, den Vertrag, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, zu kündigen, wenn:
   1. die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter vom für die Verarbeitung Verantwortlichen gemäß Buchstabe a ausgesetzt wurde und wenn die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall innerhalb eines Monats nach der Aussetzung, wiederhergestellt wird;
   2. der Auftragsverarbeiter verstößt erheblich oder anhaltend gegen diese Klauseln oder gegen seine Verpflichtungen gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725;
   3. Der Auftragsverarbeiter kommt einer verbindlichen Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde (n) in Bezug auf seine Verpflichtungen gemäß diesen Klauseln oder der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 nicht nach.
3. Der Auftragsverarbeiter ist berechtigt, den Vertrag zu kündigen, soweit es sich um die Verarbeitung personenbezogener Daten gemäß diesen Klauseln handelt, wenn der für die Verarbeitung Verantwortliche, nachdem er den für die Verarbeitung Verantwortlichen gemäß Klausel 7.1 (b) darüber informiert hat, dass seine Anweisungen gemäß Klausel 7.1 (b) gegen geltende gesetzliche Anforderungen verstoßen, auf der Einhaltung der Anweisungen besteht.
4. Nach Beendigung des Vertrags löscht der Auftragsverarbeiter nach Wahl des für die Verarbeitung Verantwortlichen alle im Namen des für die Verarbeitung Verantwortlichen verarbeiteten personenbezogenen Daten und bestätigt dem für die Verarbeitung Verantwortlichen, dass er dies getan hat, oder gibt alle personenbezogenen Daten an den für die Verarbeitung Verantwortlichen zurück und löscht vorhandene Kopien, sofern das Unionsrecht oder das Recht der Mitgliedstaaten die Aufbewahrung der personenbezogenen Daten nicht vorschreibt. Bis zur Löschung oder Rückgabe der Daten sorgt der Auftragsverarbeiter weiterhin für die Einhaltung dieser Klauseln.

***

ANLAGE I: LISTE DER VERTRAGSPARTEIEN

Steuerung:

Sie, der Endbenutzer oder Dienstanbieter, abonnieren und/oder nutzen den Acre Intrusion Connect Softwaredienst

Prozessor:

Vanderbilt International AB
Englundavägen 7
Feld 1275
17124 Solna
Schweden

ANLAGE II: BESCHREIBUNG DER VERARBEITUNG

Kategorien von betroffenen Personen, deren personenbezogene Daten verarbeitet werden

Verantwortliche oder Mitarbeiter der für die Verarbeitung Verantwortlichen, Endbenutzer oder Mitarbeiter von Endbenutzern.

Kategorien der verarbeiteten personenbezogenen Daten

Allgemeine Daten:

• Vor- und Nachname
• Andere Namen
• Adresse
• PLZ
• Telefonnummer (n)
• Nutzername
• Passwort
• E-Mail-Adresse (n)
• Sprache
• Informationen zur Sicherheitsfrage
• Zahlungsinformationen, einschließlich Kreditkartennummer und/oder Bankkontodaten, falls zutreffend
• Identifikatoren für Mobiltelefone (für Push-Benachrichtigungen)
• Informationen zum Installationsunternehmen
• Informationen zur Zugriffskontrolle (Benutzerbild, Karteninformationen, PIN, Benutzerrechte)
• Daten zur Alarmverifizierung, einschließlich Audio- und/oder Videomaterial (falls ein Alarm ausgelöst wurde; keine biometrische Erkennung; keine kontinuierliche Speicherung;)
• Sicherheitsbenachrichtigungen von Acre Intrusion-Panels
• Informationen zur Prüfung

Abonnementdaten:

• Vor- und Nachname
• Adresse
• PLZ
• Telefonnummer (n)
• Nutzername
• Passwort
• E-Mail-Adresse (n)
• Sprache
• Informationen zur Sicherheitsfrage
• Zahlungsinformationen, einschließlich Kreditkartennummer und/oder Bankkontodaten, falls zutreffend

Verarbeitete sensible Daten (falls zutreffend) und angewandte Einschränkungen oder Schutzmaßnahmen, die die Art der Daten und die damit verbundenen Risiken in vollem Umfang berücksichtigen, wie z. B. strenge Zweckbeschränkungen, Zugriffsbeschränkungen (einschließlich Zugriff nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Führung von Aufzeichnungen über den Zugriff auf die Daten, Beschränkungen für Weiterübertragungen oder zusätzliche Sicherheitsmaßnahmen:

Keine.

Beschreibung und Art der Verarbeitung

• Vollständige Fernprogrammierung der Acre Intrusion Panels
• „Always-On“ -Kommunikation ermöglicht sofortigen Zugriff
• Organisationsstruktur zur Unterstützung des Geschäftsablaufs
• Definierbare Rollen und Verantwortlichkeiten für Service Provider-Supportdienste
• Überwachung der Kommunikation
• Wartungsberichte
• Wartung der Konfigurationsdatei
• Automatisierte Backup-Dienste
• Fernzugriff von jedem PC, Telefon oder Tablet

Zweck (e), für den/die die personenbezogenen Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet werden

Bereitstellung und Nutzung des Acre Intrusion Connect Software Service, einer cloudbasierten Lösung zur Überwachung, Verwaltung und Wartung von Acre Intrusion Panels, die von Vanderbilt aus der Ferne bereitgestellt wird.

Dauer der Verarbeitung

Für die Dauer der Registrierung des für die Verarbeitung Verantwortlichen

Für die Verarbeitung durch (Unter-) Auftragsverarbeiter, Gegenstand und Art der Verarbeitung

Prozessor:

Vanderbilt International AB verarbeitet allgemeine Daten und Abonnementdaten gemäß Anhang II, um den Acre Intrusion Connect Software Service bereitzustellen.

Subprozessoren:

1.

Vanderbilt International (IRL) Ltd.
Geschäfts- und Technologiepark Clonshaugh
Dublin D-17 KV 84
Irland

Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten für den Fall, dass mehrere Unterauftragsverarbeiter autorisiert sind):
Der Subprozessor betreibt und verwaltet technisch die Acre Intrusion-Services von Vanderbilt auf den Cloud-Diensten, die vom Subprozessor Nr. 2 bereitgestellt werden. Er verarbeitet allgemeine Daten und Abonnementdaten gemäß Anhang II.

2.

Microsoft Ireland Operations Limited
Ein Microsoft Place, South County Gewerbepark, Leopardstown,
Dublin 18, D18 P521
Irland

Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten für den Fall, dass mehrere Unterauftragsverarbeiter autorisiert sind):
Der Subprozessor stellt Hosts die Cloud-Dienste zur Verfügung, die vom Prozessor und dem Subprozessor Nr. 1 verwendet werden, um die Acre Intrusion-Services von Vanderbilt auszuführen und zu verwalten. Er verarbeitet allgemeine Daten und Abonnementdaten gemäß Anhang II.

3.

Grey Matter Ltd.
Die alten Mälzereien
Prigg Meadow, Ashburton, Devon, TQ13 7DF
Vereinigtes Königreich

Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten für den Fall, dass mehrere Unterauftragsverarbeiter autorisiert sind):
Der Subprozessor bietet technischen Support für Subprozessor Nr. 1. Er verarbeitet allgemeine Daten und Abonnementdaten gemäß Anhang II.

4.

Chargebee Inc.
340 S Lemon Avenue, #1537
Walnut, Kalifornien 91789, USA
privacy@chargebee.com

Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten für den Fall, dass mehrere Unterauftragsverarbeiter autorisiert sind):
Die Abonnement-, Konto- und Rechnungsverwaltung wird von diesem Unterprozessor bereitgestellt. Er verarbeitet Abonnementdaten gemäß Anhang II.

5.

Ayden
Postfach 10095
10.01. FEBRUAR
Amsterdam
Die Niederlande

Ihre Datenschutzrichtlinie kann eingesehen werden unter https://www.adyen.com/policies-and-disclaimer/applicant-privacy-notice

Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten für den Fall, dass mehrere Unterauftragsverarbeiter autorisiert sind):
Das Zahlungsmanagement wird von diesem Unterprozessor bereitgestellt. Es verarbeitet Zahlungsdaten gemäß Anhang II.

6.

Stripe, Inc.
354 Oyster Point Boulevard
South San Francisco, Kalifornien, 94080, USA
Achtung: Stripe Legal
Stripe Payments Europe Limited
1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland

Ihre Datenschutzrichtlinie kann eingesehen werden unter https://stripe.com/us/privacy

Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten für den Fall, dass mehrere Unterauftragsverarbeiter autorisiert sind):
Das Zahlungsmanagement wird von diesem Unterprozessor bereitgestellt. Es verarbeitet Zahlungsdaten gemäß Anhang II.

ANLAGE III TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MASSNAHMEN ZUR GEWÄHRLEISTUNG DER DATENSICHERHEIT

Vanderbilt hat für Controller-Daten im Acre Intrusion Connect Software Service die folgenden Sicherheitsmaßnahmen implementiert und wird diese beibehalten. In Verbindung mit den Sicherheitsverpflichtungen in dieser Vereinbarung (einschließlich der DSGVO-Bedingungen) liegt die alleinige Verantwortung von Vanderbilt in Bezug auf die Sicherheit dieser Daten.

I. Organisation der Informationssicherheitspraktiken

Eigentum an der Sicherheit. Vanderbilt hat einen oder mehrere Sicherheitsbeauftragte ernannt, die für die Koordinierung und Überwachung der Sicherheitsregeln und -verfahren verantwortlich sind.

Rollen und Verantwortlichkeiten im Bereich Sicherheit. Mitarbeiter von Vanderbilt, die Zugriff auf die für die Verarbeitung Verantwortlichen haben, unterliegen Vertraulichkeitsverpflichtungen.

Risikomanagement-Programm. Vanderbilt führte vor der Verarbeitung der Controller-Daten oder dem Start des Acre Intrusion Connect-Softwaredienstes eine Risikobewertung durch.

Vanderbilt bewahrt seine Sicherheitsdokumente gemäß seinen Aufbewahrungspflichten auf, nachdem sie nicht mehr gültig sind.

II. Praktiken der Vermögensverwaltung

Inventar der Vermögenswerte. Vanderbilt führt ein Inventar aller Medien, auf denen Controller-Daten gespeichert sind, falls vorhanden. Der Zugriff auf die Bestände dieser Medien ist auf Mitarbeiter von Vanderbilt beschränkt, die schriftlich dazu befugt sind. Meist, wenn nicht ausschließlich, werden die Controller-Daten jedoch beim Unterauftragsverarbeiter von Vanderbilt gespeichert, der den Acre Intrusion Connect Software Service hostet (Einzelheiten finden Sie in Anhang IV).

Umgang mit Vermögenswerten

• Vanderbilt klassifiziert die für die Verarbeitung Verantwortlichen, um sie leichter identifizieren zu können und den Zugriff darauf angemessen einzuschränken.
• Vanderbilt legt Beschränkungen für das Drucken von Controller-Daten fest und verfügt über Verfahren zur Entsorgung gedruckter Materialien, die solche Daten enthalten.
• Das Personal von Vanderbilt muss die Genehmigung von Vanderbilt einholen, bevor Controller-Daten auf tragbaren Geräten gespeichert, per Fernzugriff auf solche Daten zugegriffen oder diese Daten außerhalb der Einrichtungen von Vanderbilt verarbeitet werden.

III. Sicherheitspraktiken der Personalabteilung

Sicherheitstraining. Vanderbilt informiert seine Mitarbeiter über die relevanten Sicherheitsverfahren und ihre jeweiligen Rollen. Vanderbilt informiert sein Personal auch über mögliche Folgen eines Verstoßes gegen die Sicherheitsregeln und -verfahren.

IV. Praktiken zur physischen und ökologischen Sicherheit

Physischer Zugang zu Einrichtungen. Vanderbilt beschränkt den Zugang zu Einrichtungen, in denen auf Informationssysteme, die Controller-Daten verarbeiten, zugegriffen wird oder sich dort befinden, auf identifizierte autorisierte Personen.

Physischer Zugriff auf Komponenten. Vanderbilt führt Aufzeichnungen über die eingehenden und ausgehenden Medien, die gegebenenfalls Controller-Daten enthalten, einschließlich der Art der Medien, der autorisierten Absender/Empfänger, Datum und Uhrzeit, der Anzahl der Medien und der Art der darin enthaltenen Daten.

Schutz vor Störungen. Vanderbilt und/oder seine Subprozessoren verwenden eine Vielzahl von Industriestandardsystemen zum Schutz vor Datenverlust aufgrund von Stromversorgungsausfällen oder Leitungsstörungen.

Entsorgung von Komponenten. Vanderbilt und/oder seine Unterauftragsverarbeiter verwenden branchenübliche Verfahren, um Controller-Daten zu löschen, wenn sie nicht mehr benötigt werden.

V. Praktiken des Kommunikations- und Betriebsmanagements

Betriebspolitik. Vanderbilt führt Sicherheitsdokumente, in denen seine Sicherheitsmaßnahmen sowie die relevanten Verfahren und Verantwortlichkeiten seines Personals beschrieben werden, das Zugriff auf die für die Verarbeitung Verantwortlichen hat.

Verfahren zur Datenwiederherstellung

• Vanderbilt und/oder seine Unterauftragsverarbeiter führen fortlaufend, aber in keinem Fall seltener als einmal pro Woche (es sei denn, in diesem Zeitraum wurden keine Aktualisierungen vorgenommen) mehrere Kopien der Controller-Daten, aus denen diese Daten wiederhergestellt werden können.
• Vanderbilt und/oder seine Subprozessoren speichern Kopien der Controller-Daten und Datenwiederherstellungsverfahren an einem anderen Ort als dem, an dem sich die primäre Computerausrüstung befindet, die die Controller-Daten verarbeitet.
• Vanderbilt und/oder seine Unterauftragsverarbeiter verfügen über spezifische Verfahren, die den Zugriff auf Kopien der für die Verarbeitung Verantwortlichen regeln.
• Vanderbilt und/oder seine Unterauftragsverarbeiter überprüfen die Verfahren zur Datenwiederherstellung mindestens alle 12 Monate.
• Vanderbilt und/oder seine Unterauftragsverarbeiter protokollieren die Datenwiederherstellungsbemühungen, einschließlich der verantwortlichen Person, der Beschreibung der wiederhergestellten Daten und gegebenenfalls der verantwortlichen Person und der Daten (falls vorhanden), die bei der Datenwiederherstellung manuell eingegeben werden mussten.

Bösartige Software. Vanderbilt und/oder seine Subprozessoren verfügen über Anti-Malware-Kontrollen, um zu verhindern, dass bösartige Software unbefugten Zugriff auf Controller-Daten erlangt, einschließlich bösartiger Software, die aus öffentlichen Netzwerken stammt.

Daten jenseits der Grenzen

• Vanderbilt und/oder seine Subprozessoren verschlüsseln Controller-Daten, die über öffentliche Netzwerke übertragen werden, oder ermöglichen es dem Controller, diese zu verschlüsseln.
• Vanderbilt und/oder seine Unterauftragsverarbeiter schränken den Zugriff auf Controller-Daten auf Medien ein, die seine Einrichtungen verlassen.

Protokollierung von Ereignissen. Vanderbilt und/oder sein (e) Unterauftragsverarbeiter protokollieren Informationssysteme, die Controller-Daten enthalten, oder ermöglichen es dem Controller, auf Informationssysteme zuzugreifen und diese zu nutzen, und registrieren die Zugriffs-ID, Uhrzeit, erteilte oder verweigerte Autorisierung und relevante Aktivitäten.

VI. Praktiken der Zugangskontrolle

Zugriffsrichtlinie. Vanderbilt und/oder seine Unterauftragsverarbeiter führen Aufzeichnungen über die Sicherheitsrechte von Personen, die Zugriff auf die für die Verarbeitung Verantwortlichen haben.

Zugriffsberechtigung

• Vanderbilt und/oder seine Unterauftragsverarbeiter führen und aktualisieren ein Verzeichnis der Mitarbeiter, die berechtigt sind, auf die Systeme von Vanderbilt und/oder seinen Unterauftragsverarbeitern zuzugreifen, die Controller-Daten enthalten.
• Vanderbilt und/oder seine Unterauftragsverarbeiter deaktivieren Authentifizierungsdaten, die für einen Zeitraum von höchstens sechs Monaten nicht verwendet wurden.
• Vanderbilt und/oder seine Unterauftragsverarbeiter identifizieren diejenigen Mitarbeiter, die autorisierten Zugriff auf Daten und Ressourcen gewähren, ändern oder stornieren können.
• Vanderbilt und/oder seine Unterauftragsverarbeiter stellen sicher, dass, wenn mehr als eine Person Zugriff auf Systeme hat, die Controller-Daten enthalten, die Personen separate Identifikatoren/Logins haben.

Geringstes Privileg

• Mitarbeiter des technischen Supports dürfen nur bei Bedarf auf Controller-Daten und Professional Services-Daten zugreifen.
• Vanderbilt und/oder seine Unterauftragsverarbeiter beschränken den Zugriff auf die Controller-Daten nur auf diejenigen Personen, die diesen Zugriff zur Erfüllung ihrer Aufgaben benötigen.

Integrität und Vertraulichkeit

• Vanderbilt weist das Personal von Vanderbilt an, Verwaltungssitzungen zu deaktivieren, wenn das Gebäude verlassen wird, das Vanderbilt kontrolliert, oder wenn Computer anderweitig unbeaufsichtigt gelassen werden.
• Vanderbilt speichert Passwörter so, dass sie unverständlich sind, solange sie gültig sind.

Authentifizierung

• Vanderbilt und/oder seine Unterauftragsverarbeiter verwenden branchenübliche Verfahren, um Benutzer zu identifizieren und zu authentifizieren, die versuchen, auf Informationssysteme zuzugreifen.
• Wenn Authentifizierungsmechanismen auf Passwörtern basieren, verlangt Vanderbilt, dass die Passwörter regelmäßig erneuert werden.
• Wo Authentifizierungsmechanismen auf Passwörtern basieren, verlangt Vanderbilt, dass das Passwort mindestens acht Zeichen lang ist.
• Vanderbilt stellt sicher, dass deaktivierte oder abgelaufene Identifikatoren nicht an andere Personen vergeben werden.
• Vanderbilt und/oder seine Subprozessoren überwachen wiederholte Versuche, mit einem ungültigen Passwort auf das Informationssystem zuzugreifen, oder ermöglichen es dem Controller, diese zu überwachen.
• Vanderbilt und/oder seine Unterauftragsverarbeiter verwenden branchenübliche Verfahren zur Deaktivierung von Passwörtern, die beschädigt oder versehentlich veröffentlicht wurden.
• Vanderbilt und/oder seine Unterauftragsverarbeiter verwenden branchenübliche Verfahren zum Passwortschutz, einschließlich Verfahren, die darauf ausgelegt sind, die Vertraulichkeit und Integrität von Passwörtern bei der Zuweisung und Verteilung sowie bei der Speicherung zu wahren.

Netzwerkdesign. Vanderbilt und/oder seine Unterauftragsverarbeiter verfügen über Kontrollen, um zu verhindern, dass Personen Zugriffsrechte annehmen, die ihnen nicht zugewiesen wurden, um Zugriff auf Controller-Daten zu erhalten, zu deren Zugriff sie nicht berechtigt sind.

VII. Praktiken beim Umgang mit Vorfällen im Bereich der Informationssicherheit

Prozess zur Reaktion auf Vorfälle

• Vanderbilt führt ein Verzeichnis der Sicherheitslücken mit einer Beschreibung des Verstoßes, des Zeitraums, der Folgen des Verstoßes, dem Namen des Melders und dem, dem der Verstoß gemeldet wurde, sowie dem Verfahren zur Datenwiederherstellung.
• Für jede Sicherheitsverletzung, bei der es sich um einen Sicherheitsvorfall handelt, erfolgt eine Benachrichtigung durch Vanderbilt (wie im Abschnitt „Benachrichtigung über Sicherheitsvorfälle“ oben beschrieben) unverzüglich, in jedem Fall jedoch innerhalb von 72 Stunden.
• Vanderbilt verfolgt die Offenlegung von Controller-Daten oder ermöglicht es dem Controller, diese nachzuverfolgen, einschließlich welcher Daten, an wen und zu welchem Zeitpunkt weitergegeben wurden.

Serviceüberwachung. Das Sicherheitspersonal von Vanderbilt und/oder dessen Unterauftragsverarbeiter überprüft die Protokolle mindestens alle 12 Monate, um gegebenenfalls Abhilfemaßnahmen vorzuschlagen.

VIII. Praktiken des Geschäftskontinuitätsmanagements

• Vanderbilt unterhält Notfall- und Notfallpläne für die Einrichtungen, in denen auf Vanderbilt-Informationssysteme, die Controller-Daten verarbeiten, zugegriffen wird oder die sich dort befinden.
• Der redundante Speicher von Vanderbilt und/oder seinem Subprozessor (s) und seine Verfahren zur Datenwiederherstellung sind so konzipiert, dass versucht wird, Controller-Daten in ihrem ursprünglichen oder zuletzt replizierten Zustand von vor dem Zeitpunkt des Verlusts oder der Zerstörung zu rekonstruieren.

ANLAGE IV: LISTE DER UNTERAUFTRAGSVERARBEITER

Der für die Verarbeitung Verantwortliche hat den Einsatz der folgenden Unterauftragsverarbeiter autorisiert:

1.

Vanderbilt International (IRL) Ltd.
Geschäfts- und Technologiepark Clonshaugh
Dublin D-17 KV 84
Irland

Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten für den Fall, dass mehrere Unterauftragsverarbeiter autorisiert sind):
Der Subprozessor betreibt und verwaltet technisch die AACRE Intrusion-Services von Vanderbilt auf den Cloud-Diensten, die vom Subprozessor Nr. 2 bereitgestellt werden. Er verarbeitet allgemeine Daten und Abonnementdaten gemäß Anhang II.

2.

Microsoft Ireland Operations Limited
Ein Microsoft Place, South County Gewerbepark, Leopardstown,
Dublin 18, D18 P521
Irland

Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten für den Fall, dass mehrere Unterauftragsverarbeiter autorisiert sind):
Der Subprozessor stellt Hosts die Cloud-Dienste zur Verfügung, die vom Prozessor und dem Subprozessor Nr. 1 verwendet werden, um die Acre Intrusion-Services von Vanderbilt auszuführen und zu verwalten. Er verarbeitet allgemeine Daten und Abonnementdaten gemäß Anhang II.

3.

Grey Matter Ltd.
Die alten Mälzereien
Prigg Meadow, Ashburton, Devon, TQ13 7DF
Vereinigtes Königreich

Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten für den Fall, dass mehrere Unterauftragsverarbeiter autorisiert sind):
Der Subprozessor bietet technischen Support für Subprozessor Nr. 1. Er verarbeitet allgemeine Daten und Abonnementdaten gemäß Anhang II.

4.

Chargebee Inc.
340 S Lemon Avenue, #1537
Walnut, Kalifornien 91789, USA
privacy@chargebee.com

Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten für den Fall, dass mehrere Unterauftragsverarbeiter autorisiert sind):
Die Abonnement-, Konto- und Rechnungsverwaltung wird von diesem Unterprozessor bereitgestellt. Er verarbeitet Abonnementdaten gemäß Anhang II.

ANHANG V: Drittländer

Abgesehen von der Verarbeitung personenbezogener Daten in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum stimmt der Kunde der Verarbeitung personenbezogener Daten durch Unterauftragsverarbeiter in dem folgenden Land/der folgenden Region zu:

Vereinigtes Königreich, in Bezug auf allgemeine Daten und Abonnementdaten gemäß Anhang II.

Das angemessene Schutzniveau ist dort festgelegt (i) DURCHFÜHRUNGSBESCHLUSS DER KOMMISSION vom 28.6.2021 gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates über den angemessenen Schutz personenbezogener Daten durch das Vereinigte Königreich; und/oder (ii) durch Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c und d DSGVO).

Vereinigte Staaten von Amerika (USA) in Bezug auf Abonnementdaten gemäß Anhang II.

Das angemessene Schutzniveau wird dort durch Standarddatenschutzklauseln festgelegt (Art. 46 Abs. 2 lit. c und d DSGVO).