Aktualisiert 2024-05-28
1 Einleitung
2 Vereinbarungen Dokumente
3 Verarbeitung von personenbezogenen Daten
4 Sicherheitsmaßnahmen
5 Übertragung außerhalb der EU/des EWR
6 Einsatz von Unterauftragsverarbeitern
7 Pflichten des Verarbeiters
8 Verletzung des Schutzes personenbezogener Daten
9 Vertraulichkeit
10 Entgelt
11 Haftung
12 Laufzeit und Beendigung
13 Rückgabe und Vernichtung von personenbezogenen Daten
14 Geltendes Recht und Streitbeilegung
Anhang I - Liste der Parteien und Beschreibung der Verarbeitung
Anhang II - Technische und organisatorische Maßnahmen
Anhang III - Liste der Unterauftragsverarbeiter
Diese Datenverarbeitungsvereinbarung ("DPA") ist Teil der Vereinbarung zwischen 360Player AB ("Auftragsverarbeiter") als Datenverarbeiter und dem Kunden, der Vertragspartei ist ("Verantwortlicher"), als Datenverantwortlichem. Im Falle eines Widerspruchs zwischen dieser DPA und der Vereinbarung hat diese DPA in Bezug auf die Verarbeitung personenbezogener Daten Vorrang.
Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter werden gemeinsam als die "Parteien" und jede von ihnen als "Partei" bezeichnet.
1.1 Zur Erfüllung seiner Verpflichtungen aus dem Vertrag wird der Auftragsverarbeiter personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeiten. Diese DPA ist ein Anhang zur Vereinbarung und regelt die Verarbeitung personenbezogener Daten gemäß den Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung "DSGVO") und allen jeweils geltenden nationalen oder EU-Rechtsvorschriften ("anwendbares Datenschutzrecht").
1.2 Im Falle von Konflikten oder Widersprüchen zwischen der Vereinbarung und dieser Datenschutzrichtlinie in Bezug auf die Verarbeitung personenbezogener Daten haben die Bestimmungen der Datenschutzrichtlinie Vorrang.
2.1 Die folgenden Anhänge werden hiermit durch Verweis in diese DPA aufgenommen:
Anhang I - "Beschreibung der Verarbeitung
Anhang II - Technische und organisatorische Maßnahmen
Anhang III - Liste der Unterauftragsverarbeiter
3.1 Der Gegenstand, die Dauer, die Art und der Zweck der Verarbeitung sind in Anhang I (Beschreibung der Verarbeitung) dargelegt.
3.2 Der für die Verarbeitung Verantwortliche ist dafür verantwortlich, dass die Verarbeitung in Übereinstimmung mit den geltenden Datenschutzgesetzen erfolgt und dass der Auftragsverarbeiter genaue und ausreichende Anweisungen erhält.
3.3 Der Auftragsverarbeiter verpflichtet sich, personenbezogene Daten nur in Übereinstimmung mit den Anweisungen dieser DSGVO, der Vereinbarung und den dokumentierten Anweisungen, die der für die Verarbeitung Verantwortliche von Zeit zu Zeit erteilt, zu verarbeiten, es sei denn, die Verarbeitung ist aufgrund der anwendbaren Datenschutzgesetze erforderlich. In diesem Fall unterrichtet der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen vor der Verarbeitung der personenbezogenen Daten über die Verarbeitung und die rechtlichen Voraussetzungen, auf denen die Verarbeitung beruht, es sei denn, eine solche Unterrichtung ist nach dem geltenden Datenschutzrecht verboten.
3.4 Der Auftragsverarbeiter muss den für die Verarbeitung Verantwortlichen unverzüglich informieren, wenn:
(i) Der Auftragsverarbeiter ist nicht in der Lage, seinen Verpflichtungen aus der DSGVO nachzukommen;
(ii) der Auftragsverarbeiter der Ansicht ist, dass die vom für die Verarbeitung Verantwortlichen erteilten Anweisungen gegen die geltenden Datenschutzvorschriften verstoßen, oder
(iii) der Auftragsverarbeiter ist der Ansicht, dass die vom für die Verarbeitung Verantwortlichen erteilten Anweisungen unzureichend oder falsch sind.
In diesem Fall passt der Controller seine Anweisungen an.
4.1 Die Vertragsparteien ergreifen geeignete technische und organisatorische Sicherheitsmaßnahmen, die erforderlich sind, um ein Sicherheitsniveau zu gewährleisten, das den bei der Verarbeitung personenbezogener Daten bestehenden Risiken angemessen ist, und führen erforderlichenfalls die in Artikel 32 DSGVO genannten technischen und organisatorischen Sicherheitsmaßnahmen durch und halten sie aufrecht.
4.2 Die zwischen den Parteien vereinbarten technischen und organisatorischen Sicherheitsmaßnahmen sind in Anhang II (Technische und organisatorische Maßnahmen) aufgeführt. Der für die Verarbeitung Verantwortliche stellt sicher, dass diese Maßnahmen mit den Bestimmungen des geltenden Datenschutzrechts übereinstimmen.
5.1 Der Auftragsverarbeiter kann von Zeit zu Zeit personenbezogene Daten in ein Land außerhalb der EU/des EWR gemäß den Anweisungen des für die Verarbeitung Verantwortlichen übermitteln, wie in den Anhängen zu dieser DSGVO in ihrer jeweils aktualisierten Fassung näher erläutert. Wenn personenbezogene Daten in ein Land außerhalb der EU/des EWR übermittelt werden, stellen die Parteien sicher, dass die Übermittlung einem angemessenen Übermittlungsmechanismus gemäß Kapitel V der DSGVO unterliegt, indem sie beispielsweise das anwendbare Modul der von der EU-Kommission genehmigten Standardvertragsklauseln oder verbindliche Unternehmensregeln anwenden. Soweit dies zur Gewährleistung eines angemessenen Schutzes personenbezogener Daten erforderlich ist, vereinbaren die Parteien zusätzliche Garantien in Anlage III (Liste der Unterauftragsverarbeiter).
6.1 Der Auftragsverarbeiter erhält hiermit von dem für die Verarbeitung Verantwortlichen eine allgemeine schriftliche Genehmigung, Unterauftragsverarbeiter für die Verarbeitung personenbezogener Daten im Auftrag des für die Verarbeitung Verantwortlichen einzusetzen. Die Liste der Unterauftragsverarbeiter, die vom für die Verarbeitung Verantwortlichen zum Zeitpunkt des Inkrafttretens dieser DSGVO für die Verarbeitung personenbezogener Daten zugelassen sind, ist in Anhang III (Liste der Unterauftragsverarbeiter) aufgeführt. Der Auftragsverarbeiter unterrichtet den für die Verarbeitung Verantwortlichen mindestens 30 Tage vor der Änderung schriftlich über die Hinzufügung oder den Austausch von Unterauftragsverarbeitern, um dem für die Verarbeitung Verantwortlichen Gelegenheit zu geben, gegen die Änderung Einspruch zu erheben.
6.2 Der für die Verarbeitung Verantwortliche hat das Recht, innerhalb von 20 Tagen, nachdem der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen über die Änderung informiert hat, schriftlich Einspruch zu erheben. Der für die Verarbeitung Verantwortliche kann der Einschaltung eines Unterauftragsverarbeiters nur dann widersprechen, wenn Grund zu der Annahme besteht, dass der Unterauftragsverarbeiter die Anforderungen der geltenden Datenschutzvorschriften nicht erfüllt, und den Widerspruch begründen. Der Auftragsverarbeiter stellt dem für die Verarbeitung Verantwortlichen die Informationen zur Verfügung, die dieser benötigt, um sein Widerspruchsrecht auszuüben.
6.3 Der Auftragsverarbeiter stellt sicher, dass den Unterauftragsverarbeitern in einer schriftlichen Vereinbarung mindestens gleichwertige Verpflichtungen in Bezug auf die Verarbeitung personenbezogener Daten auferlegt werden wie dem Auftragsverarbeiter gemäß dieser DSGVO. Der Auftragsverarbeiter haftet gegenüber dem für die Verarbeitung Verantwortlichen in vollem Umfang für die Erfüllung seiner Verpflichtungen durch den Unterauftragsverarbeiter wie für seine eigenen Verpflichtungen gemäß dieser DSGVO.
7.1 Der Auftragsverarbeiter unterstützt den für die Verarbeitung Verantwortlichen auf dessen angemessenes Ersuchen hin im Rahmen des Möglichen und unter Berücksichtigung der Art der Verarbeitung bei der Erfüllung seiner Verpflichtungen zur Beantwortung von Anfragen betroffener Personen zur Ausübung ihrer Rechte gemäß den geltenden Datenschutzvorschriften. Der Auftragsverarbeiter muss den für die Verarbeitung Verantwortlichen innerhalb von 30 Tagen benachrichtigen, wenn er Anträge von betroffenen Personen erhält. Der Auftragsverarbeiter darf Anfragen nur nach ausdrücklicher vorheriger schriftlicher Anweisung des für die Verarbeitung Verantwortlichen beantworten.
7.2 Der Auftragsverarbeiter unterstützt den für die Verarbeitung Verantwortlichen bei der Erfüllung seiner Pflichten gemäß Artikel 32-36 DSGVO, soweit dies unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen möglich ist.
7.3 "Der Auftragsverarbeiter stellt dem für die Verarbeitung Verantwortlichen auf dessen begründetes Verlangen die Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der Verpflichtungen aus dem DSG nachzuweisen.
7.4 "Falls der Auftragsverarbeiter nach geltendem Datenschutzrecht verpflichtet ist, personenbezogene Daten, die er im Auftrag des Verantwortlichen verarbeitet, an Aufsichtsbehörden weiterzugeben, informiert er den Verantwortlichen darüber und bittet um Vertraulichkeit im Zusammenhang mit der Weitergabe der angeforderten Informationen.
7.5 "Auf begründeten Antrag der verantwortlichen Stelle oder eines von der verantwortlichen Stelle beauftragten externen Prüfers muss der Auftragsverarbeiter eine Prüfung zulassen, um sich zu vergewissern, dass die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Einklang mit den geltenden Datenschutzgesetzen und dieser DSGVO erfolgt. Die Kosten eines externen Prüfers gehen zu Lasten des für die Verarbeitung Verantwortlichen.
8.1 Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich schriftlich zu benachrichtigen, nachdem er Kenntnis von einer Verletzung des Schutzes personenbezogener Daten in Bezug auf personenbezogene Daten erhalten hat, die der Auftragsverarbeiter im Auftrag des Verantwortlichen verarbeitet. Der Auftragsverarbeiter übermittelt dem Verantwortlichen eine Beschreibung der Verletzung, ihrer Art und ihrer voraussichtlichen Folgen sowie Informationen über die Maßnahmen, die ergriffen wurden oder ergriffen werden sollen, um die Folgen der Verletzung zu beheben und abzumildern, soweit eine solche Verletzung beim Auftragsverarbeiter stattgefunden hat.
8.2 Meldet der für die Verarbeitung Verantwortliche der Aufsichtsbehörde einen Verstoß, so unterstützt der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen auf dessen angemessenes Ersuchen hin und stellt ihm die gewünschten Informationen zur Verfügung.
9.1 Der Auftragsverarbeiter verpflichtet sich, personenbezogene Daten, die im Rahmen dieser DSGVO verarbeitet werden, ohne vorherige schriftliche Zustimmung des für die Verarbeitung Verantwortlichen nicht an Dritte weiterzugeben oder ihnen anderweitig zugänglich zu machen, mit Ausnahme von Unterauftragsverarbeitern, die in Übereinstimmung mit dieser DSGVO beauftragt wurden.
9.2 Der Auftragsverarbeiter stellt sicher, dass nur Mitarbeiter und andere Vertreter, die Zugang zu personenbezogenen Daten benötigen, Zugang zu diesen Informationen haben. Der Auftragsverarbeiter stellt sicher, dass diese Personen durch Vertraulichkeitserklärungen gebunden sind oder einer gesetzlichen Geheimhaltungspflicht unterliegen.
9.3 Der Auftragsverarbeiter verpflichtet sich, dafür zu sorgen, dass mit allen im Rahmen dieser DSGVO beauftragten Unterauftragsverarbeitern Vertraulichkeitsvereinbarungen geschlossen werden.
10.1 Der Auftragsverarbeiter hat Anspruch auf eine angemessene Vergütung der Kosten und Arbeiten, die dem Auftragsverarbeiter aufgrund seiner nachstehend genannten Verpflichtungen entstehen:
(i) Der für die Verarbeitung Verantwortliche passt seine Weisungen gemäß Abschnitt 3.1 oben an.
(ii) Der für die Verarbeitung Verantwortliche passt seine Anweisungen gemäß Abschnitt 4.2 oben an.
(iii) Der Auftragsverarbeiter unterstützt den für die Verarbeitung Verantwortlichen bei einem Audit gemäß Abschnitt 7.5 oben.
11.1 Die Parteien erkennen an, dass sie in ihrer jeweiligen Rolle als für die Verarbeitung Verantwortlicher und Auftragsverarbeiter gemäß den in der DSGVO und dieser DSGVO festgelegten Anforderungen haftbar, rechenschaftspflichtig und verantwortlich sind. Etwaige von der Aufsichtsbehörde verhängte Bußgelder, Gebühren oder Sanktionen und/oder Entschädigungen für betroffene Personen unterliegen den in den Artikeln 82-84 DSGVO festgelegten Haftungsbestimmungen. Verarbeitet eine Vertragspartei personenbezogene Daten unter Verstoß gegen diese DSGVO oder das geltende Datenschutzrecht, so entschädigt sie die andere Vertragspartei für unmittelbare Schäden, die ihr aufgrund einer solchen unrechtmäßigen Verarbeitung und/oder eines Verstoßes gegen diese DSGVO entstehen, im Einklang mit den im Abkommen festgelegten Haftungsbeschränkungen.
12.1 Diese DPA tritt mit der Unterzeichnung der Vereinbarung durch beide Parteien in Kraft und bleibt danach so lange in Kraft, wie der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
12.2 Der Auftragsverarbeiter hat das Recht, die DPA mit sofortiger Wirkung durch schriftliche Mitteilung an den für die Verarbeitung Verantwortlichen zu kündigen, wenn von dem für die Verarbeitung Verantwortlichen erteilte Anweisungen gegen geltendes Datenschutzrecht verstoßen und der für die Verarbeitung Verantwortliche, nachdem er von diesen Umständen in Kenntnis gesetzt wurde, nachträglich auf der Anwendung dieser Anweisungen besteht.
13.1 Bei Beendigung oder Ablauf dieser DPA stellt der Auftragsverarbeiter unverzüglich die Verarbeitung personenbezogener Daten ein und löscht auf schriftliches Verlangen des für die Verarbeitung Verantwortlichen alle personenbezogenen Daten des für die Verarbeitung Verantwortlichen sowie alle verbleibenden Kopien, es sei denn, die geltenden Datenschutzgesetze schreiben dies vor.
14.1 Die DPA unterliegt schwedischem Recht unter Ausschluss der geltenden Kollisionsnormen.
14.2 Alle Streitigkeiten, die sich aus oder im Zusammenhang mit dem DPA ergeben, werden gemäß der in der Vereinbarung festgelegten Streitbeilegungsregelung endgültig beigelegt.
1 Einleitung
In Anhang I (Beschreibung der Verarbeitung) wird die Verarbeitung personenbezogener Daten im Rahmen des DSG beschrieben.
2 Beschreibung der Verarbeitung
Für Controller mit lokaler Datenschutzgesetzgebung ist es wichtig zu verstehen, welche Daten in der lokalen Datenschutzgesetzgebung eine besondere Klassifizierung haben. Es wird empfohlen, die Erhebung sensibler Daten auf ein Minimum zu beschränken, und 360Player wird immer die Zustimmung der Nutzer zu den Nutzungsbedingungen und Datenschutzrichtlinien einholen.
Kategorien von betroffenen Personen
Die folgenden Kategorien von betroffenen Personen werden in die Verarbeitung einbezogen:
☐ Angestellte/Personal des Controllers
☐ Mitglieder des Controllers und gesetzliche(r) Vormund(e) von Mitgliedern
Kategorien personenbezogener Daten, die der für die Verarbeitung Verantwortliche verarbeiten wird
Die folgenden personenbezogenen Daten werden verarbeitet:
☐ Name
☐ Geburtsdatum
☐ Telefonnummer
☐ Adresse
Besondere Kategorien personenbezogener Daten, die die für die Verarbeitung Verantwortlichen verarbeiten dürfen
Die folgenden besonderen Kategorien von personenbezogenen Daten werden in die Verarbeitung einbezogen:
☐ Genetische Daten
☐ Biometrische Daten
☐ Daten zur Gesundheit
☐ Andere Daten, die der für die Verarbeitung Verantwortliche erfassen muss (benutzerdefinierte Datenfelder)
Art und Zweck der Verarbeitung
Der Auftragsverarbeiter verarbeitet personenbezogene Daten für die folgenden Zwecke:
Die personenbezogenen Daten werden von dem für die Verarbeitung Verantwortlichen verarbeitet, um das System entsprechend dem Zweck der Plattform nutzen zu können.
Dauer der Bearbeitung
Die Verarbeitung personenbezogener Daten erfolgt nach Maßgabe der folgenden Bestimmungen:
Die Dauer der Verarbeitung entspricht der Dauer des Abkommens oder bis der für die Verarbeitung Verantwortliche die Daten entfernt. Danach werden die personenbezogenen Daten so lange verarbeitet, wie es das geltende Datenschutzrecht erfordert.
1 Einleitung
In Anhang II (Technische und organisatorische Maßnahmen) werden die technischen und organisatorischen Maßnahmen zur Gewährleistung eines hohen Sicherheitsniveaus bei der Verarbeitung personenbezogener Daten beschrieben.
2 Liste der technischen und organisatorischen Maßnahmen
Die folgenden Sicherheitsmaßnahmen wurden von den Vertragsparteien ausdrücklich vereinbart:
1 Einleitung
In Anhang III (Liste der Unterauftragsverarbeiter) sind die vom für die Verarbeitung Verantwortlichen zugelassenen Unterauftragsverarbeiter des Auftragsverarbeiters aufgeführt. SCC steht für "Standardvertragsklauseln" und bezeichnet die neueste Fassung der Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter mit Sitz in Drittländern gemäß der DSGVO.
2 Liste der Unterauftragsverarbeiter
Der für die Verarbeitung Verantwortliche hat die in der nachstehenden Tabelle aufgeführten Unterauftragsverarbeiter zum Zeitpunkt des Inkrafttretens der DSGVO zugelassen. Die Tabelle wird von Zeit zu Zeit aktualisiert: