Diese Datenverarbeitungszusatzvereinbarung („DPA“) ist Teil der Vereinbarung zwischen Push Engage LLC d/b/a PushEngage („PushEngage“) und dem Kunden („Kunde“) und tritt am Datum des Inkrafttretens in Kraft, an dem beide Parteien diese DPA unterzeichnen. Alle in dieser DPA nicht definierten großgeschriebenen Begriffe haben die in der Vereinbarung festgelegten Bedeutungen.

1. Definitionen

„Tochtergesellschaft“ bezeichnet eine Einheit, die eine andere Einheit direkt oder indirekt kontrolliert, von ihr kontrolliert wird oder unter gemeinsamer Kontrolle mit ihr steht.

„Vereinbarung“ bezeichnet die Nutzungsbedingungen von PushEngage, die die Erbringung der Dienste für den Kunden regeln, einschließlich etwaiger Aktualisierungen dieser Bedingungen durch PushEngage von Zeit zu Zeit.

„Kontrolle“ bezeichnet ein Eigentums-, Stimmrechts- oder ähnliches Interesse, das fünfzig Prozent (50 %) oder mehr der insgesamt ausstehenden Anteile der betreffenden Einheit darstellt. Der Begriff „kontrolliert“ ist entsprechend auszulegen.

„Kundendaten“ bezeichnet alle personenbezogenen Daten, die PushEngage im Auftrag des Kunden als Datenverarbeiter bei der Erbringung der Dienste verarbeitet, wie in dieser DPA näher beschrieben.

„Datenschutzgesetze“ bezeichnet alle Datenschutz- und Privatsphärengesetze, die für die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung gelten, einschließlich, soweit anwendbar, des EU-Datenschutzrechts.

„Datenverantwortlicher“ bezeichnet eine Einheit, die die Zwecke und Mittel für die Verarbeitung personenbezogener Daten bestimmt.

„Datenverarbeiter“ bezeichnet eine Einheit, die personenbezogene Daten im Auftrag eines Datenverantwortlichen verarbeitet.

„EU-Datenschutzrecht“ bezeichnet (i) vor dem 25. Mai 2018 die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr („Richtlinie“) und ab dem 25. Mai 2018 die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) („DSGVO“); und (ii) die Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und der Schutz der Privatsphäre im Sektor der elektronischen Kommunikation und deren anwendbare nationale Umsetzungen (in der jeweils geänderten, ersetzten oder abgelösten Fassung).

„EWR“ bezeichnet für die Zwecke dieser DPA den Europäischen Wirtschaftsraum, das Vereinigte Königreich und die Schweiz.

„Gruppe“ bezeichnet alle Tochtergesellschaften, die Teil der Unternehmensgruppe einer Einheit sind.

„PushEngage-Netzwerk“ bezeichnet die Rechenzentrumseinrichtungen, Server, Netzwerkausrüstung und Host-Softwaresysteme (z. B. virtuelle Firewalls) von PushEngage, die sich innerhalb der Kontrolle von PushEngage befinden und zur Erbringung der Dienste genutzt werden.

„Personenbezogene Daten“ bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

„Verarbeitung“ hat die in der DSGVO gegebene Bedeutung, und „verarbeiten“, „verarbeitet“ und „verarbeitet“ sind entsprechend auszulegen.

„Sicherheitsvorfall“ bezeichnet jede unbefugte oder rechtswidrige Verletzung der Sicherheit, die zur versehentlichen oder rechtswidrigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf Kundendaten führt.

„Dienste“ bezeichnet jedes Produkt oder jede Dienstleistung, die PushEngage dem Kunden gemäß der Vereinbarung zur Verfügung stellt.

„Standardvertragsklauseln“ bezeichnet Anhang C, der diesem Zusatz beigefügt ist und dessen Bestandteil bildet.

„Auftragsverarbeiter“ bezeichnet jeden Datenverarbeiter, der von PushEngage oder seinen verbundenen Unternehmen beauftragt wird, um bei der Erfüllung seiner Verpflichtungen im Zusammenhang mit der Erbringung der Dienste gemäß der Vereinbarung oder dieser DPA zu unterstützen. Zu den Auftragsverarbeitern können Dritte oder Mitglieder der PushEngage-Gruppe gehören.

2. Verhältnis zur Vereinbarung

2.1 Die Parteien vereinbaren, dass die DPA jede bestehende DPA ersetzt, die die Parteien zuvor im Zusammenhang mit den Diensten möglicherweise abgeschlossen haben.

2.2 Mit Ausnahme der durch diese DPA vorgenommenen Änderungen bleibt die Vereinbarung unverändert und in vollem Umfang in Kraft und wirksam. Bei einem Konflikt zwischen dieser DPA und der Vereinbarung hat diese DPA im Umfang des Konflikts Vorrang.

2.3 Alle im Rahmen dieser DPA oder in Verbindung mit dieser DPA erhobenen Ansprüche unterliegen den Bedingungen, einschließlich, aber nicht beschränkt auf die in der Vereinbarung festgelegten Ausschlüsse und Haftungsbeschränkungen.

2.4 Alle Ansprüche gegen PushEngage oder seine verbundenen Unternehmen im Rahmen dieser DPA sind ausschließlich gegen die Partei zu richten, die Partei der Vereinbarung ist. In keinem Fall beschränkt eine Partei ihre Haftung in Bezug auf die Datenschutzrechte einer Einzelperson gemäß dieser DPA oder anderweitig. Der Kunde stimmt ferner zu, dass alle behördlichen Strafen, die PushEngage in Bezug auf die Kundendaten entstehen und die sich aus der Nichteinhaltung der Verpflichtungen des Kunden gemäß dieser DPA oder geltender Datenschutzgesetze ergeben oder damit zusammenhängen, die Haftung von PushEngage gemäß der Vereinbarung mindern, als ob es sich um eine Haftung gegenüber dem Kunden gemäß der Vereinbarung handeln würde.

2.5 Niemand außer einer Partei dieser DPA, ihren Nachfolgern und zulässigen Abtretungsempfängern hat das Recht, eine ihrer Bestimmungen durchzusetzen.

2.6 Diese DPA unterliegt dem geltenden Recht und den Gerichtsstandsbestimmungen der Vereinbarung und wird in Übereinstimmung mit diesen ausgelegt, es sei denn, dies wird durch geltende Datenschutzgesetze anders vorgeschrieben.

3. Umfang und Anwendbarkeit dieser DPA

3.1 Diese DPA gilt, wo und nur in dem Umfang, in dem PushEngage Kundendaten verarbeitet, die aus dem EWR stammen und/oder anderweitig dem EU-Datenschutzrecht unterliegen, im Auftrag des Kunden als Datenverarbeiter im Rahmen der Erbringung von Diensten gemäß der Vereinbarung.

3.2 Teil A (Abschnitt 4 – 8 (einschließlich) dieses DPA sowie Anhang A, B und C dieses DPA) gilt für die Verarbeitung von Kundendaten im Rahmen dieses DPA ab dem Wirksamkeitsdatum.

3.3 Teil B (Abschnitte 9-12 (einschließlich) dieses DPA) gilt für die Verarbeitung von Kundendaten im Rahmen des DPA ab dem 25. Mai 2018 einschließlich. Zur Klarstellung gilt Teil B zusätzlich zu den Bestimmungen in Teil A und nicht an deren Stelle.

Teil A: Allgemeine Datenschutzverpflichtungen

4. Rollen und Umfang der Verarbeitung

4.1 Rolle der Parteien. Zwischen PushEngage und dem Kunden ist der Kunde der Datenverantwortliche für Kundendaten, und PushEngage verarbeitet Kundendaten nur als Datenverarbeiter im Auftrag des Kunden.

4.2 Kundenverarbeitung von Kundendaten. Der Kunde stimmt zu, dass (i) er seine Verpflichtungen als Datenverantwortlicher gemäß den Datenschutzgesetzen in Bezug auf seine Verarbeitung von Kundendaten und alle Verarbeitungshinweise, die er PushEngage erteilt, einhält; und (ii) er die erforderlichen Mitteilungen gemacht und alle gemäß den Datenschutzgesetzen für PushEngage erforderlichen Zustimmungen und Rechte eingeholt hat (oder einholen wird), um Kundendaten zu verarbeiten und die Dienste gemäß der Vereinbarung und diesem DPA bereitzustellen.

4.3 PushEngage-Verarbeitung von Kundendaten. PushEngage verarbeitet Kundendaten nur zu den in diesem DPA beschriebenen Zwecken und nur gemäß den dokumentierten rechtmäßigen Anweisungen des Kunden. Die Parteien vereinbaren, dass dieses DPA und die Vereinbarung die vollständigen und endgültigen Anweisungen des Kunden an PushEngage in Bezug auf die Verarbeitung von Kundendaten festlegen und dass eine Verarbeitung außerhalb des Umfangs dieser Anweisungen (falls vorhanden) eine vorherige schriftliche Vereinbarung zwischen dem Kunden und PushEngage erfordert.

4.4 Einzelheiten der Datenverarbeitung.

1. Gegenstand: Der Gegenstand der Datenverarbeitung gemäß diesem DPA sind die Kundendaten.
2. Dauer: Zwischen PushEngage und dem Kunden dauert die Datenverarbeitung gemäß diesem DPA bis zur Kündigung der Vereinbarung gemäß ihren Bedingungen.
3. Zweck: Der Zweck der Datenverarbeitung gemäß diesem DPA ist die Bereitstellung der Dienste für den Kunden und die Erfüllung der Verpflichtungen von PushEngage gemäß der Vereinbarung (einschließlich dieses DPA) oder wie anderweitig von den Parteien vereinbart.
4. Art der Verarbeitung: PushEngage bietet einen Web-Push-Benachrichtigungsdienst und andere damit verbundene Dienste an, wie in der Vereinbarung beschrieben.
5. Kategorien von betroffenen Personen: Jede Einzelperson, die über das Konto des Kunden auf die Dienste zugreift und/oder diese nutzt („Benutzer“); und jede Einzelperson: (i) deren E-Mail-Adresse in der Verteilerliste des Kunden enthalten ist; (ii) deren Informationen auf den Diensten gespeichert sind oder über diese gesammelt werden, oder (iii) an die Benutzer E-Mails senden oder anderweitig über die Dienste interagieren oder kommunizieren (zusammenfassend „Abonnenten“).
6. Arten von Kundendaten:
7. Kunden und Nutzer: Identifikations- und Kontaktdaten (Name, Adresse, Titel, Kontaktdaten, Benutzername); Finanzinformationen (Kreditkartendaten, Kontodaten, Zahlungsinformationen); Beschäftigungsdaten (Arbeitgeber, Berufsbezeichnung, geografischer Standort, Verantwortungsbereich);
8. Abonnenten: Identifikations- und Kontaktdaten (Name, Geburtsdatum, Geschlecht, allgemeine, berufliche oder andere demografische Informationen, Adresse, Titel, Kontaktdaten, einschließlich E-Mail-Adresse), persönliche Interessen oder Präferenzen (einschließlich Kaufhistorie, Marketingpräferenzen und öffentlich zugängliche Social-Media-Profilinformationen); IT-Informationen (IP-Adressen, Nutzungsdaten, Cookie-Daten, Online-Navigationsdaten, Standortdaten, Browserdaten); Finanzinformationen (Kreditkartendaten, Kontodaten, Zahlungsinformationen).
9. Ungeachtet anderslautender Bestimmungen in der Vereinbarung (einschließlich dieser DPA) erkennt der Kunde an, dass PushEngage das Recht hat, Daten, die sich auf den Betrieb, die Unterstützung und/oder die Nutzung der Dienste beziehen, für seine legitimen Geschäftszwecke zu verwenden und offenzulegen, wie z. B. Abrechnung, Kontoverwaltung, technischer Support, Produktentwicklung sowie Vertrieb und Marketing. Soweit solche Daten nach den Datenschutzgesetzen als personenbezogene Daten gelten, ist PushEngage der Datenverantwortliche für solche Daten und verarbeitet diese entsprechend der PushEngage-Datenschutzrichtlinie und den Datenschutzgesetzen.
10. Tracking-Technologien. Der Kunde erkennt an, dass PushEngage im Zusammenhang mit der Erbringung der Dienste die Verwendung von Cookies, eindeutigen Identifikatoren, Web Beacons und ähnlichen Tracking-Technologien („Tracking-Technologien“) einsetzt. Der Kunde unterhält die entsprechenden Benachrichtigungs-, Einwilligungs-, Opt-in- und Opt-out-Mechanismen, die nach den Datenschutzgesetzen erforderlich sind, damit PushEngage Tracking-Technologien rechtmäßig auf den Geräten der Abonnenten (wie unten definiert) einsetzen und Daten von diesen sammeln kann, gemäß und wie in der PushEngage Cookie-Erklärung beschrieben.

5. Unterauftragsverarbeiter

5.1 Autorisierte Unterauftragsverarbeiter. Der Kunde stimmt zu, dass PushEngage Unterauftragsverarbeiter beauftragen kann, Kundendaten im Namen des Kunden zu verarbeiten. Die von PushEngage derzeit beauftragten und vom Kunden autorisierten Unterauftragsverarbeiter sind in Anhang A aufgeführt.

5.2 Verpflichtungen des Unterauftragsverarbeiters. PushEngage wird: (i) eine schriftliche Vereinbarung mit dem Unterauftragsverarbeiter abschließen, die Datenschutzbestimmungen auferlegt, die den Unterauftragsverarbeiter verpflichten, die Kundendaten nach dem von den Datenschutzgesetzen geforderten Standard zu schützen; und (ii) für die Einhaltung der Verpflichtungen dieser DPA und für Handlungen oder Unterlassungen des Unterauftragsverarbeiters, die dazu führen, dass PushEngage gegen eine seiner Verpflichtungen aus dieser DPA verstößt, verantwortlich bleiben.

6. Sicherheit

6.1 Sicherheitsmaßnahmen. PushEngage wird geeignete technische und organisatorische Sicherheitsmaßnahmen implementieren und aufrechterhalten, um Kundendaten vor Sicherheitsvorfällen zu schützen und die Sicherheit und Vertraulichkeit der Kundendaten gemäß den in Anhang B beschriebenen Sicherheitsstandards von PushEngage („Sicherheitsmaßnahmen“) zu wahren.

6.2 Aktualisierungen der Sicherheitsmaßnahmen. Der Kunde ist dafür verantwortlich, die von PushEngage bereitgestellten Informationen zur Datensicherheit zu prüfen und unabhängig festzustellen, ob die Dienste den Anforderungen und rechtlichen Verpflichtungen des Kunden gemäß den Datenschutzgesetzen entsprechen. Der Kunde erkennt an, dass die Sicherheitsmaßnahmen technischen Fortschritten und Entwicklungen unterliegen und dass PushEngage die Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren oder ändern kann, vorausgesetzt, dass solche Aktualisierungen und Änderungen nicht zu einer Verschlechterung der Gesamtsicherheit der vom Kunden erworbenen Dienste führen.

6.3 Verantwortlichkeiten des Kunden. Ungeachtet des Vorstehenden erklärt sich der Kunde damit einverstanden, dass er – außer wie in dieser DPA vorgesehen – für die sichere Nutzung der Dienste verantwortlich ist, einschließlich der Sicherung seiner Anmeldeinformationen, des Schutzes der Sicherheit von Kundendaten während der Übertragung zu und von den Diensten und der Ergreifung geeigneter Maßnahmen zur sicheren Verschlüsselung oder Sicherung von Kundendaten, die auf die Dienste hochgeladen werden.

7. Sicherheitsberichte und Audits

7.1 Der Kunde erkennt an, dass PushEngage regelmäßig von unabhängigen externen Prüfern und internen Prüfern nach SSAE 16- bzw. PCI-Standards geprüft wird.

7.2 PushEngage wird auch schriftliche Antworten (vertraulich) auf alle angemessenen Informationsanfragen des Kunden geben, einschließlich Antworten auf Fragebögen zur Informationssicherheit und zu Audits, die zur Bestätigung der Einhaltung dieser DPA durch PushEngage erforderlich sind, vorausgesetzt, dass der Kunde dieses Recht nicht mehr als einmal pro Jahr ausübt.

8. Internationale Übertragungen

8.1 Rechenzentrumsstandorte. PushEngage kann Kundendaten weltweit übertragen und verarbeiten, wo PushEngage, seine verbundenen Unternehmen oder seine Unterauftragnehmer Datenverarbeitungsbetriebe unterhalten. PushEngage wird jederzeit ein angemessenes Schutzniveau für die verarbeiteten Kundendaten gemäß den Anforderungen der Datenschutzgesetze gewährleisten.

8.2 Alternativer Übertragungsmechanismus. Die Parteien vereinbaren, dass die in Abschnitt 8.2 genannte Datenexportlösung nicht gilt, wenn und soweit PushEngage eine alternative Datenexportlösung für die rechtmäßige Übertragung personenbezogener Daten (wie nach EU-Datenschutzgesetzen anerkannt) außerhalb des EWR („Alternativer Übertragungsmechanismus“) einführt, in welchem Fall der Alternative Übertragungsmechanismus stattdessen gilt (jedoch nur in dem Umfang, in dem sich der Alternative Übertragungsmechanismus auf die Gebiete erstreckt, in die personenbezogene Daten übertragen werden).

Teil B: DSGVO-Verpflichtungen ab dem 25. Mai 2018

9. Zusätzliche Sicherheit

9.1 Vertraulichkeit der Verarbeitung. PushEngage stellt sicher, dass jede Person, die von PushEngage zur Verarbeitung von Kundendaten berechtigt ist (einschließlich seiner Mitarbeiter, Vertreter und Unterauftragnehmer), einer entsprechenden Vertraulichkeitsverpflichtung unterliegt (sei es vertraglich oder gesetzlich vorgeschrieben).

9.2 Reaktion auf Sicherheitsvorfälle. Nach Kenntnis eines Sicherheitsvorfalls benachrichtigt PushEngage den Kunden unverzüglich und stellt zeitnahe Informationen über den Sicherheitsvorfall zur Verfügung, sobald diese bekannt werden oder vom Kunden vernünftigerweise angefordert werden.

10. Änderungen von Unterauftragnehmern

10.1 PushEngage stellt (i) auf schriftliche Anfrage des Kunden eine aktuelle Liste der von ihm beauftragten Unterauftragnehmer zur Verfügung; und (ii) benachrichtigt den Kunden (per E-Mail genügt) mindestens 10 Tage vor solchen Änderungen, wenn es Unterauftragnehmer hinzufügt oder entfernt.

10.2 Der Kunde kann der Ernennung eines neuen Unterauftragnehmers durch PushEngage innerhalb von dreißig (30) Kalendertagen nach einer solchen Benachrichtigung schriftlich widersprechen, vorausgesetzt, dieser Widerspruch beruht auf berechtigten Gründen im Zusammenhang mit dem Datenschutz. In diesem Fall erörtern die Parteien diese Bedenken in gutem Glauben mit dem Ziel, eine Lösung zu finden. Wenn dies nicht möglich ist, kann der Kunde die Vereinbarung aussetzen oder kündigen (unbeschadet etwaiger Gebühren, die dem Kunden vor der Aussetzung oder Kündigung entstanden sind).

11. Rückgabe oder Löschung von Daten

11.1 Nach Beendigung oder Ablauf der Vereinbarung löscht PushEngage (nach Wahl des Kunden) alle Kundendaten (einschließlich Kopien) in seinem Besitz oder seiner Kontrolle oder gibt sie an den Kunden zurück, es sei denn, diese Anforderung gilt nicht, soweit PushEngage gesetzlich verpflichtet ist, einige oder alle Kundendaten aufzubewahren, oder für Kundendaten, die es auf Backup-Systemen archiviert hat, welche Kundendaten PushEngage sicher isoliert und vor jeder weiteren Verarbeitung schützt, es sei denn, dies ist gesetzlich vorgeschrieben.

12. Zusammenarbeit

12.1 Die Dienste stellen dem Kunden eine Reihe von Kontrollen zur Verfügung, die der Kunde verwenden kann, um Kundendaten abzurufen, zu korrigieren, zu löschen oder einzuschränken, und die der Kunde zur Unterstützung seiner Verpflichtungen gemäß der DSGVO verwenden kann, einschließlich seiner Verpflichtungen im Zusammenhang mit der Beantwortung von Anfragen von Datensubjekten oder zuständigen Datenschutzbehörden. Soweit der Kunde nicht in der Lage ist, auf die relevanten Kundendaten innerhalb der Dienste selbstständig zuzugreifen, wird PushEngage (auf Kosten des Kunden) angemessen kooperieren, um den Kunden bei der Beantwortung von Anfragen von Einzelpersonen oder zuständigen Datenschutzbehörden im Zusammenhang mit der Verarbeitung personenbezogener Daten gemäß der Vereinbarung zu unterstützen. Für den Fall, dass eine solche Anfrage direkt an PushEngage gerichtet wird, wird PushEngage diese Kommunikation nicht ohne vorherige Genehmigung des Kunden direkt beantworten, es sei denn, dies ist gesetzlich vorgeschrieben. Wenn PushEngage verpflichtet ist, auf eine solche Anfrage zu antworten, wird PushEngage den Kunden umgehend benachrichtigen und ihm eine Kopie der Anfrage zur Verfügung stellen, es sei denn, dies ist gesetzlich untersagt.

12.2 Wenn eine Strafverfolgungsbehörde PushEngage eine Aufforderung zur Herausgabe von Kundendaten sendet (z. B. durch eine Vorladung oder eine gerichtliche Anordnung), wird PushEngage versuchen, die Strafverfolgungsbehörde an die Stelle zu verweisen, die Daten direkt vom Kunden anfordert. Im Rahmen dieser Bemühungen kann PushEngage grundlegende Kontaktinformationen des Kunden an die Strafverfolgungsbehörde weitergeben. Wenn PushEngage gezwungen ist, Kundendaten an eine Strafverfolgungsbehörde weiterzugeben, wird PushEngage dem Kunden eine angemessene Benachrichtigung über die Aufforderung zukommen lassen, damit der Kunde eine Schutzanordnung oder eine andere geeignete Abhilfe suchen kann, es sei denn, PushEngage ist gesetzlich daran gehindert.

12.3 Soweit PushEngage nach dem EU-Datenschutzrecht verpflichtet ist, wird PushEngage (auf Kosten des Kunden) angemessen angeforderte Informationen über die Dienste zur Verfügung stellen, damit der Kunde Datenschutz-Folgenabschätzungen oder Vorkonsultationen mit Datenschutzbehörden gemäß den gesetzlichen Bestimmungen durchführen kann.

ANHANG A – Liste der PushEngage Sub-Prozessoren

PushEngage nutzt seine verbundenen Unternehmen und eine Reihe von Drittanbietern (Sub-Prozessoren), um es bei der Bereitstellung der Dienste (wie in der Vereinbarung beschrieben) zu unterstützen. Diese nachstehend aufgeführten Sub-Prozessoren erbringen Cloud-Hosting- und Speicherleistungen; Content-Delivery- und Überprüfungsleistungen; unterstützen bei der Bereitstellung von Kundensupport sowie bei der Verfolgung, Reaktion, Diagnose und Behebung von Vorfällen.
Von uns verwendete Sub-Prozessoren bei der Tätigkeit als Auftragsverarbeiter

Sub-Prozessor	Zweck	Standort	Weitere Kommentare
Amazon Web Services	Sicherer Cloud-Service für Hosting-Infrastruktur und Datenbanken	USA	https://aws.amazon.com/compliance/gdpr-center/

Anhang B – Sicherheitsmaßnahmen

Die für die Dienste geltenden Sicherheitsmaßnahmen sind nachstehend und hier https://PushEngage.com/security/ beschrieben (wie sie gemäß Abschnitt 6.2 dieses DPA von Zeit zu Zeit aktualisiert werden).

1. Informationssicherheitsprogramm. PushEngage unterhält ein Informationssicherheitsprogramm (einschließlich der Einführung und Durchsetzung interner Richtlinien und Verfahren), das dazu dient, (a) dem Kunden dabei zu helfen, Kundendaten vor versehentlichem oder unrechtmäßigem Verlust, Zugriff oder Offenlegung zu schützen, (b) auf vernünftigerweise vorhersehbare interne Risiken für die Sicherheit und unbefugten Zugriff auf das PushEngage-Netzwerk zu identifizieren und (c) Sicherheitsrisiken zu minimieren, unter anderem durch Risikobewertung und regelmäßige Tests. PushEngage benennt eine oder mehrere Personen, die für das Informationssicherheitsprogramm zuständig und verantwortlich sind. Das Informationssicherheitsprogramm umfasst die folgenden Maßnahmen:

1.1 Netzwerksicherheit. Das PushEngage-Netzwerk ist für Mitarbeiter, Auftragnehmer und andere Personen, die zur Erbringung der Dienste erforderlich sind, elektronisch zugänglich. PushEngage unterhält Zugriffskontrollen und Richtlinien, um zu steuern, welcher Zugriff von jeder Netzwerkverbindung und jedem Benutzer auf das PushEngage-Netzwerk gestattet ist, einschließlich der Verwendung von Firewalls oder funktional gleichwertiger Technologie und Authentifizierungskontrollen. PushEngage unterhält Korrekturmaßnahmen- und Vorfallreaktionspläne, um auf potenzielle Sicherheitsbedrohungen zu reagieren.

1.2 Physische Sicherheit

1.2.1 Physische Zugangskontrollen. Physische Komponenten des PushEngage-Netzwerks befinden sich in unauffälligen Einrichtungen („Einrichtungen“). Physische Barrieren werden verwendet, um unbefugten Zutritt zu den Einrichtungen sowohl am Perimeter als auch an den Gebäudeeingängen zu verhindern. Die Durchquerung der physischen Barrieren in den Einrichtungen erfordert entweder eine elektronische Zugangskontrollvalidierung (z. B. Kartenzugangssysteme usw.) oder eine Validierung durch menschliches Sicherheitspersonal (z. B. vertraglich gebundener oder interner Sicherheitsdienst, Rezeptionist usw.). Mitarbeiter und Auftragnehmer erhalten Foto-Ausweise, die sie tragen müssen, während sie sich in einer der Einrichtungen aufhalten. Besucher müssen sich bei benanntem Personal anmelden, einen entsprechenden Ausweis vorlegen, erhalten einen Besucherausweis, den sie während ihres Aufenthalts in einer der Einrichtungen tragen müssen, und werden während ihres Besuchs in den Einrichtungen ständig von autorisierten Mitarbeitern oder Auftragnehmern begleitet.

1.2.2 Eingeschränkter Zugang für Mitarbeiter und Auftragnehmer. PushEngage gewährt Mitarbeitern und Auftragnehmern Zugang zu den Einrichtungen, die ein berechtigtes geschäftliches Bedürfnis für solche Zugriffsrechte haben. Wenn ein Mitarbeiter oder Auftragnehmer kein geschäftliches Bedürfnis mehr für die ihm zugewiesenen Zugriffsrechte hat, werden die Zugriffsrechte umgehend widerrufen, auch wenn der Mitarbeiter oder Auftragnehmer weiterhin ein Mitarbeiter von PushEngage oder seinen verbundenen Unternehmen ist.

1.2.3 Physische Sicherheitsvorkehrungen. Alle Zugangspunkte (außer den Haupteingangstüren) werden gesichert (verschlossen) gehalten. Zugangspunkte zu den Einrichtungen werden durch Videoüberwachungskameras überwacht, die so konzipiert sind, dass sie alle Personen aufzeichnen, die Zugang zu den Einrichtungen erhalten. PushEngage unterhält außerdem elektronische Einbruchmeldeanlagen, die dazu dienen, unbefugten Zugang zu den Einrichtungen zu erkennen, einschließlich der Überwachung von Schwachstellen (z. B. Haupteingangstüren, Notausgangstüren, Dachluken, Laderampentüren usw.) mit Türkontakten, Glasbruchmeldern, Bewegungsmeldern im Innenbereich oder anderen Geräten, die dazu dienen, Personen zu erkennen, die versuchen, sich Zugang zu den Einrichtungen zu verschaffen. Jeder physische Zugang zu den Einrichtungen durch Mitarbeiter und Auftragnehmer wird protokolliert und regelmäßig überprüft.

2. Fortlaufende Bewertung. PushEngage wird regelmäßige Überprüfungen der Sicherheit seines PushEngage-Netzwerks und der Angemessenheit seines Informationssicherheitsprogramms im Vergleich zu Branchenstandards sowie seinen Richtlinien und Verfahren durchführen. PushEngage wird die Sicherheit seines PushEngage-Netzwerks und der zugehörigen Dienste kontinuierlich bewerten, um festzustellen, ob zusätzliche oder andere Sicherheitsmaßnahmen erforderlich sind, um auf neue Sicherheitsrisiken oder Ergebnisse aus den regelmäßigen Überprüfungen zu reagieren.

Anhang C – Standardvertragsklauseln

Für die Zwecke von Artikel 26 Absatz 2 der Richtlinie 95/46/EG für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern, die kein angemessenes Datenschutzniveau gewährleisten

Die im Nachtrag als „Kunde“ bezeichnete Einheit („Auftraggeber“) und PushEngage („Auftragnehmer“), jeweils eine „Partei“; zusammen „die Parteien“,

HABEN die folgenden Vertragsklauseln (die „Klauseln“) vereinbart, um angemessene Garantien in Bezug auf den Schutz der Privatsphäre und der Grundrechte und -freiheiten von Einzelpersonen für die Übermittlung der in Anhang 1 genannten personenbezogenen Daten durch den Auftraggeber an den Auftragnehmer zu gewährleisten.

Klausel 1

Begriffsbestimmungen

Für die Zwecke der Klauseln gilt:

• „personenbezogene Daten“, „besondere Kategorien von Daten“, „verarbeiten/Verarbeitung“, „Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Aufsichtsbehörde“ haben die gleiche Bedeutung wie in der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr;
• „der Auftraggeber“ bezeichnet den Verantwortlichen, der die personenbezogenen Daten übermittelt;
• „der Auftragnehmer“ bezeichnet den Auftragsverarbeiter, der sich damit einverstanden erklärt, vom Auftraggeber personenbezogene Daten zum Zweck der Verarbeitung in seinem Namen nach der Übermittlung gemäß seinen Anweisungen und den Bestimmungen der Klauseln zu erhalten und der keinem Drittlandssystem unterliegt, das einen angemessenen Schutz im Sinne von Artikel 25 Absatz 1 der Richtlinie 95/46/EG gewährleistet;
• „der Unterauftragsverarbeiter“ bezeichnet jeden Verarbeiter, der vom Datenimporteur oder von einem anderen Unterauftragsverarbeiter des Datenimporteurs beauftragt wird und sich verpflichtet, vom Datenimporteur oder von einem anderen Unterauftragsverarbeiter des Datenimporteurs personenbezogene Daten ausschließlich zum Zweck der Verarbeitung im Auftrag des Datenausfuhrers nach der Übermittlung gemäß seinen Anweisungen, den Bestimmungen der Klauseln und den Bestimmungen des schriftlichen Unterauftrags zu erhalten;
• „das geltende Datenschutzrecht“ bezeichnet die Gesetzgebung zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihres Rechts auf Privatsphäre in Bezug auf die Verarbeitung personenbezogener Daten, die für einen für die Datenverarbeitung Verantwortlichen in dem Mitgliedstaat gilt, in dem der Datenausfuhrer ansässig ist;
• „technische und organisatorische Sicherheitsmaßnahmen“ bezeichnet die Maßnahmen zum Schutz personenbezogener Daten vor versehentlicher oder unrechtmäßiger Zerstörung oder versehentlichem Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff, insbesondere wenn die Verarbeitung die Übermittlung von Daten über ein Netzwerk beinhaltet, und vor allen anderen unrechtmäßigen Verarbeitungsformen.

Klausel 2

Einzelheiten der Übermittlung

Die Einzelheiten der Übermittlung und insbesondere die besonderen Kategorien personenbezogener Daten, sofern anwendbar, sind in Anhang 1 aufgeführt, der einen integralen Bestandteil der Klauseln bildet.

Klausel 3

Schutz Dritter

• Die betroffene Person kann diese Klausel, die Klauseln 4 Buchst. b bis i, 5 Buchst. a bis e und g bis j, 6 Abs. 1 und 2, 7, 8 Abs. 2 und die Klauseln 9 bis 12 als Drittbegünstigte gegenüber dem Datenausfuhrer durchsetzen.
• Die betroffene Person kann diese Klausel, die Klauseln 5 Buchst. a bis e und g, 6, 7, 8 Abs. 2 und die Klauseln 9 bis 12 gegenüber dem Datenimporteur durchsetzen, falls der Datenausfuhrer tatsächlich nicht mehr existiert oder rechtlich erloschen ist, es sei denn, eine Nachfolgeeinheit hat die gesamten rechtlichen Verpflichtungen des Datenausfuhrers vertraglich oder kraft Gesetzes übernommen, wodurch sie die Rechte und Pflichten des Datenausfuhrers übernimmt, in welchem Fall die betroffene Person diese gegenüber einer solchen Einheit durchsetzen kann.
• Die betroffene Person kann diese Klausel, die Klauseln 5 Buchst. a bis e und g, 6, 7, 8 Abs. 2 und die Klauseln 9 bis 12 gegenüber dem Unterauftragsverarbeiter durchsetzen, falls sowohl der Datenausfuhrer als auch der Datenimporteur tatsächlich nicht mehr existieren oder rechtlich erloschen sind oder insolvent geworden sind, es sei denn, eine Nachfolgeeinheit hat die gesamten rechtlichen Verpflichtungen des Datenausfuhrers vertraglich oder kraft Gesetzes übernommen, wodurch sie die Rechte und Pflichten des Datenausfuhrers übernimmt, in welchem Fall die betroffene Person diese gegenüber einer solchen Einheit durchsetzen kann. Diese Haftung des Unterauftragsverarbeiters gegenüber Dritten ist auf seine eigenen Verarbeitungsvorgänge gemäß den Klauseln beschränkt.
• Die Parteien widersprechen nicht, dass eine betroffene Person durch eine Vereinigung oder eine andere Stelle vertreten wird, wenn die betroffene Person dies ausdrücklich wünscht und dies nach nationalem Recht zulässig ist.

Klausel 4

Pflichten des Datenausfuhrers

Der Datenausfuhrer verpflichtet sich und gewährleistet:

• dass die Verarbeitung, einschließlich der Übermittlung selbst, der personenbezogenen Daten gemäß den einschlägigen Bestimmungen des geltenden Datenschutzgesetzes (und gegebenenfalls den zuständigen Behörden des Mitgliedstaats, in dem der Datenexporteur seinen Sitz hat, mitgeteilt) erfolgt ist und weiterhin erfolgt und nicht gegen die einschlägigen Bestimmungen dieses Staates verstößt;
•  dass es den Datenimporteur angewiesen hat und während der gesamten Dauer der Verarbeitung personenbezogener Daten anweisen wird, die übertragenen personenbezogenen Daten nur im Auftrag des Datenexporteurs und gemäß dem geltenden Datenschutzgesetz und den Klauseln zu verarbeiten;
• dass der Datenimporteur ausreichende Garantien in Bezug auf die in Anhang 2 dieses Vertrags genannten technischen und organisatorischen Sicherheitsmaßnahmen bietet;
• dass nach Prüfung der Anforderungen des geltenden Datenschutzgesetzes die Sicherheitsmaßnahmen geeignet sind, personenbezogene Daten vor versehentlicher oder rechtswidriger Zerstörung oder versehentlichem Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff zu schützen, insbesondere wenn die Verarbeitung die Übertragung von Daten über ein Netzwerk beinhaltet, und vor allen anderen rechtswidrigen Verarbeitungsformen, und dass diese Maßnahmen ein dem Risiko der Verarbeitung und der Art der zu schützenden Daten angemessenes Schutzniveau gewährleisten, unter Berücksichtigung des Stands der Technik und der Kosten ihrer Umsetzung;
• dass es die Einhaltung der Sicherheitsmaßnahmen sicherstellt;
• dass, wenn die Übermittlung besondere Kategorien von Daten betrifft, die betroffene Person vor oder so bald wie möglich nach der Übermittlung darüber informiert wurde oder wird, dass ihre Daten in ein Land außerhalb der EU übermittelt werden könnten, das keinen angemessenen Schutz im Sinne der Richtlinie 95/46/EG bietet;
• jede Mitteilung des Datenimporteurs oder eines Unterauftragnehmers gemäß Klausel 5(b) und Klausel 8(3) an die Datenschutzaufsichtsbehörde weiterzuleiten, wenn der Datenexporteur beschließt, die Übermittlung fortzusetzen oder die Aussetzung aufzuheben;
• den betroffenen Personen auf Anfrage eine Kopie der Klauseln mit Ausnahme von Anhang 2 und eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen sowie eine Kopie jedes Unterauftragsvertrags, der gemäß den Klauseln abgeschlossen werden muss, zur Verfügung zu stellen, es sei denn, die Klauseln oder der Vertrag enthalten geschäftliche Informationen, in welchem ​​Fall diese geschäftlichen Informationen entfernt werden können;
• dass im Falle einer Unterauftragsvergabe die Verarbeitungstätigkeit gemäß Klausel 11 von einem Unterauftragnehmer durchgeführt wird, der mindestens das gleiche Schutzniveau für die personenbezogenen Daten und die Rechte der betroffenen Person bietet wie der Datenimporteur gemäß den Klauseln; und
• dass es die Einhaltung der Klauseln 4(a) bis (i) sicherstellt.

Klausel 5

Verpflichtungen des Datenimporteurs

Der Datenimporteur stimmt zu und gewährleistet:

• die personenbezogenen Daten nur im Auftrag des Datenausführers und gemäß dessen Weisungen und den Klauseln zu verarbeiten; kann es diese Einhaltung aus irgendeinem Grund nicht gewährleisten, so verpflichtet es sich, den Datenausführer unverzüglich über seine Nichtbeachtung zu informieren, in welchem Fall der Datenausführer berechtigt ist, die Datenübermittlung auszusetzen und/oder den Vertrag zu kündigen;
• dass es keinen Grund zu der Annahme hat, dass die für es geltende Gesetzgebung es an der Erfüllung der vom Datenausführer erhaltenen Weisungen und seiner vertraglichen Verpflichtungen hindert, und dass es im Falle einer Änderung dieser Gesetzgebung, die voraussichtlich erhebliche nachteilige Auswirkungen auf die Garantien und Verpflichtungen der Klauseln hat, die Änderung dem Datenausführer unverzüglich nach Bekanntwerden mitteilt, in welchem Fall der Datenausführer berechtigt ist, die Datenübermittlung auszusetzen und/oder den Vertrag zu kündigen;
• dass es die in Anhang 2 beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen vor der Verarbeitung der übermittelten personenbezogenen Daten implementiert hat;
• dass es den Datenausführer unverzüglich über Folgendes informieren wird:
• jede rechtlich bindende Aufforderung zur Offenlegung der personenbezogenen Daten durch eine Strafverfolgungsbehörde, es sei denn, dies ist anderweitig untersagt, wie z. B. ein Verbot nach Strafrecht zur Wahrung der Vertraulichkeit einer strafrechtlichen Ermittlung,
• jeden versehentlichen oder unbefugten Zugriff und
• jede direkt vom Betroffenen erhaltene Anfrage, ohne auf diese Anfrage zu antworten, es sei denn, es wurde anderweitig dazu ermächtigt;
• alle Anfragen des Datenausführers bezüglich der Verarbeitung der zu übertragenden personenbezogenen Daten unverzüglich und ordnungsgemäß zu bearbeiten und den Anweisungen der Aufsichtsbehörde bezüglich der Verarbeitung der übertragenen Daten Folge zu leisten;
• auf Anfrage des Datenausführers seine Datenverarbeitungsanlagen einer Prüfung der unter die Klauseln fallenden Verarbeitungstätigkeiten zu unterziehen, die vom Datenausführer oder einer aus unabhängigen Mitgliedern bestehenden und über die erforderlichen beruflichen Qualifikationen verfügenden, zur Verschwiegenheit verpflichteten und vom Datenausführer gegebenenfalls in Absprache mit der Aufsichtsbehörde ausgewählten Prüfstelle durchgeführt wird;
• dem Betroffenen auf Anfrage eine Kopie der Klauseln oder eines bestehenden Unterauftragsvertrags zur Verfügung zu stellen, es sei denn, die Klauseln oder der Vertrag enthalten kaufmännische Informationen, in welchem Fall diese kaufmännischen Informationen entfernt werden können, mit Ausnahme von Anhang 2, der durch eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen ersetzt wird, wenn der Betroffene keine Kopie vom Datenausführer erhalten kann;
• dass es im Falle einer Unterbeauftragung den Datenausführer zuvor informiert und dessen vorherige schriftliche Zustimmung eingeholt hat;
• dass die Verarbeitungsdienstleistungen des Unterauftragnehmers gemäß Klausel 11 erbracht werden;
• dem Datenausführer unverzüglich eine Kopie jedes Unterauftragsvertrags, den es gemäß den Klauseln abschließt, zuzusenden.

Zwingende Vorgaben der nationalen Rechtsvorschriften, die für den Datenimporteur gelten und nicht über das hinausgehen, was in einer demokratischen Gesellschaft auf der Grundlage eines der in Artikel 13 Absatz 1 der Richtlinie 95/46/EG aufgeführten Interessen erforderlich ist, d. h. wenn sie eine notwendige Maßnahme zur Wahrung der nationalen Sicherheit, der Verteidigung, der öffentlichen Sicherheit, der Verhütung, Untersuchung, Aufdeckung und Verfolgung von Straftaten oder von Standesverstößen für die reglementierten Berufe, eines wichtigen wirtschaftlichen oder finanziellen Interesses des Staates oder des Schutzes der betroffenen Person oder der Rechte und Freiheiten anderer darstellen, stehen nicht im Widerspruch zu den Standardvertragsklauseln. Einige Beispiele für solche zwingenden Vorgaben, die nicht über das hinausgehen, was in einer demokratischen Gesellschaft erforderlich ist, sind unter anderem international anerkannte Sanktionen, steuerrechtliche Meldepflichten oder Meldepflichten zur Bekämpfung der Geldwäsche.

Klausel 6

Haftung

1. Die Parteien vereinbaren, dass jede betroffene Person, die einen Schaden erlitten hat, der sich aus einem Verstoß einer Partei oder eines Unterauftragsverarbeiters gegen die in Klausel 3 oder Klausel 11 genannten Verpflichtungen ergibt, berechtigt ist, vom Datenexporteur Ersatz für den erlittenen Schaden zu erhalten.
2. Wenn eine betroffene Person aufgrund eines Verstoßes des Datenimporteurs oder seines Unterauftragsverarbeiters gegen eine seiner in Klausel 3 oder Klausel 11 genannten Verpflichtungen keinen Anspruch auf Entschädigung gemäß Absatz 1 gegen den Datenexporteur geltend machen kann, weil der Datenexporteur tatsächlich nicht mehr existiert oder rechtlich erloschen ist oder zahlungsunfähig geworden ist, erklärt sich der Datenimporteur damit einverstanden, dass die betroffene Person einen Anspruch gegen den Datenimporteur geltend machen kann, als ob dieser der Datenexporteur wäre, es sei denn, eine Nachfolgeeinheit hat die gesamten rechtlichen Verpflichtungen des Datenexporteurs vertraglich oder kraft Gesetzes übernommen, in welchem Fall die betroffene Person ihre Rechte gegen diese Einheit durchsetzen kann. Der Datenimporteur kann sich nicht auf einen Verstoß eines Unterauftragsverarbeiters gegen seine Verpflichtungen berufen, um seine eigenen Haftung zu vermeiden.
3. Wenn eine betroffene Person aufgrund eines Verstoßes des Unterauftragsverarbeiters gegen eine seiner in Klausel 3 oder Klausel 11 genannten Verpflichtungen weder gegen den Datenexporteur noch gegen den in den Absätzen 1 und 2 genannten Datenimporteur einen Anspruch geltend machen kann, weil sowohl der Datenexporteur als auch der Datenimporteur tatsächlich nicht mehr existieren oder rechtlich erloschen sind oder zahlungsunfähig geworden sind, erklärt sich der Unterauftragsverarbeiter damit einverstanden, dass die betroffene Person einen Anspruch gegen den Unterauftragsverarbeiter in Bezug auf seine eigenen Verarbeitungsvorgänge gemäß den Klauseln geltend machen kann, als ob dieser der Datenexporteur oder der Datenimporteur wäre, es sei denn, eine Nachfolgeeinheit hat die gesamten rechtlichen Verpflichtungen des Datenexporteurs oder Datenimporteurs vertraglich oder kraft Gesetzes übernommen, in welchem Fall die betroffene Person ihre Rechte gegen diese Einheit durchsetzen kann. Die Haftung des Unterauftragsverarbeiters ist auf seine eigenen Verarbeitungsvorgänge gemäß den Klauseln beschränkt.

Klausel 7

Mediation und Gerichtsstand

1. Der Datenimporteur stimmt zu, dass der für die Datenverarbeitung Verantwortliche, wenn die betroffene Person Rechte als Drittbegünstigter geltend macht und/oder Schadensersatzansprüche gemäß den Klauseln geltend macht, die Entscheidung der betroffenen Person akzeptiert:

• die Streitigkeit an eine Mediation durch eine unabhängige Person oder, wo anwendbar, durch die Aufsichtsbehörde zu verweisen;
• die Streitigkeit an die Gerichte des Mitgliedstaats zu verweisen, in dem der Datenexporteur seinen Sitz hat.

Die Parteien vereinbaren, dass die Wahl der betroffenen Person ihre materiellen oder verfahrensrechtlichen Rechte auf Abhilfe gemäß anderen Bestimmungen des nationalen oder internationalen Rechts nicht beeinträchtigt.

Klausel 8

Zusammenarbeit mit den Aufsichtsbehörden

1. Der Datenexporteur erklärt sich damit einverstanden, eine Kopie dieses Vertrags bei der Aufsichtsbehörde zu hinterlegen, wenn diese dies verlangt oder wenn eine solche Hinterlegung nach dem geltenden Datenschutzrecht erforderlich ist.
2. Die Parteien vereinbaren, dass die Aufsichtsbehörde das Recht hat, eine Prüfung des Datenimporteurs und jedes Unterauftragnehmers durchzuführen, die den gleichen Umfang hat und denselben Bedingungen unterliegt wie eine Prüfung des Datenexporteurs nach dem geltenden Datenschutzrecht.
3. Der Datenimporteur unterrichtet den Datenexporteur unverzüglich über die Existenz von Rechtsvorschriften, die für ihn oder einen Unterauftragnehmer gelten und die Durchführung einer Prüfung des Datenimporteurs oder eines Unterauftragnehmers gemäß Absatz 2 verhindern. In diesem Fall ist der Datenexporteur berechtigt, die in Klausel 5 (b) vorgesehenen Maßnahmen zu ergreifen.

Klausel 9

Anwendbares Recht

Die Klauseln unterliegen dem Recht des Mitgliedstaats, in dem der Datenexporteur seinen Sitz hat.

Klausel 10

Änderung des Vertrags

Die Parteien verpflichten sich, die Klauseln nicht zu ändern oder abzuändern. Dies schließt nicht aus, dass die Parteien Klauseln zu geschäftsbezogenen Themen hinzufügen, wo dies erforderlich ist, solange sie nicht im Widerspruch zu den Klauseln stehen.

Klausel 11

Unterauftragsvergabe

1. Der Datenimporteur darf keine seiner Verarbeitungsaktivitäten im Auftrag des Datenexporteurs gemäß den Klauseln ohne die vorherige schriftliche Zustimmung des Datenexporteurs untervergeben. Wenn der Datenimporteur seine Verpflichtungen gemäß den Klauseln mit Zustimmung des Datenexporteurs untervergeben darf, so darf er dies nur durch eine schriftliche Vereinbarung mit dem Unterauftragnehmer tun, die dem Unterauftragnehmer dieselben Verpflichtungen auferlegt, die dem Datenimporteur gemäß den Klauseln auferlegt werden. Wenn der Unterauftragnehmer seine datenschutzrechtlichen Verpflichtungen aus einer solchen schriftlichen Vereinbarung nicht erfüllt, bleibt der Datenimporteur dem Datenexporteur gegenüber für die Erfüllung der Verpflichtungen des Unterauftragnehmers aus einer solchen Vereinbarung voll haftbar.
2. Der zuvor geschlossene schriftliche Vertrag zwischen dem Datenimporteur und dem Subauftragnehmer muss auch eine Klausel zugunsten Dritter gemäß Klausel 3 vorsehen für Fälle, in denen die betroffene Person den in Absatz 1 von Klausel 6 genannten Schadensersatzanspruch nicht gegen den Datenexporteur oder den Datenimporteur geltend machen kann, weil diese tatsächlich nicht mehr auffindbar sind, rechtlich nicht mehr existieren oder zahlungsunfähig geworden sind und keine Nachfolgegesellschaft die gesamten rechtlichen Verpflichtungen des Datenexporteurs oder Datenimporteurs vertraglich oder kraft Gesetzes übernommen hat. Diese Haftung des Subauftragnehmers gegenüber Dritten ist auf seine eigenen Verarbeitungsvorgänge gemäß den Klauseln beschränkt.
3. Die Bestimmungen bezüglich Datenschutzaspekten für die Unterauftragsvergabe des in Absatz 1 genannten Vertrags unterliegen dem Recht des Mitgliedstaats, in dem der Datenexporteur seinen Sitz hat.
4. Der Datenexporteur führt eine Liste der gemäß den Klauseln abgeschlossenen und vom Datenimporteur gemäß Klausel 5 (j) mitgeteilten Unterauftragsverträge, die mindestens einmal jährlich aktualisiert wird. Die Liste ist der zuständigen Datenschutzaufsichtsbehörde des Datenexporteurs zugänglich zu machen.

Klausel 12

Verpflichtungen nach Beendigung der Verarbeitung von personenbezogenen Daten

1. Die Parteien vereinbaren, dass der Datenimporteur und der Subauftragnehmer nach Beendigung der Erbringung von Datenverarbeitungsdiensten nach Wahl des Datenexporteurs alle übertragenen personenbezogenen Daten und Kopien davon an den Datenexporteur zurückzugeben oder alle personenbezogenen Daten zu vernichten und dem Datenexporteur die Vernichtung zu bescheinigen haben, es sei denn, eine gesetzliche Verpflichtung des Datenimporteurs hindert ihn an der Rückgabe oder Vernichtung aller oder eines Teils der übertragenen personenbezogenen Daten. In diesem Fall garantiert der Datenimporteur die Vertraulichkeit der übertragenen personenbezogenen Daten und wird die übertragenen personenbezogenen Daten nicht mehr aktiv verarbeiten.
2. Der Datenimporteur und der Subauftragnehmer gewährleisten, dass sie auf Anfrage des Datenexporteurs und/oder der Aufsichtsbehörde ihre Datenverarbeitungsanlagen für eine Überprüfung der in Absatz 1 genannten Maßnahmen zur Verfügung stellen.

ANHANG 1 ZU DEN STANDARDVERTRAGSKLAUSELN

Datenexporteur

Der Datenexporteur ist die im Addendum als „Kunde“ bezeichnete Stelle.

Datenimporteur

Der Datenimporteur ist PushEngage, ein Anbieter von Webdiensten.

Betroffene Personen

Zu den betroffenen Personen gehören die Kunden und Endnutzer des Datenexporteurs.

Kategorien von Daten

Die personenbezogenen Daten von Einzelpersonen, die vom Datenexporteur auf die PushEngage-Dienste hochgeladen werden.

Verarbeitungsvorgänge

Die übertragenen personenbezogenen Daten unterliegen den folgenden grundlegenden Verarbeitungsaktivitäten (soweit zutreffend):

Berechnung, Speicherung und Bereitstellung von Inhalten im PushEngage-Netzwerk

ANHANG 2 ZU DEN STANDARDVERTRAGSKLAUSELN

Dieser Anhang ist Bestandteil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden. Durch die Unterzeichnung der Unterschriftenseite auf Seite 1 dieses Addendums gelten die Parteien als Unterzeichner dieses Anhangs 2.

Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, die vom Datenimporteur gemäß Klausel 4(d) und 5(c) implementiert werden (oder beigefügtes Dokument/Gesetzgebung):

Die vom Datenimporteur implementierten technischen und organisatorischen Sicherheitsmaßnahmen sind wie im Nachtrag beschrieben.

Letzte Aktualisierung: 24. Dezember 2025