Diese Datenverarbeitungsvereinbarung (die „Partner-DPA“) ist Bestandteil der zwischen Ihnen („Partner“) und BROSH, Inc. („BROSH“) geschlossenen Vereinbarung(en) und regelt den Datenaustausch zwischen Ihnen und BROSH (ausgenommen jedoch Kundenvereinbarungen zwischen Partner und BROSH, die den Kauf und die Nutzung von Produkten und Dienstleistungen von BROSH durch den Partner regeln) („Partnervereinbarung“).

Diese Partner-Datenschutzvereinbarung umfasst die Verarbeitung von: (1) personenbezogenen Daten, die der Partner im Zusammenhang mit einer Partnervereinbarung hochlädt, überträgt oder BROSH anderweitig bereitstellt; und (2) personenbezogenen Daten, die BROSH (oder seine Kunden) im Zusammenhang mit der Partnervereinbarung hochlädt, überträgt oder BROSH anderweitig bereitstellt.

Zusammen werden diese Partner-DPA (einschließlich der SCCs, wie unten definiert) und die Partnervereinbarung in dieser Partner-DPA als „Vereinbarung“ bezeichnet. Im Falle eines Konflikts oder einer Unstimmigkeit zwischen den Bedingungen der Vereinbarung haben die Bestimmungen der folgenden Dokumente (in der Reihenfolge ihrer Rangfolge) Vorrang: (a) die SCCs (b) diese Partner-DPA; und (c) die Partnervereinbarung.

Der Zweck dieser Partner-DPA besteht darin, einen Rahmen für Szenarien zu schaffen, in denen:

1. BROSH und der Partner können im Zusammenhang mit der Partnervereinbarung jeweils Verantwortliche (wie unten definiert) für europäische personenbezogene Daten sein und in bestimmten Fällen diese europäischen personenbezogenen Daten an die andere Partei übermitteln, damit diese andere Partei als Verantwortlicher für diese europäischen personenbezogenen Daten fungieren kann.
2. BROSH und der Partner können jeweils Verantwortliche für europäische personenbezogene Daten sein und übermitteln in bestimmten Fällen diese europäischen personenbezogenen Daten an die andere Partei, damit diese andere Partei der anderen Partei bestimmte Dienste als Auftragsverarbeiter zur Verfügung stellt (z. B. Erbringung von Diensten als Solutions Partner oder Durchführung eines API-Aufrufs); oder
3. BROSH und der Partner können jeweils als Verarbeiter der europäischen personenbezogenen Daten eines gemeinsamen Kunden fungieren und diese Daten auf Anweisung dieses gemeinsamen Kunden zur Verarbeitung an die andere Partei weitergeben.

1. DEFINITIONEN

„Unternehmen“ und „Dienstanbieter“ haben die Bedeutung, die ihnen im CCPA zugewiesen wird.

„Persönliche Informationen aus Kalifornien“ sind personenbezogene Daten, die dem Schutz des CCPA unterliegen.

„CCPA“ bedeutet California Civil Code Sec. 1798.100 ff. (auch bekannt als California Consumer Privacy Act von 2018).

„Verantwortlicher“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

„Datenschutzgesetze“ bezeichnet alle weltweit geltenden Gesetze oder Vorschriften in Bezug auf Datenschutz und Privatsphäre, die für die jeweilige Partei in ihrer Rolle als Verarbeiter personenbezogener Daten im Rahmen der Vereinbarung gelten, einschließlich, aber nicht beschränkt auf europäische Datenschutzgesetze, das CCPA und die Datenschutz- und Privatsphärengesetze Australiens und Singapurs; in jedem Fall in der jeweils gültigen Fassung. „Europa“ bezeichnet die Europäische Union, den Europäischen Wirtschaftsraum und/oder ihre Mitgliedstaaten, die Schweiz und das Vereinigte Königreich.

„Europäische Datenschutzgesetze“ bezeichnet in Europa geltende Datenschutzgesetze, darunter: (i) Verordnung 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) („DSGVO“); (ii) Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation; und (iii) geltende nationale Umsetzungen von (i) und (ii); oder (iii) DSGVO, da diese aufgrund von Abschnitt 3 des European Union (Withdrawal) Act 2018 („UK DSGVO“) Teil des nationalen Rechts des Vereinigten Königreichs ist; und (iv) das Schweizer Bundesgesetz über den Datenschutz vom 19. Juni 1992 und seine Verordnung („Schweizer DPA“); jeweils in der jeweils gültigen Fassung.

„Europäische personenbezogene Daten“ bezeichnet personenbezogene Daten, deren Weitergabe gemäß dieser Vereinbarung durch europäische Datenschutzgesetze geregelt ist.

„Gemeinsamer Kunde“ bezeichnet einen Kunden sowohl des Partners als auch von BROSH.

„Personenbezogene Daten gemeinsamer Kunden“ bezeichnet alle personenbezogenen Daten, für die ein gemeinsamer Kunde als Verantwortlicher fungiert.

„Personenbezogene Daten von BROSH“ bezeichnet alle personenbezogenen Daten, für die BROSH als Verantwortlicher fungiert.

„Personenbezogene Daten des Partners“ bezeichnet alle personenbezogenen Daten, für die der Partner als Verantwortlicher fungiert.

„Personenbezogene Daten“ bezeichnet sämtliche Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen, sofern diese Informationen in den personenbezogenen Daten von BROSH, den personenbezogenen Daten von Partnern oder den personenbezogenen Daten gemeinsamer Kunden enthalten sind und gemäß den geltenden Datenschutzgesetzen in ähnlicher Weise wie personenbezogene Daten oder persönlich identifizierbare Informationen geschützt sind.

„Verletzung des Schutzes personenbezogener Daten“ bezeichnet die versehentliche oder unrechtmäßige Vernichtung, den Verlust, die Veränderung oder die unbefugte Weitergabe personenbezogener Daten sowie den unbefugten Zugriff darauf.

„Verarbeitung“ bezeichnet jeden Vorgang oder jede Vorgangsreihe, die mit personenbezogenen Daten durchgeführt werden, einschließlich der Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Änderung, Abfrage, Konsultation, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder anderweitige Bereitstellung, Ausrichtung oder Kombination, Einschränkung oder Löschung personenbezogener Daten. Die Begriffe „verarbeiten“, „verarbeitet“ und „verarbeitet“ werden entsprechend ausgelegt.

„Auftragsverarbeiter“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

„Standardvertragsklauseln“ oder „SCCs“ bezeichnet die Standardvertragsklauseln im Anhang des Durchführungsbeschlusses 2021/914 der Europäischen Kommission vom 4. Juni 2021.

„Unterauftragsverarbeiter“ bezeichnet jede Entität, die einem Auftragsverarbeiter Verarbeitungsdienste bereitstellt.

„Aufsichtsbehörde“ ist eine unabhängige öffentliche Behörde, die von einem Mitgliedstaat des Europäischen Wirtschaftsraums, der Schweiz oder dem Vereinigten Königreich eingerichtet wurde.

„UK Addendum“ bezeichnet das International Data Transfer Addendum (Version B.1.0), das vom britischen ICO gemäß § 119A des Data Protection Act 2018 herausgegeben wird und in der jeweils gültigen Fassung geändert, aufgehoben oder ersetzt werden kann.

2. EINHALTUNG VON GESETZEN

Die Parteien erklären und gewährleisten jeweils, dass sie ihren jeweiligen Verpflichtungen und Pflichten im Rahmen der geltenden Datenschutzgesetze nachkommen werden.

3. Szenarien mit gemeinsamer Auftragsverarbeiterfunktion

Jede Partei wird, sofern sie zusammen mit der anderen Partei als Auftragsverarbeiter in Bezug auf personenbezogene Daten des gemeinsamen Kunden fungiert, (i) die Anweisungen und Beschränkungen einhalten, die in etwaigen Vereinbarungen mit dem gemeinsamen Kunden festgelegt sind; und (ii) in angemessener Weise mit der anderen Partei zusammenarbeiten, um die Ausübung der Datenschutzrechte gemäß den geltenden Datenschutzgesetzen zu ermöglichen. Die Parteien erkennen beide an und stimmen zu, dass jede Partei als Auftragsverarbeiter für den gemeinsamen Kunden fungiert und keine der Parteien die andere als Unterauftragsverarbeiter einsetzt.

4. CONTROLLER-ZU-CONTROLLER-SZENARIEN

Jede Partei wird, sofern sie zusammen mit der anderen Partei als Verantwortlicher in Bezug auf personenbezogene Daten fungiert, in angemessener Weise mit der anderen Partei zusammenarbeiten, um die Ausübung der Datenschutzrechte gemäß den geltenden Datenschutzgesetzen zu ermöglichen.

Die Parteien erkennen an und stimmen zu, dass jede Partei unabhängig als Verantwortliche für die personenbezogenen Daten handelt und dass die Parteien keine gemeinsamen Verantwortliche im Sinne der europäischen Datenschutzgesetze sind.

5. Controller-zu-Prozessor-Szenarien

A. Verhältnis der Parteien. Die Rechte, Verantwortlichkeiten und Pflichten der Parteien in Bezug auf die Abschnitte 6 – 9 dieser DPA sind wie folgt:

Bei Verarbeitungsvorgängen, bei denen BROSH personenbezogene Daten im Auftrag und auf Anweisung des Partners verarbeitet, bezieht sich der Begriff „Auftragsverarbeiter“ auf BROSH, der Begriff „Verantwortlicher“ auf den Partner und der Begriff „personenbezogene Daten“ auf die personenbezogenen Daten des Partners. Bei Datenverarbeitungsvorgängen, bei denen der Partner personenbezogene Daten im Auftrag und auf Anweisung von BROSH verarbeitet, bezieht sich der Begriff „Auftragsverarbeiter“ auf den Partner, der Begriff „Verantwortlicher“ auf BROSH und der Begriff „personenbezogene Daten“ auf die personenbezogenen Daten von BROSH.

B. Umfang der Verarbeitung .

Im Rahmen der in Abschnitt 5.a oben beschriebenen Szenarien erklärt sich jede Partei damit einverstanden, personenbezogene Daten nur für die in der geltenden Partnervereinbarung und/oder der/den Vereinbarung(en) des Partners mit dem gemeinsamen Kunden festgelegten Zwecke zu verarbeiten. Zur Vermeidung von Missverständnissen sind die Kategorien der verarbeiteten personenbezogenen Daten und die Kategorien der betroffenen Personen, die dieser DPA unterliegen, in Anhang A dieser DPA beschrieben.

6. Pflichten des Verantwortlichen

Die Parteien vereinbaren in ihrer Funktion als Verantwortliche:

A. Erteilung von Anweisungen an den Auftragsverarbeiter sowie Festlegung der Zwecke und Mittel der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter gemäß der Vereinbarung; und

B. Erfüllt seine Schutz-, Sicherheits- und sonstigen Verpflichtungen in Bezug auf personenbezogene Daten, die einem Verantwortlichen durch die geltenden Datenschutzgesetze vorgeschrieben sind, indem er: (i) ein Verfahren für die Ausübung der Rechte der Personen einrichtet und aufrechterhält, deren personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet werden; (ii) nur Daten verarbeitet, die rechtmäßig und gültig erhoben wurden, und sicherstellt, dass diese Daten für die jeweiligen Verwendungszwecke relevant und verhältnismäßig sind; und (iii) die Einhaltung der Bestimmungen dieser DPA durch sein Personal oder durch Drittparteien sicherstellt, die in seinem Namen auf personenbezogene Daten zugreifen oder diese verwenden.

7. Pflichten des Auftragsverarbeiters
A. Anforderungen an die Verarbeitung . Die Parteien vereinbaren in ihrer Funktion als Verarbeiter Folgendes:

a. Personenbezogene Daten verarbeiten (i) nur zum Zwecke der Bereitstellung, Unterstützung und Verbesserung der Produkte und Dienstleistungen des Auftragsverarbeiters (einschließlich der Bereitstellung von Einblicken und anderen Berichten) unter Einsatz geeigneter technischer und organisatorischer Sicherheitsmaßnahmen; und (ii) in Übereinstimmung mit den Anweisungen des Verantwortlichen. Der Auftragsverarbeiter wird personenbezogene Daten nicht für andere Zwecke verwenden oder verarbeiten. Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich schriftlich informieren, wenn er die Anforderungen gemäß den Abschnitten 6 bis 9 dieser DPA nicht erfüllen kann, in welchem Fall der Verantwortliche die Vereinbarung und alle anwendbaren Partnervereinbarungen kündigen oder andere angemessene Maßnahmen ergreifen kann, einschließlich der Aussetzung von Datenverarbeitungsvorgängen;

b. Den Verantwortlichen umgehend und ohne unangemessene Verzögerung informieren, wenn nach Auffassung des Auftragsverarbeiters eine Anweisung des Verantwortlichen gegen geltende Datenschutzgesetze verstößt;

c. Wenn der Auftragsverarbeiter im Auftrag des Verantwortlichen personenbezogene Daten von Einzelpersonen erhebt, befolgen Sie die Anweisungen des Verantwortlichen bezüglich dieser Erhebung personenbezogener Daten.

d. Ergreifen Sie wirtschaftlich angemessene Maßnahmen, um sicherzustellen, dass (i) die vom Verarbeiter beschäftigten Personen und (ii) andere Personen, die im Auftrag des Verarbeiters tätig werden, die Bedingungen der Vereinbarung und der geltenden Partnervereinbarungen einhalten;

e. Erklärt und garantiert, dass seine Mitarbeiter, autorisierten Vertreter und etwaigen Unterauftragsverarbeiter einer strikten Geheimhaltungspflicht unterliegen (egal, ob es sich um eine vertragliche oder eine gesetzliche Pflicht handelt) und dass er keiner Person die Verarbeitung der personenbezogenen Daten gestattet, die nicht einer solchen Geheimhaltungspflicht unterliegt;

f. Wenn BROSH beabsichtigt, Unterauftragsverarbeiter einzusetzen, um seinen Verpflichtungen gemäß dieser DPA nachzukommen, oder die Verarbeitungstätigkeiten ganz oder teilweise an solche Unterauftragsverarbeiter zu delegieren, (i) muss BROSH dem Verantwortlichen eine Liste der derzeit vom Auftragsverarbeiter eingesetzten Unterauftragsverarbeiter zur Verfügung stellen (eine solche Liste ist für BROSH online unter https://www.brosh.io/pagex/de/sub-processors-page.html verfügbar) und den Verantwortlichen mindestens 30 Tage im Voraus über die Einbeziehung neuer Unterauftragsverarbeiter informieren, wobei dem Verantwortlichen die Möglichkeit gegeben wird, Einspruch einzulegen; (ii) muss BROSH gegenüber dem Verantwortlichen für Handlungen und Unterlassungen der Unterauftragsverarbeiter in Bezug auf den Datenschutz haftbar bleiben, wenn diese Unterauftragsverarbeiter auf Anweisung des Auftragsverarbeiters handeln; und (iii) muss BROSH mit diesen Unterauftragsverarbeitern vertragliche Vereinbarungen treffen, die sie verpflichten, das gleiche Maß an Datenschutz und Informationssicherheit wie hierin vorgesehen bereitzustellen;

g. Auf Anfrage dem Verantwortlichen die Datenschutz- und Sicherheitsrichtlinien des Auftragsverarbeiters zur Verfügung stellen; und

h. Informieren Sie den Verantwortlichen, wenn der Auftragsverarbeiter eine unabhängige Sicherheitsüberprüfung durchführt.

B. Mitteilung an den Verantwortlichen . Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich und ohne unangemessene Verzögerung informieren, wenn ihm Folgendes bekannt wird:

a. Jegliche Nichteinhaltung der Abschnitte 6 bis 9 dieser DPA oder der geltenden Datenschutzgesetze in Bezug auf den Schutz personenbezogener Daten, die im Rahmen dieser DPA verarbeitet werden, durch den Verarbeiter oder seine Mitarbeiter;

b. Jede rechtlich bindende Aufforderung zur Offenlegung personenbezogener Daten durch eine Strafverfolgungs- oder Regierungsbehörde, es sei denn, es ist dem Auftragsverarbeiter gesetzlich verboten, den Verantwortlichen zu informieren, beispielsweise um die Vertraulichkeit einer Untersuchung durch Strafverfolgungsbehörden zu wahren;

c. Jede Mitteilung, Anfrage oder Untersuchung einer Aufsichtsbehörde in Bezug auf personenbezogene Daten; oder

d. Jegliche Beschwerden oder Anfragen (insbesondere Anfragen zum Zugriff auf, zur Berichtigung oder Sperrung personenbezogener Daten), die direkt von betroffenen Personen des Verantwortlichen eingehen. Der Auftragsverarbeiter wird auf derartige Anfragen nicht ohne vorherige schriftliche Genehmigung des Verantwortlichen antworten.

C. Unterstützung des Verantwortlichen. Der Auftragsverarbeiter leistet dem Verantwortlichen rechtzeitig und in angemessener Weise Unterstützung in Bezug auf:

a. Beantwortung aller Anfragen von Einzelpersonen zur Ausübung ihrer Rechte gemäß den geltenden Datenschutzgesetzen (einschließlich ihrer Rechte auf Zugriff, Berichtigung, Widerspruch, Löschung und Datenübertragbarkeit, soweit zutreffend). Der Verarbeiter verpflichtet sich, den Verantwortlichen umgehend zu informieren, wenn eine solche Anfrage direkt eingeht;

b. Die Untersuchung von Verletzungen des Schutzes personenbezogener Daten und die Meldung solcher Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde und die betroffenen Personen des Verantwortlichen; und

c. gegebenenfalls Vorbereitung von Datenschutz-Folgenabschätzungen und, falls erforderlich, Durchführung von Konsultationen mit etwaigen Aufsichtsbehörden.

D. Erforderliche Verarbeitung.

Falls der Auftragsverarbeiter gemäß Datenschutzgesetzen verpflichtet ist, personenbezogene Daten aus einem anderen Grund als im Zusammenhang mit dieser Vereinbarung zu verarbeiten, wird der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung hierüber informieren, es sei denn, es ist dem Auftragsverarbeiter gesetzlich untersagt, den Verantwortlichen über eine derartige Verarbeitung zu informieren (z. B. aufgrund von Geheimhaltungspflichten, die gemäß den geltenden Gesetzen der EU-Mitgliedsstaaten bestehen können).

E. Sicherheit . Der Verarbeiter wird:

a. Treffen Sie geeignete organisatorische und technische Sicherheitsmaßnahmen (einschließlich in Bezug auf Personal, Einrichtungen, Hardware und Software, Speicher und Netzwerke, Zugriffskontrollen, Überwachung und Protokollierung, Erkennung von Schwachstellen und Verstößen, Reaktion auf Vorfälle, Verschlüsselung personenbezogener Daten während der Übertragung und im Ruhezustand), um vor unbefugtem oder versehentlichem Zugriff, Verlust, Änderung, Offenlegung oder Zerstörung personenbezogener Daten zu schützen.

b. Er ist für die Angemessenheit der Sicherheits-, Datenschutz- und Vertraulichkeitsvorkehrungen des gesamten Personals des Auftragsverarbeiters in Bezug auf personenbezogene Daten verantwortlich und haftet für jegliche Nichteinhaltung der Bedingungen dieser DPA durch dieses Personal des Auftragsverarbeiters;

c. Ergreifen Sie geeignete Maßnahmen, um sicherzustellen, dass das gesamte Personal des Verarbeiters die Sicherheit, Privatsphäre und Vertraulichkeit personenbezogener Daten im Einklang mit den Anforderungen dieser DPA schützt.

d. Benachrichtigen Sie den Verantwortlichen unverzüglich und in jedem Fall innerhalb von 48 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten durch den Auftragsverarbeiter, seine Unterauftragsverarbeiter oder andere im Auftrag des Auftragsverarbeiters handelnde Dritte über jegliche Verletzung des Schutzes personenbezogener Daten.

F. Zusätzliche Bestimmungen für personenbezogene Daten in Kalifornien .

Wenn der Auftragsverarbeiter personenbezogene Daten aus Kalifornien gemäß den Anweisungen des Verantwortlichen verarbeitet, erkennen die Parteien an und stimmen zu, dass der Verantwortliche ein Unternehmen und der Auftragsverarbeiter ein Dienstanbieter im Sinne des CCPA ist. Die Parteien stimmen zu, dass der Auftragsverarbeiter personenbezogene Daten aus Kalifornien als Dienstanbieter ausschließlich zum Zweck der Bereitstellung, Unterstützung und Verbesserung der Dienste des Auftragsverarbeiters (einschließlich der Bereitstellung von Einblicken und anderen Berichten) (der „Geschäftszweck“) oder wie anderweitig durch das CCPA gestattet verarbeitet.

8. PRÜFUNG, ZERTIFIZIERUNG

A. Prüfung durch die Aufsichtsbehörde .

Wenn eine Aufsichtsbehörde eine Prüfung der Datenverarbeitungsanlagen verlangt, in denen der Auftragsverarbeiter personenbezogene Daten verarbeitet, um die Einhaltung der Datenschutzgesetze festzustellen oder zu überwachen, wird der Auftragsverarbeiter bei einer solchen Prüfung kooperieren. Der Verantwortliche wird dem Auftragsverarbeiter seine angemessenen Kosten erstatten, die ihm durch die Kooperation bei der Prüfung entstehen, es sei denn, bei einer solchen Prüfung wird festgestellt, dass der Auftragsverarbeiter diese DPA nicht einhält.

B. Prozessorzertifizierung .

Der Auftragsverarbeiter muss auf Anfrage des Verantwortlichen (nicht mehr als eine Anfrage pro Kalenderjahr) per E-Mail (wenn BROSH der Auftragsverarbeiter ist, sind solche E-Mails an privacy@brosh.io zu senden; wenn der Auftragsverarbeiter der Partner ist, muss der Partner eine zentrale Anlaufstelle für die E-Mail-Korrespondenz zum Datenschutz einrichten und BROSH auf Anfrage zur Verfügung stellen) die Einhaltung dieser DPA schriftlich bestätigen.

9. DATENRÜCKGABE UND -LÖSCHUNG

Die Parteien vereinbaren, dass der Auftragsverarbeiter bei Beendigung der Datenverarbeitungsdienste oder auf angemessene Anfrage des Verantwortlichen angemessene Maßnahmen ergreift, um Unterauftragsverarbeiter dazu zu veranlassen, nach Wahl des Verantwortlichen alle europäischen personenbezogenen Daten und Kopien dieser Daten an den Verantwortlichen zurückzugeben oder sicher zu vernichten und dem Verantwortlichen nachzuweisen, dass er diese Maßnahmen ergriffen hat, es sei denn, Datenschutzgesetze hindern den Auftragsverarbeiter daran, alle oder einen Teil der offengelegten europäischen personenbezogenen Daten zurückzugeben oder zu vernichten. In diesem Fall verpflichtet sich der Auftragsverarbeiter, die Vertraulichkeit der von ihm gespeicherten europäischen personenbezogenen Daten zu wahren und diese europäischen personenbezogenen Daten nach diesem Datum nur noch aktiv zu verarbeiten, um die geltenden Gesetze einzuhalten.

10. DATENÜBERTRAGUNG

Wenn personenbezogene Daten außerhalb ihres Ursprungslandes übertragen werden, stellt jede Partei sicher, dass diese Übertragungen im Einklang mit den Anforderungen der Datenschutzgesetze erfolgen.

a. Personenbezogene Daten des Partners . Für die Übermittlung europäischer personenbezogener Daten vom Partner an BROSH zur Verarbeitung durch BROSH in einer Rechtsordnung außerhalb Europas, die kein angemessenes Schutzniveau für personenbezogene Daten bietet (im Sinne der geltenden europäischen Datenschutzgesetze), vereinbaren die Parteien Folgendes:

(i) Standardvertragsklauseln : Die Parteien vereinbaren, europäische Daten gemäß den Standardvertragsklauseln zu verarbeiten, wie sie in Abschnitt 10(c) weiter unten aufgeführt sind.

(ii) Privacy Shield : Obwohl sich BROSH, Inc. angesichts des Urteils des Gerichtshofs der EU in der Rechtssache C-311/18 nicht auf den EU-US-Privacy Shield als Rechtsgrundlage für die Übermittlung personenbezogener Daten beruft, wird BROSH Inc., solange es sich für den Privacy Shield selbst zertifiziert hat, europäische personenbezogene Daten in Übereinstimmung mit den Privacy Shield-Grundsätzen verarbeiten und den Partner informieren, wenn es dieser Anforderung nicht nachkommen kann.

Die Parteien vereinbaren, dass Datensubjekte, für die eine BROSH-Einheit europäische personenbezogene Daten verarbeitet, Drittbegünstigte im Sinne der SCCs sind. Wenn BROSH diese Anforderungen nicht erfüllen kann oder nicht mehr erfüllen kann, werden europäische personenbezogene Daten ausschließlich auf dem Gebiet eines Mitgliedstaats der Europäischen Union verarbeitet und verwendet, und jede Übertragung europäischer personenbezogener Daten in ein Nicht-EU-Land erfordert die vorherige schriftliche Zustimmung des Partners in Bezug auf europäische personenbezogene Daten. BROSH benachrichtigt den Partner unverzüglich über jede Unfähigkeit von BROSH, die Bestimmungen dieses Abschnitts 10(a) zu erfüllen.

b. Personenbezogene Daten von BROSH. Für die Übermittlung europäischer personenbezogener Daten von BROSH an den Partner zur Verarbeitung durch den Partner in einer Rechtsordnung außerhalb Europas, die kein angemessenes Schutzniveau für personenbezogene Daten bietet (im Sinne der geltenden europäischen Datenschutzgesetze), vereinbaren die Parteien Folgendes:

(i) Standardvertragsklauseln : Die Parteien vereinbaren, europäische Daten gemäß den Standardvertragsklauseln zu verarbeiten, wie sie in Abschnitt 10(c) weiter unten aufgeführt sind.

(ii) Privacy Shield : Solange BROSH, Inc. für das Privacy Shield selbstzertifiziert ist, wird der Partner europäische personenbezogene Daten in Übereinstimmung mit den Grundsätzen des Privacy Shield verarbeiten und BROSH informieren, wenn er dieser Anforderung nicht nachkommen kann.

Die Parteien vereinbaren, dass betroffene Personen, für die der Partner europäische personenbezogene Daten verarbeitet, Drittbegünstigte im Sinne der SCCs sind. Wenn der Partner diese Anforderungen nicht erfüllen kann oder nicht mehr erfüllen kann, werden europäische personenbezogene Daten ausschließlich auf dem Gebiet eines Mitgliedstaats der Europäischen Union verarbeitet und verwendet, und jede Übertragung europäischer personenbezogener Daten in ein Nicht-EU-Land erfordert die vorherige schriftliche Zustimmung von BROSH in Bezug auf personenbezogene Daten. Der Partner benachrichtigt BROSH unverzüglich über jede Unfähigkeit des Partners, die Bestimmungen dieses Abschnitts 10(b) zu erfüllen.

c. Standardvertragsklauseln. Die Parteien erkennen an und vereinbaren, dass für die Zwecke der SCCs: (i) in Bezug auf personenbezogene Daten des Partners der „Datenexporteur“ der Partner und der „Datenimporteur“ BROSH (handelnd in eigenem Namen und im Namen seiner verbundenen Unternehmen) ist; (ii) in Bezug auf personenbezogene Daten von BROSH der „Datenexporteur“ BROSH (handelnd in eigenem Namen und im Namen seiner verbundenen Unternehmen) und der „Datenimporteur“ der Partner ist; (iii) die Bedingungen von Modul Eins gelten, wenn beide Parteien Verantwortliche sind, und die Bedingungen von Modul Zwei gelten, wenn die Partei, die personenbezogene Daten im Rahmen der SCCs erhält, als Auftragsverarbeiter im Namen der anderen Partei als Verantwortlicher handelt; (iv) in Klausel 7 gilt die optionale Andockklausel; (v) in Klausel 9 gilt Option 2 von Modul Zwei und der Auftragsverarbeiter holt eine Genehmigung für Unterauftragsverarbeiter gemäß Abschnitt 7(a) dieser DPA ein; (vi) in Klausel 11 wird die optionale Formulierung gelöscht; (vii) in Klausel 17 und Klausel 18(b) unterliegen die SCCs dem Recht der Republik Irland oder des EWR-Mitgliedstaates, in dem die juristische Person von BROSH, die die Vereinbarung eingegangen ist, ihren Sitz hat, oder, falls BROSH nicht im EWR ansässig ist, der Republik Irland, und Streitigkeiten werden vor diesen Gerichten beigelegt; (viii) in Anhang I der SCCs sind die Einzelheiten zu den Parteien in der Vereinbarung aufgeführt; und (ix) die verbleibenden Informationen in Anhang I und Anhang II der SCCs gelten mit den in Anhang A dieser DPA aufgeführten Informationen als vervollständigt.

d. UK-Übertragungen. In Bezug auf personenbezogene Daten, die der UK-DSGVO unterliegen, gelten die SCCs gemäß Abschnitt 10(c) oben und den folgenden zusätzlichen Änderungen: (i) Die SCCs werden gemäß dem UK-Nachtrag geändert, der durch Verweis aufgenommen wird; (ii) Die Tabellen 1 bis 3 in Teil 1 des UK-Nachtrags werden mit den relevanten Informationen aus Anhang A dieser DPA gefüllt; (iii) Tabelle 4 in Teil 1 des UK-Nachtrags gilt als ausgefüllt, wenn „keines von beiden“ ausgewählt wird; und (iv) etwaige Konflikte zwischen den SCCs und dem UK-Nachtrag werden gemäß Abschnitt 10 und Abschnitt 11 des UK-Nachtrags gelöst.

e. Schweizer Übermittlungen. In Bezug auf personenbezogene Daten, die dem Schweizer DPA unterliegen, gelten die SCCs gemäß Abschnitt 10(c) oben und den folgenden zusätzlichen Änderungen: (i) Verweise auf die „Verordnung (EU) 2016/679“ und bestimmte Artikel darin sind als Verweise auf das Schweizer DPA und die entsprechenden Artikel oder Abschnitte darin zu interpretieren; (ii) Verweise auf „EU“, „Union“ und „Mitgliedstaat“ sind durch Verweise auf die „Schweiz“ zu ersetzen; (iii) Verweise auf die „zuständige Aufsichtsbehörde“ und „zuständige Gerichte“ sind durch Verweise auf den „Eidgenössischen Datenschutzbeauftragten“ und „zuständige Gerichte der Schweiz“ zu ersetzen; und (iv) in Abschnitt 17 und Abschnitt 18(b) unterliegen die SCCs dem Recht der Schweiz und Streitigkeiten werden vor den Gerichten der Schweiz beigelegt.

11. LAUFZEIT

Diese DPA bleibt so lange in Kraft, wie eine der Vertragsparteien gemäß und im Einklang mit der Partnervereinbarung Verarbeitungsvorgänge personenbezogener Daten mit den von der anderen Vertragspartei hochgeladenen oder anderweitig bereitgestellten personenbezogenen Daten durchführt.

12. SCHADENSERSATZ

Jede Vertragspartei verpflichtet sich, die andere Partei und deren Tochtergesellschaften, verbundene Unternehmen sowie deren jeweilige leitende Angestellte, Direktoren, Mitarbeiter und Beauftragte von allen Verlusten, Schäden, Verbindlichkeiten, Mängeln, Klagen, Urteilen, Zinsen, Schadensersatzforderungen, Strafen, Bußgeldern, Kosten oder Aufwendungen jeglicher Art freizustellen und schadlos zu halten, einschließlich angemessener Anwaltskosten, der Kosten für die Durchsetzung jeglicher Entschädigungsansprüche hierunter und der Kosten für die Geltendmachung von Ansprüchen gegenüber Versicherungsanbietern, die sich aus Ansprüchen Dritter gegen die andere Partei ergeben oder daraus resultieren, dass die verletzende Partei ihren Verpflichtungen aus dieser DPA oder den geltenden Gesetzen, Vorschriften oder Grundsätzen der europäischen Datenschutzgesetze nicht nachgekommen ist. Die Haftung jeder Partei unterliegt der Haftungsbeschränkung im geltenden Partnervertrag.

ANHANG A

ANHANG A - BESCHREIBUNG DER ÜBERTRAGUNG

1. Kategorien betroffener Personen . Die übermittelten personenbezogenen Daten betreffen je nach Vereinbarung zwischen Datenimporteur und Datenexporteur folgende Kategorien betroffener Personen:

BROSH-Mitglieder; potenzielle und tatsächliche Kunden und Mitarbeiter des Datenexporteurs; Verkaufs- und Marketingkontakte des Datenexporteurs; und Drittparteien, die eine Geschäftsbeziehung mit dem Datenexporteur haben oder haben könnten (z. B. Werbetreibende, Kunden, Unternehmensabonnenten, Auftragnehmer und Produktnutzer).

2. Kategorien personenbezogener Daten . Bei den übermittelten personenbezogenen Daten handelt es sich um folgende Datenkategorien:

Bei den übermittelten Daten handelt es sich um die personenbezogenen Daten, die der Datenexporteur dem Datenimporteur im Rahmen der Partnervereinbarung zur Verfügung stellt. Zu diesen personenbezogenen Daten können Vorname, Nachname, E-Mail-Adresse, Kontaktdaten, Ausbildung und beruflicher Werdegang sowie weitere Informationen aus BROSH-Mitgliedsprofilen, Lebensläufen, CRM-Daten zu Verkaufskontakten und Kundenlisten, alle vom Datenexporteur bereitgestellten Notizen zu den vorgenannten Punkten und andere Aktivitäten von BROSH-Mitgliedern auf der BROSH-Plattform gehören.

1. Sensible Daten (falls zutreffend) . Bei den übermittelten personenbezogenen Daten kann es sich um die folgenden besonderen Kategorien von Daten handeln:
   Keiner.
2. Übertragungshäufigkeit .
   Die personenbezogenen Daten werden fortlaufend übermittelt.
3. Art und Zweck der Verarbeitung . Die Übermittlung erfolgt zu folgenden Zwecken:
   Die Übertragung soll die in der Partnervereinbarung vorgesehene Beziehung der Parteien ermöglichen. Die „Partnervereinbarung“ ist die zwischen dem Datenimporteur und dem Datenexporteur geschlossene(n) Vereinbarung(en), die den Datenaustausch zwischen diesen Parteien regelt (ausgenommen jedoch Kundenvereinbarungen zwischen Partner und BROSH, die den Kauf von BROSH-Produkten und -Diensten durch den Partner regeln).
4. Dauer der Speicherung personenbezogener Daten :
   Die zwischen den Parteien übermittelten personenbezogenen Daten dürfen nur für den im Partnervertrag festgelegten Zeitraum gespeichert werden. Die Parteien vereinbaren, dass jede Partei, sofern sie gemeinsam mit der anderen Partei als Verantwortlicher für personenbezogene Daten fungiert, in angemessener Weise mit der anderen Partei zusammenarbeitet, um die Ausübung der in den Datenschutzgesetzen festgelegten Datenschutzrechte zu ermöglichen.
5. Gegenstand, Art und Dauer der Verarbeitung .
   Gegenstand, Art und Dauer der Verarbeitung sind in der Vereinbarung, einschließlich dieser Datenverarbeitungsvereinbarung, beschrieben.
6. Zuständige Aufsichtsbehörde . Für die Zwecke der Standardvertragsklauseln ist die zuständige Aufsichtsbehörde die Behörde des EWR-Mitgliedstaates, in dem der Partner oder der EWR-Vertreter des Partners ansässig ist (in Bezug auf personenbezogene Daten des Partners) oder der [irische Datenschutzbeauftragte] (in Bezug auf personenbezogene Daten von BROSH). Für die Zwecke von Übertragungen im Vereinigten Königreich und in der Schweiz ist die zuständige Aufsichtsbehörde der britische Datenschutzbeauftragte oder der Eidgenössische Datenschutzbeauftragte der Schweiz (je nach Anwendbarkeit).

ANHANG B – SICHERHEITSMASSNAHMEN

Wir verwenden eine Vielzahl von Sicherheitstechnologien und -verfahren, um Ihre personenbezogenen Daten zu schützen. Alle personenbezogenen Daten werden durch geeignete physische, technische und organisatorische Maßnahmen geschützt. Weitere Informationen zur Sicherheit bei BROSH finden Sie unter https://www.brosh.io/pagex/de/Security-Policy.html .