Huble Digital Datenverarbeitungs-Anhang

Version 5.0, Letzte Änderung: 2 Feb 2024

1. Einführung Und Anwendung

2.1. - "Verbundene Unternehmen" sind alle Unternehmen, die das betreffende Unternehmen direkt oder indirekt kontrollieren, von ihm kontrolliert werden oder mit ihm unter gemeinsamer Kontrolle stehen. Für die Zwecke dieser Definition bedeutet "Kontrolle" das direkte oder indirekte Eigentum an oder die Kontrolle über mehr als 50 % der Stimmrechtsanteile am vertragsschließenden Unternehmen.

2.2. - "Kontrolle" bedeutet das direkte oder indirekte Eigentum an oder die Kontrolle über mehr als 50 % der stimmberechtigten Anteile des betreffenden Unternehmens.

2.3. - "Verantwortlicher" ist die natürliche oder juristische Person, Behörde, Einrichtung, oder sonstige Stelle, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt.

2.4. - "Kunde" ist die Person oder Organisation, die Dienstleistungen von Huble im Rahmen des Hauptvertrages bezieht.

2.5. - "Personenbezogene Kundendaten" sind alle personenbezogenen Daten des betroffenen Kunden, die von Huble im Rahmen des Hauptvertrages verarbeitet werden. 

2.6. - "Datenschutzrecht" bezeichnet alle Gesetze und Vorschriften, die auf die Verarbeitung personenbezogener Kundendaten und den Schutz von Persönlichkeitsrechten im Rahmen des Hauptvertrags anwendbar sind, einschließlich, aber nicht beschränkt auf DSGVO, PDPA, POPIA und Gesetze und Vorschriften, die in den rechtsspezifischen Bestimmungen in Anlage 3 zu diesem AVV definiert sind.

2.7. - "DSGVO" bezieht sich auf die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 in ihrer jeweils gültigen Fassung.

2.8. - "Huble" bezeichnet das Unternehmen Huble,  welches im Rahmen des Hauptvertrages Dienstleistungen für den Kunden erbringt. 

2.9. - "Anweisung" bedeutet die schriftliche, dokumentierte Anweisung, die der Kunde als Verantwortlicher oder Auftragsverarbeiter an Huble als Auftragsverarbeiter oder Unterauftragsverarbeiter erteilt und die Huble anweist, eine bestimmte Verarbeitungsmaßnahme in Bezug auf die personenbezogenen Kundendaten durchzuführen.

2.10. - "Parteien" bedeutet Huble und der Kunde. "Partei" bezieht sich entweder auf Huble oder den Kunden, je nach Kontext. 

2.11. - "Hauptvertrag" ist ein schriftlicher oder elektronischer Vertrag zwischen Huble und dem Kunden über die Erbringung von Dienstleistungen.

2.12. - "Auftragsverarbeiter" ist die natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die personenbezogene Daten im Auftrag eines für die Verarbeitung Verantwortlichen verarbeitet.

2.13. - "Dienstleistungen" sind die im Hauptvertrag genannten Dienstleistungen, die HubSpot-Marketing, Geschäfts-, Vertriebs- und Dienstleistungsberatung, Vertriebs- und Dienstleistungs-Onboarding, Webentwicklung und technische Integration, SEO und bezahlte Mediendienste umfassen können.

2.14. - Die Begriffe "Betroffene Person", "Verletzung des Schutzes personenbezogener Daten", "Verarbeitung" (oder ähnliche Begriffe) und "Aufsichtsbehörde" haben alle die gleiche Bedeutung wie in der DSGVO oder die entsprechenden Begriffe in anderen Datenschutzgesetzen.

2.15. - Großgeschriebene oder hervorgehobene Begriffe, die hier nicht definiert sind, haben die ihnen im Hauptvertrag zugewiesene Bedeutung. 

2.16. - Im Falle eines Konflikts oder einer Unstimmigkeit mit den Bestimmungen des Hauptvertrages hat dieser AVV Vorrang. 

2. Definitionen Und Interpretationen

2.1. -"Verbundene Unternehmen" sind alle Unternehmen, die das betreffende Unternehmen direkt oder indirekt kontrollieren, von ihm kontrolliert werden oder mit ihm unter gemeinsamer Kontrolle stehen. Für die Zwecke dieser Definition bedeutet "Kontrolle" das direkte oder indirekte Eigentum an oder die Kontrolle über mehr als 50 % der Stimmrechtsanteile am vertragsschließenden Unternehmen.

2.2. -"Verantwortlicher"  ist die natürliche oder juristische Person, Behörde, Einrichtung, oder sonstige Stelle, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt.

2.3. - "Kunde" ist die Person oder Organisation, die Dienstleistungen von Huble im Rahmen des Hauptvertrages bezieht.

2.4. - "Personenbezogene Kundendaten" sind alle personenbezogenen Daten des betroffenen Kunden, die von Huble im Rahmen des Hauptvertrages verarbeitet werden. 

2.5. - "Datenschutzrecht" bezeichnet alle Gesetze und Vorschriften, die auf die Verarbeitung personenbezogener Kundendaten und den Schutz von Persönlichkeitsrechten im Rahmen des Hauptvertrags anwendbar sind, einschließlich, aber nicht beschränkt auf DSGVO, PDPA, POPIA und Gesetze und Vorschriften, die in den rechtsspezifischen Bestimmungen in Anlage 3 zu diesem AVV definiert sind.

2.6. - "DSGVO" bezieht sich auf die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 in ihrer jeweils gültigen Fassung.

2.7. -"Huble” bezeichnet das Unternehmen Huble,  welches im Rahmen des Hauptvertrages Dienstleistungen für den Kunden erbringt. 

2.8. - "Anweisung" bedeutet die schriftliche, dokumentierte Anweisung, die der Kunde als Verantwortlicher oder Auftragsverarbeiter an Huble als Verarbeiter oder Unterverarbeiter erteilt und die Huble anweist, eine bestimmte Verarbeitungsmaßnahme in Bezug auf die personenbezogenen Daten des Kunden durchzuführen.

2.9. - "Parteien" bedeutet Huble und der Kunde. "Partei" bezieht sich entweder auf Huble oder den Kunden, je nach Kontext. 

2.10. - "Hauptvertrag" ist ein schriftlicher oder elektronischer Vertrag zwischen Huble und dem Kunden über die Erbringung von Dienstleistungen. 

2.11. - "Auftragsverarbeiter" ist die natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die personenbezogene Daten im Auftrag eines für die Verarbeitung Verantwortlichen verarbeitet. 

2.12. - "Dienstleistungen" sind die im Hauptvertrag genannten Dienstleistungen, die HubSpot-Marketing, Geschäfts-, Vertriebs- und Dienstleistungsberatung, Vertriebs- und Dienstleistungs-Onboarding, Webentwicklung und technische Integration, SEO und bezahlte Mediendienste umfassen können. "

2.13. - Die Begriffe "Betroffene Person", "Verletzung des Schutzes personenbezogener Daten", "Verarbeitung" (oder ähnliche Begriffe) und "Aufsichtsbehörde" haben alle die gleiche Bedeutung wie in der DSGVO oder die entsprechenden Begriffe in anderen Datenschutzgesetzen. 

2.14. - Großgeschriebene oder hervorgehobene Begriffe, die hier nicht definiert sind, haben die ihnen im Hauptvertrag zugewiesene Bedeutung.  

2.15. - Im Falle eines Konflikts oder einer Unstimmigkeit mit den Bestimmungen des Hauptvertrages hat dieser AVV Vorrang.  

3. Verarbeitung Personenbezogener Kundendaten

3.1. - Während der Erbringung von Dienstleistungen im Rahmen des Hauptvertrages kann Huble bestimmte personenbezogene Kundendaten im Auftrag des Kunden verarbeiten. Huble und der Kunde verpflichten sich, diesen AVV im Zusammenhang mit der Verarbeitung solcher personenbezogenen Daten einzuhalten. 


3.2. - Der Gegenstand und die Dauer der Verarbeitung, die Art und der Zweck der Verarbeitung und die Arten personenbezogener Kundendaten sind im Hauptvertrag und/oder in Anlage 1 zu diesem AVV aufgeführt.

4. Festlegung Der Datenschutzrechtlichen Rollen

4.1. - Im Kontext dieses AVVs - wenn der Kunde als Verantwortlicher handelt, so handelt Huble als Auftragsverarbeiter. Wenn der Kunde als Auftragsverarbeiter handelt, so handelt Huble als Unterauftragsverarbeiter. Um jeden Zweifel auszuschließen, fallen beide Situationen in den Anwendungsbereich dieses AVVs.

5. Verpflichtungen Des Kunden

5.1. - Wenn der Kunde im Rahmen des Hauptvertrages als Verantwortlicher agiert: 

5.1.1. - übernimmt der Kunde, sofern anwendbar, die absolute Verantwortung für die an Huble gegebenen Weisungen und garantiert Huble, dass dieser immer seine gesetzlichen Verpflichtungen in Bezug auf das Datenschutzgesetz einhalten wird, einschließlich, ohne Einschränkung, Gesetze über die Offenlegung und Übertragung von personenbezogenen Kundendaten an Huble und die Verarbeitung von personenbezogenen Kundendaten;

5.1.2. - stellt der Kunde sicher, dass alle personenbezogenen Kundendaten, die Huble von oder im Namen des Kunden zur Verfügung gestellt werden, rechtmäßig, fair und auf transparente Weise erhoben wurden, um eine Verarbeitung dieser personenbezogenen Kundendaten durch Huble zu den genannten Zwecken zu ermöglichen;

5.1.3. - 5.erkennt der Kunde die gesetzlichen Pflichten, die ihm als Verantwortlicher im Sinne des Datenschutzrechts auferlegt werden, vorbehaltlos an und stellt Huble von jeglichem Verlust oder Schaden (ob direkt oder als Folge) frei, der aus der Nichteinhaltung seiner Pflichten als Verantwortlicher resultiert;


5.1.4. - stellt der Kunde sicher, dass die Personen, die Huble Anweisungen erteilen und Entscheidungen im Zusammenhang mit diesem AVV treffen, vom Kunden befugt sind und dass solche Anweisungen für den Kunden verbindlich sind. Huble ist berechtigt, sich auf solche Anweisungen und Entscheidungen zu verlassen.

5.2. - Wenn der Kunde ein Auftragsverarbeiter in Bezug auf die personenbezogenen Kundendaten ist, garantiert der Kunde, dass seine Anweisungen und Handlungen in Bezug auf die Verarbeitung der personenbezogenen Kundendaten, einschließlich seiner Ernennung von Huble als Unterauftragsverarbeiter, entsprechend vom Verantwortlichen genehmigt wurden.

5.3. - Die Anweisungen des Kunden für die Verarbeitung der personenbezogenen Kundendaten müssen mit dem Datenschutzrecht übereinstimmen. Der Kunde entschädigt Huble größtmöglich im gesetzlich zulässigen Umfang für jeden direkten Schaden, der dadurch entsteht, dass Huble als Auftragsverarbeiter im Namen und/oder auf Anweisung des Verantwortlichen in Bezug auf die Verarbeitung der personenbezogenen Kundendaten gemäß des Hauptvertrages handelt. 


5.4. - Im Verhältnis zwischen den Parteien trägt der Kunde die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der personenbezogenen Kundendaten sowie für die Mittel, mit denen der Kunde diese personenbezogenen Daten erworben hat.   


5.5. - Der Kunde verpflichtet sich, Huble auf eigene Kosten von jeglicher Haftung, einschließlich Rechtskosten, Ansprüchen, Zivilklagen, Schäden, indirekten oder Folgeschäden oder Ausgaben, die Huble entstanden sind oder für die Huble haftbar gemacht werden kann, weil der Kunde oder seine Angestellten oder Beauftragten, ob bevollmächtigt oder nicht, die Verpflichtungen aus dem Hauptvertrag oder dem Datenschutzrecht nicht eingehalten haben, schadlos zu halten und zu entschädigen.

5.6. - Der Kunde garantiert, dass der Hauptvertrag und dieser AVV die vollständige und endgültige Anweisung des Kunden an Huble in Bezug auf die Verarbeitung der personenbezogenen Kundendaten enthält und dass jede zusätzliche Anweisung außerhalb des Geltungsbereichs Hauptvertrages eine vorherige schriftliche Vereinbarung zwischen den Parteien erfordert. 

5.7. - Der Kunde wird Huble unverzüglich und umfassend über Fehler oder Unregelmäßigkeiten im Zusammenhang mit dem Datenschutzrecht informieren.

5.8. - Der Kunde informiert Huble unverzüglich, wenn die Verarbeitung besondere Kategorien personenbezogener Kundendaten im Sinne des Datenschutzrechts umfasst, insbesondere: finanzielle, medizinische und gesundheitsbezogene Informationen, Informationen über Kinder oder jede Art der Verarbeitung personenbezogener Daten, die nach dem Datenschutzrecht höher geschützt sind.  

6. Huble’s Pflichten

6.1. - Einhaltung von Weisungen

6.1.1. - In Bezug auf personenbezogene Kundendaten hält Huble geltendes Datenschutzrecht ein (und sorgt dafür, dass seine Mitarbeiter dieses einhalten und wirtschaftlich angemessene Anstrengungen unternehmen, um sicherzustellen, dass ihre beauftragten Auftragsverarbeiter diese einhalten). 

6.1.2. - Huble erhebt, verarbeitet und nutzt personenbezogene Kundendaten nur im Rahmen der schriftlichen Weisungen des Kunden und in Übereinstimmung mit dem Datenschutzrecht. Wenn Huble vermutet, dass eine Weisung gegen das Datenschutzrecht verstößt, wird es den Kunden unverzüglich informieren. 

6.1.3. - Wenn Huble aufgrund einer rechtlichen Verpflichtung nicht in der Lage ist, personenbezogene Kundendaten gemäß den Weisungen des Kunden zu verarbeiten, wird Huble:

6.1.3.1. - den Kunden unverzüglich über die rechtliche Verpflichtung informieren, bevor mit der Verarbeitung fortgefahren wird; und  

6.1.3.2. - jede Form der Verarbeitung einstellen (mit Ausnahme der bloßen Speicherung und Aufrechterhaltung der Sicherheit der betroffenen personenbezogenen Kundendaten), bis der Kunde neue Anweisungen erteilt, denen wir nachkommen können. 

6.1.4. - Wenn ein Abschnitt 6.1.3 dieses AVVs geltend gemacht wird, haftet Huble dem Kunden gegenüber nicht für die Nichterfüllung des Hauptvertrages, bis der Kunde neue, rechtlich bindende Anweisungen erteilt. 

6.1.5. - Huble wird die Einhaltung der Verpflichtungen des Kunden zur Umsetzung von Sicherheitsmaßnahmen in Bezug auf die personenbezogenen Kundendaten (einschließlich, falls zutreffend, der Verpflichtungen des Kunden gemäß Artikel 32 bis 36 (inklusive) der DSGVO) erleichtern, indem es:  (i) die in unseren Informationssicherheitsrichtlinien beschriebenen Sicherheitsmaßnahmen umsetzt und aufrecht erhält; (ii) die Bestimmungen des Abschnitts 6.3 (Verletzungen des Schutzes personenbezogener Daten) dieses AVVs einhält; (iii) den Kunden bei der Erfüllung seiner Verpflichtungen in Bezug auf eine Datenschutz-Folgenabschätzung oder die vorherige Konsultation einer Aufsichtsbehörde unterstützt; und (iv) Informationen für den Kunden in Bezug auf die Verarbeitung in Übereinstimmung mit Abschnitt 7 (Audits) dieses AVVs bereitstellt.

6.2. - Vertraulichkeit

6.2.1. - Huble stellt sicher, dass alle Mitarbeiter, die unter der Anweisung von Huble stehen und befugt sind, personenbezogene Kundendaten zu verarbeiten, unabhängig davon ob sie als Angestellte oder Vertragspartner eingestellt sind, der Vertraulichkeitspflicht in Bezug auf die personenbezogenen Kundendaten unterliegen.

6.2.2. - Die Vertraulichkeitsverpflichtung in Abschnitt 6.2.1 gilt auch nach Beendigung der Verarbeitung, auf die sich die Vertraulichkeitsverpflichtung bezieht. 

6.2.3. - Diese Vertraulichkeitsklausel findet keine Anwendung, wenn der Auftragsverarbeiter Informationen in Erfüllung einer gesetzlichen Anforderung einer Behörde oder anderweitig aufgrund des geltenden Rechts, wie es im Hauptvertrag festgelegt ist, offenlegen muss, vorausgesetzt, dass der Auftragsverarbeiter den Verantwortlichen, soweit dies unter Einhaltung des geltenden Rechts, wie es im Hauptvertrag festgelegt ist, vernünftigerweise möglich ist, vor einer solchen Offenlegung über diese Anforderungen informiert und dem Verantwortlichen eine angemessene Gelegenheit gibt, die Anforderung zur Offenlegung der Informationen anzufechten oder den Umfang der Offenlegung zu begrenzen.

6.3. - Datenschutzverletzungen

6.3.1. - Huble benachrichtigt den Kunden so schnell wie möglich, nachdem eine Datenschutzverletzung festgestellt wurde, die personenbezogene Kundendaten betrifft.

6.3.2. - Auf Verlangen des Kunden wird Huble unverzüglich angemessene Unterstützung leisten, um dem Kunden zu ermöglichen, die zuständige(n) Aufsichtsbehörde(n) und/oder betroffene Personen über relevante Datenschutzverletzungen zu informieren, wenn der Kunde nach dem geltendem Datenschutzrecht dazu verpflichtet ist.

6.4. - Betroffenenanfragen

6.4.1. - Huble wird angemessene Unterstützung leisten, einschließlich der Umsetzung angemessener und geeigneter technischer und organisatorischer Maßnahmen, um dem Kunden zu ermöglichen, auf alle Betroffenen zu reagieren, die ihre Rechte nach dem Datenschutzrecht ausüben wollen (einschließlich ihres Rechts auf Zugang, Berichtigung, Einschränkung, Löschung oder Übertragbarkeit der personenbezogenen Kundendaten), soweit dies gesetzlich zulässig ist. Wenn eine solche Anfrage direkt an Huble gerichtet wird, wird Huble den Kunden unverzüglich informieren und den Betroffenen raten, ihre Anfrage direkt an den Kunden zu richten. Der Kunde ist allein für die Beantwortung von Betroffenenanfragen verantwortlich. Der Kunde kommt für alle Kosten gegenüber Huble auf, die durch diese Unterstützung entstehen.

6.4.2. - Ungeachtet der Klausel 6.2.3,  verpflichtet sich Huble, die schriftliche Zustimmung des Kunden einzuholen, bevor ein Ersuchen um Offenlegung der personenbezogener Kundendaten durch eine betroffene Person gestellt wird, sofern es sich nicht um ein gesetzlich vorgeschriebenes Ersuchen handelt, an das sich Huble halten muss. 

6.5. - Datensicherheit  

6.5.1. - Unter Berücksichtigung des Standes der Technik, der Art und des Grades der Sensibilität personenbezogener Kundendaten wird Huble geeignete Maßnahmen zur Erreichung der erforderlichen technischen und organisatorischen Maßnahmen ergreifen, um personenbezogene Kundendaten angemessen vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Änderung, unbefugter Offenlegung oder Zugriff auf personenbezogene Kundendaten zu schützen. Diese Maßnahmen sind in Anhang 1 dargestellt.

6.6. - Unterauftragsverarbeiter

6.6.1. - Der Kunde gestattet Huble die Beauftragung von Unterauftragsverarbeitern zur Erfüllung ihrer im Hauptvertrag definierten Pflichten (jeweils ein "Infrastruktur-Unterauftragsverarbeiter" oder ein "verbundener Unterauftragsverarbeiter") gemäß dieser Ziffer 6.6. Zu diesem Zweck kann Huble Tochtergesellschaften von Huble und die in Anlage 2 dieses AVVs aufgeführten Drittparteien als beauftragte Unterauftragsverarbeiter einsetzen. 

6.6.2. - Wenn Huble beabsichtigt, andere als in Anlage 2 dieses AVVs aufgeführten Unterauftragsverarbeiter zu beauftragen, benachrichtigt Huble den Kunden schriftlich (einschließlich per E-Mail an die hinterlegte(n) E-Mail-Adresse(n) des Kunden) und gibt dem Kunden die Möglichkeit, der vorgeschlagenen Beauftragung des neuen Unterauftragsverarbeiters innerhalb von 14 (vierzehn) Tagen nach der Benachrichtigung zu widersprechen. Andernfalls ist Huble berechtigt, den Unterauftragsverarbeiter zu benennen. Wenn der Kunde der Beauftragung eines Unterauftragsverarbeiters widerspricht, muss dieser Widerspruch angemessen begründet sein (z. B. wenn der Kunde nachweist, dass bei dem Unterauftragsverarbeiter erhebliche Risiken für den Schutz seiner personenbezogenen Kundendaten bestehen). Wenn Huble und der Kunde nicht in der Lage sind, solche Einwände auszuräumen, kann jede Partei den Hauptvertrag in Übereinstimmung mit den dort aufgeführten Bestimmungen zur Kündigung kündigen.  

6.6.3. - Wenn Huble einen Unterauftragsverarbeiter beauftragt, wird Huble einen Vertrag mit dem Unterauftragsverarbeiter abschließen, der dem Unterauftragsverarbeiter die gleichen Pflichten auferlegt, die für Huble und Kunden gemäß diesem AVV gelten. 

6.6.4. - Wenn ein Unterauftragsverarbeiter beauftragt wird, hat der Kunde das Recht, die Tätigkeiten des Unterauftragsverarbeiters in Übereinstimmung mit diesem AVV und dem Datenschutzrecht zu überwachen und zu überprüfen, einschließlich des Rechts, auf schriftliche Anfrage von Huble, Informationen über den Inhalt des Vertrages und die Umsetzung der Datenschutzverpflichtungen im Rahmen des Vertrages mit dem Unterauftragsverarbeiter zu erhalten, falls notwendig durch Einsichtnahme in die entsprechenden Vertragsunterlagen, sofern die Beauftragung des Unterauftragsverarbeiters durch Huble einer solchen Offenlegung nicht entgegensteht. Huble behält sich das Recht vor, Abschnitte in solchen Vertragsdokumenten zu schwärzen, die geschäftlich sensibel sind.

6.6.5. - Die Bestimmungen dieses Abschnitts gelten wechselseitig, wenn Huble einen Unterauftragsverarbeiter in einem Land beauftragt, das kein angemessenes Schutzniveau für personenbezogene Kundendaten im Sinne des Datenschutzrechts bietet. In diesem Fall ergreift Huble Maßnahmen, um sicherzustellen,  dass ein "angemessenes Schutzniveau" gewährleistet wird, einschließlich, aber nicht beschränkt auf den Abschluss von Standardvertragsklauseln, die gemäß dem Datenschutzrecht von und zwischen Huble und dem Unterauftragsverarbeiter herausgegeben werden. 

6.7. - Löschung und Abruf von personenbezogenen Kundendaten

6.7.1. - Außer in dem Umfang, der zur Einhaltung des Datenschutzrechts erforderlich ist, wird Huble nach Beendigung oder Ablauf des Hauptvertrages alle personenbezogenen Kundendaten (einschließlich Kopien davon), die gemäß des Hauptvertrages verarbeitet wurden, nach Wahl des Kunden löschen oder zurückgeben. 

6.7.2. - Der Kunde hat bei Beendigung oder Ablauf des Hauptvertrages durch die Erteilung einer Weisung innerhalb einer von Huble gesetzten Frist mitzuteilen, ob die personenbezogenen Kundendaten zurückgegeben oder gelöscht werden sollen. Zusätzliche Kosten, die im Zusammenhang mit der Rückgabe oder Löschung der personenbezogenen Kundendaten entstehen, sind vom Kunden zu tragen.  

7. Kontrollen

7.1. - Der Kunde kann, vorbehaltlich der Vertraulichkeitsbestimmungen im Hauptvertrag, vor Beginn der Verarbeitung, danach in jährlichen Abständen oder bei begründetem Verdacht auf eine Datenschutzverletzung, die von Huble getroffenen technischen und organisatorischen Maßnahmen im Sinne des Datenschutzrechts kontrollieren. Zu diesem Zweck kann der Kunde:

7.1.1. - Informationen von Huble erhalten, die belegen, dass Huble die Bedingungen dieses AVVs einhält;   

7.1.2. - eine Bescheinigung oder ein Zertifikat von einem unabhängigen Sachverständigen über die Sicherheitsmaßnahmen von Huble verlangen, oder 

7.1.3. - nach angemessener und rechtzeitiger vorheriger Absprache während der regulären Geschäftszeiten und ohne Unterbrechung des Geschäftsbetriebs eine Vor-Ort-Prüfung des Geschäftsbetriebs durchführen oder, vorbehaltlich angemessener Vertraulichkeitsmaßnahmen, durch einen qualifizierten Dritten, der kein Konkurrent von Huble ist, durchführen lassen. Der Verantwortliche wird seinen Prüfern ausreichende Vertraulichkeitsverpflichtungen auferlegen und haftet für diesen Aspekt.
  
7.2. - Huble wird dem Kunden auf schriftliche Anfrage und innerhalb einer angemessenen Frist alle Informationen zur Verfügung stellen, die für die Zwecke dieses Abschnitts 7 des AVVs erforderlich sind, soweit sich diese Informationen unter der Kontrolle von Huble befinden und Huble nicht durch geltendes Recht, eine Vertraulichkeitsverpflichtung oder eine sonstige Verpflichtung gegenüber einem Dritten an der Offenlegung gehindert wird.  


7.3. - Der Kunde muss oder wird seine externen Prüfer auffordern, einen Entwurf des Prüfberichts an Huble zu senden. Huble hat das Recht, innerhalb eines angemessenen Zeitrahmens Stellung zu nehmen. Der Prüfer wird die Kommentare von Huble berücksichtigen und diese Kommentare in seinen dem Kunden vorgelegten Abschlussbericht aufnehmen.

7.4. - Der Kunde trägt die Kosten, es sei denn, es wird eine schwerwiegende Nichteinhaltung oder Verletzung der Datenschutzpflichten festgestellt; in diesem Fall trägt die Partei, die für den Verstoß verantwortlich ist, die Kosten des Audits. Die Kostenverteilung richtet sich nach der anteiligen Verantwortung für die Nichteinhaltung oder den Verstoß. Beide Parteien arbeiten nach Treu und Glauben zusammen, um die Auditkosten so gering wie möglich zu halten und gleichzeitig eine gründliche Bewertung der Datenschutzpraktiken zu gewährleisten.

8. Haftung

8.1. - Der Kunde haftet und hält Huble schadlos (und wird Huble weiterhin schadlos halten) für alle Handlungen, Bußgelder, Verfahren, Haftungen, Kosten, Ansprüche, Verluste, Ausgaben (einschließlich angemessener Anwaltsgebühren und Zahlungen auf Anwalts- und Mandantenbasis) oder Forderungen, die Huble, einschließlich eines Auftragsverarbeiters, erleidet, die Huble zugesprochen werden oder zu deren Zahlung Huble sich bereit erklärt hat, und die direkt oder in Verbindung mit: 

8.1.1. - jeder Nichteinhaltung des Datenschutzrechts durch den Kunden;

8.1.2. - ungeachtet von Abschnitt 6.1.1, jeder Verarbeitung personenbezogener Kundendaten durch Huble oder seinen Unterauftragsverarbeitern gemäß den Anweisungen des Kunden, die gegen das Datenschutzrecht verstoßen; oder

8.1.3. - jedem Verstoß des Kunden gegen seine Verpflichtungen aus diesem AVV,

stehen, außer in dem Umfang, in dem Huble oder ein Unterauftragsverarbeiter gemäß nachstehendem Abschnitt 8.2 haftbar ist. 

8.2. - Huble haftet für und hält den Kunden schadlos (und wird den Kunden weiterhin schadlos halten) bezüglich aller Klagen, Verfahren, Haftungen, Kosten, Ansprüche, Verluste, Ausgaben (einschließlich angemessener Anwaltsgebühren und Zahlungen auf Anwalts- und Mandantenbasis) oder Forderungen, die dem Kunden entstehen, ihm zugesprochen werden oder zu deren Zahlung er sich bereit erklärt hat, und die direkt oder in Verbindung mit der Verarbeitung personenbezogener Kundendaten durch Huble entstehen, die unter diesen AVV fallen:

8.2.1. - nur insoweit, als sich dies aus dem Verstoß von Huble gegen diesen AVV ergibt;

8.2.2. - vorbehaltlich des nachstehenden Abschnitts 8.4 und nur insoweit, als dies auf eine Datenschutzverletzung durch Unterauftragsverarbeiter oder die Nichteinhaltung des Datenschutzrechts durch einen Unterauftragsverarbeiter zurückzuführen ist; und

8.2.3. - nicht in dem Maße, in welchem dies durch eine Verletzung dieses AVVs durch den Kunden verursacht oder mitverursacht wurde.

8.3. - Der Kunde ist nicht berechtigt, von Huble oder seinen Unterauftragsverarbeitern Beträge zurückzufordern, die der Kunde als Entschädigung für einen Schaden gezahlt hat, wenn der Kunde gemäß Abschnitt 8.1 zur Schadloshaltung von Huble verpflichtet ist. 

8.4. - Ungeachtet gegenteiliger Bestimmungen in diesem AVV ist die maximale Gesamthaftung von Huble, unabhängig davon, ob sie aufgrund einer Datenschutzverletzung bei einem Unterauftragsverarbeiter oder der Nichteinhaltung des Datenschutzrechts durch einen unter Unterauftragsverarbeiter entsteht, auf das [2 (zwei) Fache] des Betrags begrenzt, der an Huble für die Dienstleistungen während des 12 (zwölf) Monatszeitraums vor dem Datum, an dem der Anspruch entstanden ist, gezahlt wurde. 

9. Allgemeine Bestimmungen

9.1. - Wenn einzelne Bestimmungen dieses AVVs unwirksam oder undurchführbar sind, so wird die Wirksamkeit und Durchführbarkeit der übrigen Bestimmungen dieses AVVs davon nicht berührt.

9.2. - Dieser AVV gilt für die Dauer des Hauptvertrages, wobei die fortgeltenden Bestimmungen entsprechend geltendem Recht und Kontext gelten.

9.3. - Dieser AVV unterliegt dem im Hauptvertrag festgelegten Recht.

Anlage 1: Angaben Zu Personenbezogenen Kundendaten Und Deren Verarbeitung

1. Gegenstand der Verarbeitung:
Gegenstand der Verarbeitung personenbezogener Kundendaten bezieht sich auf die Erbringung von Dienstleistungen im Rahmen des Hauptvertrages. 

2. Art und Zweck der Verarbeitung:  
Art und der Zweck der Verarbeitung beziehen sich auf die Erbringung der Dienstleistung für den Kunden gemäß  dem Hauptvertrag, diesem AVV und den Anweisungen des Kunden.

3. Dauer der Verarbeitung:  
Bis zum frühesten der folgenden Zeitpunkte: (i) Ablauf/Beendigung des Hauptvertrages oder (ii) dem Datum, an dem die Verarbeitung für die Erfüllung der Verpflichtungen einer Partei aus dem Hauptvertrag nicht mehr erforderlich ist (soweit zutreffend).

4. Kategorien von Betroffenen: 
- Kundenkontakte und andere Endnutzer, einschließlich Mitarbeiter des Kunden, Auftragnehmer, Kollaborateure, Kunden, potenzielle Kunden, Lieferanten und Subunternehmer.   
- Zu Betroffenen gehören auch Personen, die versuchen, mit den Endnutzern des Kunden zu kommunizieren oder personenbezogene Kundendaten an diese zu übermitteln.  

5. Kategorien personenbezogener Kundendaten:  
- Kontaktinformationen, deren Umfang vom Kunden nach eigenem Ermessen bestimmt und kontrolliert wird.
- Biografische Daten, demografische Daten, persönliche Angaben, persönliche Interessen, Kaufhistorie.
- Beschäftigungsangaben und Historie, Leistungsdaten von Mitarbeitern.
- Angaben zu Waren oder Dienstleistungen, die für Einzelpersonen oder zu deren Gunsten erbracht werden.
- Navigationsdaten, Browserverlauf und Cookies (einschließlich Websitenutzungsinformationen).
- E-Mail-Daten, Systemnutzungsdaten, Anwendungsintegrationsdaten und andere elektronische Daten, die von Endbenutzern über den HubSpot-Abonnementdienst eingereicht, gespeichert, gesendet oder empfangen werden.

6. Besondere Kategorien personenbezogener Kundendaten:
Es werden keine besonderen Kategorien personenbezogener Daten verarbeitet. Der Kunde ist verpflichtet, Huble zu informieren, wenn besondere Kategorien personenbezogener Kundendaten im Sinne von Abschnitt 5.8 des AVVs verarbeitet werden. 

7. Beschreibung der von Huble durchgeführten technischen und organisatorischen Maßnahmen:

Huble wird geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Maß an Sicherheit zu gewährleisten, unter anderem:

- die Pseudonymisierung und Verschlüsselung personenbezogener Daten, soweit möglich;
- die Fähigkeit, ständige Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste zu gewährleisten;
- die Fähigkeit, Verfügbarkeit und Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Zwischenfalls zeitnah wiederherzustellen; und
- ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Darüber hinaus gelten für die Verarbeitung personenbezogener Kundendaten die folgenden Informationssicherheitsrichtlinien:
- Nutzungsbedingungen der Huble Digital Group ("AUP"): Zweck der AUP ist es, die akzeptable Nutzung von Computersystemen bei der Huble Digital Group darzustellen. Diese Regeln dienen dazu, die Informationen der Huble Digital Group vor Verlust oder Diebstahl, unbefugtem Zugriff, Offenlegung, Vervielfältigung, Verwendung, Änderung oder Zerstörung zu schützen.
- Richtlinie zur Klassifizierung und Handhabung von Informationen ("ICHP"): Huble Digital Group ist für den Schutz der Informationen, die sie besitzt und verarbeitet, verantwortlich, indem sie Kontrollen anwendet, die der Sensibilität der betreffenden Informationen angemessen sind. Nur wenn Informationen nach einem dokumentierten Schema klassifiziert werden, kann das richtige Schutzniveau angewendet werden. Der ICHP legt die Einzelheiten des zu verwendenden Systems und die Kriterien fest, die bei der Entscheidung über das auf einen bestimmten Informationswert anzuwendende Schutzniveau angewendet werden. Die Mitarbeiter sind für die Daten und Informationen der Huble Digital Group und für die Reduzierung der Risiken einer Verletzung der Informationssicherheit verantwortlich. Die Einstufung von Informationen und Dokumenten gemäß dieser ICHP bestimmt die Art und Weise, in der das Dokument gehandhabt, veröffentlicht, verschoben und gespeichert wird – und stellt somit sicher, dass ein angemessener Schutz besteht.
- Informationssicherheitsrichtlinie ("ISP"): Die ISP legt die Informationssicherheitslandschaft einschließlich der unterstützenden Richtlinien, Verfahren, Rahmenbedingungen und Kontrollen sowohl in technischer als auch in administrativer Hinsicht bei der Huble Digital Group fest, so dass sie dem Unternehmen einen reibungslosen Betrieb in Übereinstimmung mit den ISO/IEC:27001-Normen ermöglicht.
- Dokumentverwaltungsrichtlinie: Dokumentierte Informationen innerhalb des Geltungsbereichs des von der Huble Digital Group eingerichteten Informationssicherheits-Managementsystems ("ISMS") müssen so kontrolliert werden, dass sie sowohl den geschäftlichen Anforderungen als auch den anerkannten internationalen Normen entsprechen, die in dieser Richtlinie festgelegt und beibehalten werden
- Richtlinie zur Zwei-Faktor-Authentifizierung ("TFAP"): Die TFAP legt die Anforderungen für Personen innerhalb des Geltungsbereichs des ISMS fest, dass Zwei-Faktor-Authentifizierungsmethoden auf allen wichtigen Systemen, wie in der Richtlinie definiert, und allen anderen Systemen, die im Rahmen der Beschäftigung oder der Erbringung von Dienstleistungen für die Huble Digital Group verwendet werden,, sofern verfügbar.

Bei Übermittlungen an Unterauftragsverarbeiter, die spezifischen technischen und organisatorischen Maßnahmen, die von den Unterauftragsverarbeitern zu treffen sind, um Unterstützung für den Verantwortlichen zu gewährleisten und - bei Übermittlungen von einem Auftragsverarbeiter an einen Unterauftragsverarbeiter – die Maßnahmen, die gegenüber dem Datenexporteur zu gewährleisten sind:

Wenn Huble einen Unterauftragsverarbeiter im Rahmen dieses AVVs beauftragt, müssen Huble und der Unterauftragsverarbeiter eine Vereinbarung mit Datenschutzbedingungen abschließen, die im Wesentlichen denen dieses AVVs entspricht. 

Huble muss sicherstellen, dass die Vereinbarung mit jedem Unterauftragsverarbeiter es Huble ermöglicht, seine jeweiligen Verpflichtungen gegenüber dem Kunden zu erfüllen. Zusätzlich zu den technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Kundendaten muss der Unterauftragsverarbeiter:
- Huble im Falle einer Datenschutzverletzung benachrichtigen;
- personenbezogene Kundendaten löschen, wenn sie von Huble in Übereinstimmung mit den Anweisungen des Kunden an Huble angewiesen werden;
- zustimmen, keine weiteren Auftragsverarbeiter ohne die Genehmigung von Huble zu beauftragen; und
- zustimmen, personenbezogene Kundendaten nicht in einer Weise zu verarbeiten, die im Widerspruch zu den Anweisungen des Kunden an Huble steht.

8. Häufigkeit von Übertragungen:
Personenbezogene Daten werden gemäß den Anweisungen des Kunden an Huble zur Verarbeitung der personenbezogenen Kundendaten für die Erbringung von Dienstleistungen im Rahmen des Hauptvertrages übermittelt.

9. Weitere Verarbeitung:
Huble wird keine weitere Verarbeitung personenbezogener Kundendaten vornehmen. Die Verarbeitung beschränkt sich auf das, was für die Erbringung der Dienstleistungen unbedingt erforderlich ist.

10. Datenschutzrechtliche Rollen:
Datenexporteur: Der Kunde, der als Verantwortlicher oder Auftragsverarbeiter im Sinne von Abschnitt 4.1 dieses AVVs handelt. 
Datenimporteur: Huble, der als Auftragsverarbeiter oder Unterauftragsverarbeiter im Sinne von Abschnitt 4.1 dieses AVVs handelt.

Anlage 2: Liste Der Unterauftragsverarbeiter

Anlage 3: Rechtsspezifische Begriffe

1. Europäischer Wirtschaftsraum
1.1. Für Zwecke dieses AVVs:
1.1.1. "EU 2021 SCCs" sind Vertragsklauseln, die durch den Implementierungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates angenommen wurden.
1.1.2. "Beschränkte Übermittlung personenbezogener Daten aus dem EWR" sind alle Übermittlungen personenbezogener Kundendaten, die der DSGVO unterliegen und gerade verarbeitet werden oder nach der Übermittlung an ein EWR-Drittland oder eine internationale Organisation in einem EWR-Drittland verarbeitet werden sollen, einschließlich der Datenspeicherung auf ausländischen Servern.
1.1.3. "EWR" bezeichnet den Europäischen Wirtschaftsraum, bestehend aus den Mitgliedstaaten der Europäischen Union sowie Island, Liechtenstein und Norwegen. 
1.1.4. "EWR-Drittland" bedeutet ein Land außerhalb des EWR.
1.2. Für jede eingeschränkte Übermittlung personenbezogener EWR-Daten vom Kunden an Huble im Rahmen dieses AVVs und des Hauptvertrages gelten die folgenden Mechanismen in der vorgegebenen Reihenfolge:
1.2.1. ein Angemessenheitsbeschluss der Europäischen Kommission gemäß Artikel 45, DSGVO, der besagt, dass das EWR-Drittland, ein Gebiet oder ein oder mehrere bestimmte Sektoren innerhalb dieses EWR-Drittlandes oder die betreffende internationale Organisation, an die personenbezogene Kundendaten übermittelt werden sollen, ein angemessenes Datenschutzniveau gewährleistet;
1.2.2. die EU 2021 SCCs, sofern ihre Verwendung eine "angemessene Schutzmaßnahme" gemäß Artikel 46, DSGVO, und dem Datenschutzrecht darstellt; oder
1.2.3. andere rechtmäßige Datenübertragungsmechanismen, wie sie in der DSGVO vorgesehen sind.
1.3. EU 2021 SCCs:
1.3.1. Dieser AVV enthält durch Verweis die EU 2021 SCCs. Es wird davon ausgegangen, dass die Parteien die EU 2021 SCCs in ihrer Gesamtheit, einschließlich der Anhänge, akzeptiert, ausgeführt und unterzeichnet haben. 
1.3.2. Der Inhalt von Anhang I und Anhang II der EU 2021 SCCs ist in Anlage 1 dieses VVs aufgeführt. Der Inhalt von Anhang III der EU 2021 SCCs ist in Anlage 3 zu diesem AVV aufgeführt. Anhang 1 zu dieser Anlage ergänzt die EU 2021 SCCs wie dort angegeben.
1.3.3. Die folgenden Module der EU 2021 SCCs gelten wie unten angegeben:
1.3.3.1. Modul 2 der EU 2021 SCCs (Verantwortlicher an Auftragsverarbeiter) in dem Maße, in dem der Kunde als "Datenexporteur" der Verantwortliche und Huble als "Datenimporteur" der Auftragsverarbeiter ist, in Übereinstimmung mit Abschnitt 4.1 dieses AVVs. 
1.3.3.2. Modul 3 der EU 2021 SCCs (Auftragsverarbeiter an Unterauftragsverarbeiter) in dem Maße, in dem der Kunde als "Datenexporteur" der Auftragsverarbeiter und Huble als "Datenimporteur" der Unterauftragsverarbeiter ist, in Übereinstimmung mit Abschnitt 4.1 dieses AVVs.
1.3.4. Die Parteien kommen überein, die folgenden Entscheidungen im Rahmen der EU 2021 SCCs zu treffen:
1.3.4.1. Die Parteien entscheiden sich nicht für die Aufnahme von Klausel 7 (Andockklausel) in die EU 2021 SCCs.
1.3.4.2. Die Parteien wählen für die Zwecke von Klausel 9 der EU 2021 SCCs "Option 2: Allgemeine Genehmigung" und die in Abschnitt 6.6.2 dieses AVVs festgelegte Frist.
 1.3.4.3. Bezüglich Klausel 11 der EU 2021 SCC vereinbaren die Parteien, kein Recht auf Einreichung einer Streitigkeit bei einer unabhängigen Streitbeilegungsstelle vorzusehen. 
1.3.4.4. In Bezug auf Klausel 13 der EU 2021 SCCs:
1.3.4.4.1. Ist der Kunde im EWR ansässig, so ist die zuständige Aufsichtsbehörde die Behörde des EWR-Landes, in dem der Kunde ansässig ist;
1.3.4.4.2. wenn der Kunde nicht im EWR ansässig ist, aber einen Vertreter im EWR gemäß Artikel 27, Absatz 1, DGSVO, bestellt hat, ist die zuständige Aufsichtsbehörde die Behörde des EWR-Landes, in dem der Vertreter bestellt wurde; oder
1.3.4.4.3. wenn der Kunde nicht im EWR ansässig ist und keinen Vertreter in einem EWR-Land gemäß Artikel 27, Absatz 1, DSGVO, benannt hat, fungiert die Aufsichtsbehörde in einem der EWR-Länder, in dem sich die betroffene Personbefindet, deren personenbezogene Kundendaten im Rahmen der EU 2021 SCC in Bezug auf das Angebot von Waren oder Dienstleistungen an sie übermittelt werden oder deren Verhalten überwacht wird, als zuständige Aufsichtsbehörde. 
1.3.4.5. In Bezug auf Klausel 17 der EU 2021 SCCs wählen die Parteien "Option 2". Dementsprechend unterliegen die EU 2021 SCCs dem Recht des EU-Mitgliedstaates, in dem der Kunde ansässig ist. Sieht dieses Recht keine Rechte von Drittbegünstigten vor, so unterliegen die EU 2021 SCCs dem Recht der Republik Irland.
1.3.4.6. In Bezug auf Klausel 18 der EU 2021 SCCs vereinbaren die Parteien, dass alle Streitigkeiten, die sich aus den EU 2021 SCCs ergeben, von den Gerichten der Republik Irland entschieden werden sollen.

2. Deutschland
2.1. Für Zwecke dieses Anhangs zum Datenschutz:
2.1.1. "Datenschutzrecht", wie in Abschnitt 2 dieses AVV definiert, umfasst das Bundesdatenschutzgesetz (BDSG) vom 30. Juni 2017 Gesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten in der jeweils gültigen Fassung.

3. Belgien
3.1. Für Zwecke dieses Anhangs zum Datenschutz:
3.1.1. "Verbundenes Unternehmen" bedeutet jedes Unternehmen, das das Unternehmen direkt oder indirekt kontrolliert, von ihm kontrolliert wird oder mit ihm unter gemeinsamer Kontrolle steht. Für die Zwecke dieser Definition bedeutet "Kontrolle" das direkte oder indirekte Eigentum oder die Kontrolle von mehr als 50 % der Stimmrechtsanteile des betroffenen Unternehmens oder die Befugnis, einen entscheidenden Einfluss auf die Geschäftsführung dieses Unternehmens auszuüben.
3.1.2. "Datenschutzrecht", wie in Abschnitt 2 dieser DSGVO definiert, umfasst das belgische Gesetz vom 30. Juli 2018 über den Schutz von Personen bei der Verarbeitung personenbezogener Daten in seiner jeweils gültigen Fassung.

4. Vereinigtes Königreich
4.1. Für Zwecke dieses Anhangs zum Datenschutz:
4.1.1. "Datenschutzrecht" im Sinne des Abschnitts 2 dieses Anhangs zum Datenschutz umfasst das britische Datenschutzrecht.
4.1.2. "GB Änderung" bezeichnet die Änderung für den internationalen Datentransfer zu den Standardvertragsklauseln der EU 2021, herausgegeben vom UK Information Commissioner, Version B1.0, in der ab dem 21. März 2022 geltenden und jeweils gültigen Fassung.
4.1.3. "GB Drittland" bedeutet ein Land außerhalb des Vereinigten Königreichs. 
4.1.4. "Beschränkte Übermittlung personenbezogener Daten aus dem Vereinigten Königreich" bedeutet jede Übermittlung personenbezogener Kundendaten, die der DSGVO des Vereinigten Königreichs unterliegen und die gerade verarbeitet werden oder nach der Übermittlung an ein GB Drittland oder eine internationale Organisation in einem GB Drittland verarbeitet werden sollen, einschließlich der Datenspeicherung auf ausländischen Servern.
4.1.5. "Datenschutzrecht des Vereinigten Königreichs" bezeichnet die DSGVO, die gemäß Abschnitt 3 des European Union (Withdrawal) Act 2018 (einschließlich weiterer Änderungen oder Ergänzungen durch die Gesetze des Vereinigten Königreichs oder eines Teils des Vereinigten Königreichs) Teil des innerstaatlichen Rechts in England, Wales und Nordirland ist (die "GB DSGVO"), sowie den Data Protection Act 2018 in seiner jeweils gültigen Fassung.
4.2. Für jede beschränkte Übermittlung von personenbezogenen Daten aus dem Vereinigten Königreich vom Kunden an Huble im Rahmen dieses AVVs und des Hauptvertrages gelten die folgenden Mechanismen, in der vorgegebenen Reihenfolge:
4.2.1. ein Angemessenheitsbeschluss gemäß Artikel 45 GB DSGVO, der besagt, dass das GB Drittland, ein Gebiet oder ein oder mehrere bestimmte Sektoren innerhalb dieses Drittlands oder die betreffende internationale Organisation, an die personenbezogene Kundendaten übermittelt werden sollen, ein angemessenes Datenschutzniveau gewährleistet;
4.2.2. die EU 2021 SCCs unter Verwendung der GB Änderung, sofern deren Verwendung eine "angemessene Schutzmaßnahme" gemäß Artikel 46 GB DSGVO und dem britischen Datenschutzrecht darstellt; oder
4.2.3. andere rechtmäßige Datenübertragungsmechanismen, wie sie im britischen Datenschutzrecht vorgesehen sind.
4.3. EU 2021 SCCs:
4.3.1. Dieser AVV enthält durch Verweis die EU 2021 SCCs. Es wird davon ausgegangen, dass die Parteien die EU 2021 SCCs in ihrer Gesamtheit, einschließlich der Anhänge, akzeptiert, ausgeführt und unterzeichnet haben. 
4.3.2. Der Inhalt der Anhänge I und II der EU 2021 SCCs und die Tabellen der UK Änderung sind in Anlage 1 zu diesem AVV aufgeführt. Der Inhalt von Anhang III der EU 2021 SCCs ist in Anlage 3 zu diesem AVV aufgeführt. Anhang 1 zu dieser Anlage ergänzt die EU 2021 SCCs wie dort angegeben.
4.3.3. Die folgenden Module der EU 2021 SCCs gelten wie unten angegeben:
4.3.3.1. Modul 2 der EU 2021 SCCs (Verantwortlicher  an Auftragsverarbeiter) in dem Maße, in dem der Kunde als "Datenexporteur" der Verantwortliche  und Huble als "Datenimporteur" der Auftragsverarbeiter ist, in Übereinstimmung mit Abschnitt 4.1 dieses AVVs. 
4.3.3.2. Modul 3 der EU 2021 SCCs (Auftragsverarbeiter an Unterauftragsverarbeiter) in dem Maße, in dem der Kunde als "Datenexporteur" der Auftragsverarbeiter und Huble als "Datenimporteur" der Unterauftragsverarbeiter ist, in Übereinstimmung mit Abschnitt 4.1 dieses AVVs.
4.4. Die Parteien stimmen überein, gemäß den EU 2021 SCCs und der GB-Änderung folgende Entscheidungen zu treffen:
4.4.1. Die Parteien entscheiden sich nicht für die Aufnahme von Klausel 7 (Andockklausel) in die EU 2021 SCCs.
4.4.2. Die Parteien wählen für die Zwecke von Klausel 9 der EU 2021 SCCs "Option 2: Allgemeine Genehmigung" und die in Abschnitt 6.6.2 dieses AVVs festgelegte Frist.
4.4.3. Bezüglich Klausel 11 der EU 2021 SCC vereinbaren die Parteien kein Recht auf Einreichung einer Streitigkeit bei einer unabhängigen Streitbeilegungsstelle vorzusehen. 

 

5. Kalifornien
5.1. Für Zwecke dieses Anhangs zum Datenschutz:
5.1.1. "Kalifornisches Datenschutzrecht" umfasst den California Consumer Privacy Act von 2018, Assembly Bill 375 des kalifornischen Repräsentantenhauses, ein Gesetz zur Hinzufügung von Titel 1.81.5 (beginnend mit Abschnitt 1798.100) zu Teil 4 der Abteilung 3 des Bürgerlichen Gesetzbuchs, einschließlich der California Consumer Privacy Act Regulations (zusammen "CCPA"), und den California Privacy Rights Act von 2020 ("CPRA").
5.1.2. "Verantwortlicher" (wie in diesem AVV definiert) schließt "Unternehmen" im Sinne des kalifornischen Datenschutzrechts ein.
5.1.3. "Datenschutzrecht" (wie in diesem AVV definiert) schließt das kalifornische Datenschutzrecht ein.
5.1.4. "Betroffener" (wie in diesem AVV definiert) schließt "Verbraucher" gemäß Definition im kalifornischen Datenschutzrecht ein.
5.1.5."Personenbezogene Daten" (wie in diesem AVV definiert) umfassen "Personenbezogene Informationen" gemäß Definition im kalifornischen Datenschutzrecht.
5.1.6. Die Begriffe "Geschäftszweck", "kommerzieller Zweck", "Verkaufen" und "Teilen" haben die ihnen im kalifornischen Datenschutzrecht zugewiesene Bedeutung.
5.2. Der Kunde gibt personenbezogene Kundendaten an Huble nur für einen gültigen Geschäftszweck weiter und um Huble zu ermöglichen, die Dienstleistungen gemäß Hauptvertrag zu erbringen. 
5.3. Soweit Huble personenbezogene Kundendaten verarbeitet, die dem CCPA unterliegen, wird Huble bei der Erfüllung des Hauptvertrages die Verpflichtungen des CCPA einhalten. In diesem Zusammenhang erklärt sich Huble damit einverstanden, personenbezogene Kundendaten nicht zu verkaufen oder weiterzugeben, personenbezogene Kundendaten nicht aufzubewahren, zu nutzen oder offenzulegen, es sei denn, dies ist im Rahmen der Erbringung der Dienstleistungen oder gemäß CCPA erlaubt. 
5.4. Huble bestätigt, dass es die in diesem Abschnitt 3 dieser Anlage dargelegten Beschränkungen einhalten wird.

6. Südafrika
6.1. Für Zwecke dieses Anhangs zum Datenschutz:
6.1.1. "Verbindliche Unternehmensrichtlinien" (für die Zwecke dieses Abschnitts 4) haben die Bedeutung, die ihnen in Abschnitt 72, Absatz 2, Buchstabe a des POPIA zugewiesen ist. 
6.1.2. "Verantwortlicher" (wie in diesem AVV definiert) schließt eine "verantwortliche Partei" gemäß der Definition in POPIA ein. 
6.1.3. "Datenschutzrecht" (wie in diesem AVV definiert) umfasst das südafrikanische Gesetz zum Schutz personenbezogener Daten 4 von 2012 ("POPIA").
6.1.4. "Personenbezogene Daten" (wie in diesem AVV definiert) umfassen "Personenbezogene Informationen" wie in POPIA definiert.
6.1.5. "Auftragsverarbeiter" (wie in diesem AVV definiert) schließt einen "Betreiber" gemäß Definition in POPIA ein.
6.1.6. "Beschränkte Übermittlung personenbezogener SA-Daten" bedeutet jede Übermittlung personenbezogener Kundendaten, die dem POPIA unterliegen und die gerade verarbeitet werden oder nach der Übermittlung an ein SA-Drittland oder eine internationale Organisation in einem SA-Drittland verarbeitet werden sollen, einschließlich der Datenspeicherung auf ausländischen Servern.
6.1.7. "SA-Drittland" bedeutet ein Land außerhalb der Republik Südafrika.
6.2. In Bezug auf jede beschränkte Übermittlung von personenbezogenen SA-Kundendaten an Huble im Rahmen dieses AVVs und des Hauptvertrages gelten die folgenden Mechanismen, in der Reihenfolge ihres Vorrangs:
6.2.1. Das Datenschutzrecht, dem Huble unterliegt, das die Grundsätze für eine angemessene Verarbeitung personenbezogener Daten wirksam aufrechterhält, die im Wesentlichen den Bedingungen für die rechtmäßige Verarbeitung personenbezogener Daten eines Betroffenen ähneln und das Bestimmungen enthält, die im Wesentlichen mit Abschnitt 72, POPIA, über die Weitergabe personenbezogener Daten vergleichbar sind (für die Zwecke dieses Abschnitts  4.2.1 dieser Anlage vereinbaren die Parteien, dass Übermittlungen an Huble-Einheiten innerhalb des EWR, die der DSGVO unterliegen, und Huble-Einheiten innerhalb des Vereinigten Königreichs, die dem britischen Datenschutzgesetz unterliegen, diesem Mechanismus entsprechen);
6.2.2. wenn sie von Huble umgesetzt werden, verbindliche Unternehmensregeln im Einklang mit den Bestimmungen von Abschnitt 72(1)(a), POPIA; 
6.2.3. die Bedingungen dieses AVVs als verbindliche Vereinbarung zwischen den Parteien zur wirksamen Wahrung der Grundsätze für eine angemessene Verarbeitung personenbezogener Daten, die sich im Wesentlichen auf Bedingungen für die rechtmäßige Verarbeitung personenbezogener Daten eines Betroffenen beziehen, und die im Wesentlichen ähnliche Bestimmungen wie Abschnitt 72, POPIA, in Bezug auf die Weitergabe personenbezogener Daten enthält; oder
6.2.4. alle anderen rechtmäßigen Datenübertragungsmechanismen, wie sie im POPIA vorgesehen sind.

 

7. Singapur 
7.1. Für Zwecke dieses Anhangs zum Datenschutz:
7.1.1. "ASEAN MCCs" bezeichnet die ASEAN-Mustervertragsklauseln, wie sie am 22. Januar 2021 vom Verband Südostasiatischer Nationen angenommen wurden. 
7.1.2. "Verbindliche Unternehmensrichtlinien" (für die Zwecke dieses Abschnitts 5) haben die Bedeutung, die ihnen in Abschnitt 11(3) der SDPR zugewiesen wird.
7.1.3. "Datenschutzrecht" (wie in diesem AVV definiert) umfasst den Singapore Data Protection Act 2012 und die Singapore Data Protection Regulations 2021 ("SDPR" und zusammen "SDPA").
7.1.4. "Auftragsverarbeiter" (wie in diesem AVV definiert) schließt einen "Datenvermittler" wie in SDPA definiert ein.
7.1.5. "Beschränkte Übermittlung personenbezogener Daten aus Singapur" bedeutet jede Übermittlung personenbezogener Kundendaten, die dem SDPA unterliegen und die gerade verarbeitet werden oder nach der Übermittlung an ein Drittland in Singapur oder eine internationale Organisation in einem Drittland in Singapur verarbeitet werden sollen, einschließlich der Datenspeicherung auf ausländischen Servern.
7.1.6. "Land außerhalb von Singapur" bedeutet ein Land außerhalb der Republik Singapur.
7.2. Bezüglich beschränkter Übermittlungen personenbezogener Daten aus Singapur vom Kunden an Huble im Rahmen dieses AVVs und des Hauptvertrages gelten die folgenden Mechanismen, in der Reihenfolge ihres Vorrangs:
7.2.1. Das Datenschutzrecht, dem Huble unterliegt, ermöglicht rechtlich durchsetzbare Verpflichtungen, den übermittelten personenbezogenen Daten einen Standard zu geben, der zumindest mit dem Schutz gemäß SDPA vergleichbar ist (für Zwecke dieses Abschnitts 5.2.1 dieser Anlage vereinbaren die Parteien, dass Übermittlungen an Huble-Einheiten innerhalb des EWR, die der DSGVO unterliegen, und Huble-Einheiten innerhalb des Vereinigten Königreichs, die dem britischen Datenschutzrecht unterliegen, diesem Mechanismus entsprechen);
7.2.2. falls von Huble umgesetzt, verbindliche Unternehmensregeln im Einklang mit den Bestimmungen von Absatz 11(3), SDPA;
7.2.3. die ASEAN MCCs, die durch Verweis in diesen AVV aufgenommen wurden, wie in Anhang 2 dieser Anlage enthalten; oder
7.2.4. alle anderen rechtmäßigen Datenübertragungsmechanismen, wie sie in SDPA vorgesehen sind.

8. Kanada
Für Zwecke dieses Anhangs zum Datenschutz:
8.1. "Datenschutzrecht" (wie in diesem AVV definiert) umfasst das kanadische Bundesgesetz zum Schutz personenbezogener Informationen und elektronischer Dokumente (PIPEDA").
8.2. "Auftragsverarbeiter" (wie in diesem AVV definiert) schließt eine "Drittorganisation" gemäß Definition in PIPEDA ein.
8.3. "Personenbezogene Daten" (wie in diesem AVV definiert) umfassen "Personenbezogene Informationen" gemäß Definition in PIPEDA.
8.4. "Datenschutzverletzung" (wie in diesem AVV definiert) schließt eine "Verletzung der Sicherheitsvorkehrungen" gemäß Definition in PIPEDA ein.

 

9. Allgemeines
In Fällen, in denen die EU 2021 SCCs oder ASEAN MCCs gelten und es einen Konflikt zwischen den Bedingungen dieses Anhangs zum Datenschutz und den Bedingungen der EU 2021 SCCs oder ASEAN MCCs gibt, haben die Bedingungen der EU 2021 SCCs oder ASEAN MCCs Vorrang. 

Anhang 1 Zu Anlage 3: Ergänzende Massnahmen

Dieser Anhang 1 zu Anlage 3 ("Anhang") bietet den betroffenen Personen, deren personenbezogene Kundendaten gemäß den EU 2021 SCCs an Huble übermittelt werden, zusätzliche Garantien und Rechtsmittel. Dieser Anhang ergänzt und ist Teil der EU 2021 SCC, stellt jedoch keine Änderung oder Ergänzung dar.

1. Anwendbarkeit dieses Anhangs
1.1. Dieser Anhang gilt nur für beschränkte internationale Übermittlungen, wenn die EU 2021 SCCs gemäß dieser Änderung und seinen Anlagen auf solche beschränkten internationalen Übermittlungen anwendbar sind.

Definitionen
2.1. Für die Zwecke der Auslegung dieses Anhangs haben die folgenden Begriffe die nachstehend angegebene Bedeutung:
2.2. "Datenimporteur" und "Datenexporteur" haben die gleiche Bedeutung, die ihnen in Anlage 1 in Verbindung mit Anlage 3 zugewiesen wird.
2.3. "Anfrage zur Offenlegung" ist jede Anfrage einer Strafverfolgungsbehörde oder einer anderen staatlichen Behörde mit zuständiger Befugnis und Gerichtsbarkeit über den Datenimporteur zur Offenlegung von personenbezogenen Kundendaten, die im Rahmen dieses AVVs verarbeitet werden
2.4. "EO 12333" bezeichnet die U.S. Executive Order 12333.
2.5. "FISA" ist der U.S. Foreign Intelligence Surveillance Act.
2.6. "Beschränkte internationale Übermittlungen" bedeutet eine beschränkte Übermittlung personenbezogener Daten aus dem EWR oder eine beschränkte Übermittlung personenbezogener Daten aus dem Vereinigten Königreich, wie in Anlage 3 definiert.
2.7. "Schrems II-Urteil" ist das Urteil des Europäischen Gerichtshofs in der Rechtssache C-311/18, Datenschutzbeauftragter gegen Facebook Ireland Limited und Maximilian Schrems.

3. Anwendbarkeit der Überwachungsgesetze auf den Datenimporteur und seine beauftragten Unterauftragsverarbeiter
3.1. U.S.-Überwachungsgesetze
3.1.1. Der Datenimporteur sichert zu und gewährleistet, dass er zum Zeitpunkt des Inkrafttretens dieses Anhangs zum Datenschutz keine nationalen Sicherheitsbefehle der in den Randnummern 150-202 des Urteils Schrems II beschriebenen Art erhalten hat.
3.1.2. Der Datenimporteur versichert, dass er vernünftigerweise davon ausgeht, dass er nicht dazu berechtigt ist, Informationen, Einheiten oder Unterstützung jeglicher Art gemäß FISA-Abschnitt 702 bereitzustellen, weil:
3.1.2.1. Kein Gericht festgestellt hat, dass der Datenimporteur ein Rechtsträger ist, der für die Entgegennahme von Rechtsmitteln nach FISA Abschnitt 702 in Frage kommt: (i) ein "Anbieter elektronischer Kommunikationsdienste" im Sinne von 50 U.S.C. § 1881(b)(4); oder (ii) ein Rechtsträger, der zu einer der in dieser Definition beschriebenen Kategorien von Rechtsträgern gehört.
3.1.2.2. Selbst wenn der Datenimporteur für ein Verfahren nach FISA-Abschnitt 702 in Frage käme, wovon er nicht ausgeht, ist er dennoch nicht die Art von Anbieter, die für eine UPSTREAM-Erhebung nach FISA-Abschnitt 702 in Frage kommt, wie in den Randnummern 62 und 179 des Schrems II-Urteils beschrieben.
3.1.2.3. Die EO 12333 gibt der US-Regierung nicht die Möglichkeit, die Unterstützung des Datenimporteurs bei der Massenerhebung von Informationen anzuordnen oder zu verlangen. Der Datenimporteur wird keine Maßnahmen gemäß U.S. Executive Order 12333 ergreifen.
3.2. Allgemeine Bestimmungen über die für den Datenimporteur geltenden Überwachungsgesetze
Die Parteien garantieren, dass sie keinen Grund zu der Annahme haben, dass die Gesetze und Praktiken im Bestimmungsdrittland der personenbezogenen Kundendaten, die für die Verarbeitung personenbezogener Kundendaten durch den Datenimporteur gelten, einschließlich etwaiger Anforderungen an die Offenlegung personenbezogener Kundendaten oder Maßnahmen, die den Zugriff von Behörden zulassen, den Datenimporteur daran hindern, seine Verpflichtungen gemäß den EU 2021 SCC (soweit anwendbar) zu erfüllen. 
3.2.2. Der Datenimporteur überwacht alle rechtlichen oder politischen Entwicklungen, die dazu führen könnten, dass er seinen Verpflichtungen im Rahmen der EU 2021 SCC und dieses Anhangs nicht mehr nachkommen kann, und unterrichtet den Datenexporteur unverzüglich über alle derartigen Änderungen und Entwicklungen. Der Datenexporteur informiert den Datenexporteur nach Möglichkeit über solche Änderungen und Entwicklungen vor deren Umsetzung.

4. Verpflichtungen des Datenimporteurs im Zusammenhang mit Offenlegungsanfragen
4.1. Erhält der Datenimporteur eine Offenlegungsanfrage, so ist er verpflichtet:
4.1.1. den Datenexporteur unverzüglich (und nach Möglichkeit vor der Weitergabe der übermittelten personenbezogenen Kundendaten an die Behörde) über die Offenlegungsanfrage zu informieren und, soweit möglich, die betroffene Person zu benachrichtigen, es sei denn, dies ist gesetzlich untersagt, oder, falls dies untersagt ist, den Datenexporteur zu benachrichtigen, alle rechtmäßigen Anstrengungen zu unternehmen, um das Recht zu erhalten, auf das Verbot zu verzichten, um dem Datenexporteur so bald wie möglich Informationen über die Offenlegungsanfrage zu übermitteln. Dazu gehört unter anderem, dass die anfragende Behörde über die Unvereinbarkeit der Offenlegungsanfrage mit den in den EU 2021 SCC enthaltenen Garantien und dem daraus resultierenden Pflichtkonflikt für den Datenimporteur informiert und diese Mitteilung dokumentiert wird.
4.1.2. die Behörde, die die Offenlegungsanfrage gestellt hat, zu bitten, ihre Anfrage an den Datenexporteur weiterzuleiten, um die Durchführung der Offenlegung zu kontrollieren.
4.1.3. alle rechtmäßigen Anstrengungen zu unternehmen, um die Offenlegungsanfrage auf der Grundlage von Rechtsmängeln nach dem Recht der ersuchenden Partei oder von Konflikten mit dem Recht der Europäischen Union oder dem geltenden Recht der EWR-Mitgliedstaaten oder anderem Datenschutzrecht anzufechten, und zu verlangen, dass die Behörde versucht, diese Informationen durch Zusammenarbeit mit Regierungsstellen in jeder Gerichtsbarkeit zu erhalten (z. B. durch einen alternativ etablierten Vertrag oder Mechanismus, der den Informationsaustausch zwischen Regierungen ermöglicht).
4.1.4. einstweilige Maßnahmen zu beantragen, um die Wirkungen der Offenlegungsanfrage auszusetzen, bis ein zuständiges Gericht in der Sache entschieden hat.
4.1.5. Die angeforderten personenbezogenen Kundendaten erst dann offenlegen, wenn dies nach den geltenden Verfahrensvorschriften erforderlich ist.
4.1.6. bei der Beantwortung der Anfrage nur so viele Informationen anzugeben, wie bei einer vernünftigen Auslegung der Anfrage zulässig sind.
4.1.7. alle Schritte zu dokumentieren, die der Datenimporteur im Zusammenhang mit der Offenlegungsanfrage unternommen hat.
4.2. Für die Zwecke dieses Abschnitts umfassen rechtmäßige Bemühungen keine Handlungen, die nach dem Recht des betreffenden Landes zivil- oder strafrechtlich geahndet würden, wie z. B. die Missachtung eines Gerichts.

5. Informationen über Anfragen nach personenbezogenen Daten durch öffentliche Behörden
5.1. Der Datenimporteur verpflichtet sich, dem Datenexporteur hinreichend detaillierte Informationen über alle Anfragen von Behörden nach personenbezogenen Daten zur Verfügung zu stellen, die der Datenimporteur über einen bestimmten Zeitraum erhalten hat (falls vorhanden), insbesondere in den Bereichen der nachrichtendienstlichen, strafverfolgenden, administrativen und regulatorischen Überwachung, die auf die übermittelten Daten anwendbar sind, sowie Informationen über die eingegangenen Anfragen, die angeforderten Daten, die anfragende Stelle sowie die Rechtsgrundlage für die Weitergabe und den Umfang, in dem der Datenimporteur die angeforderten personenbezogenen Daten weitergegeben hat. Der Datenimporteur kann die Mittel zur Bereitstellung dieser Informationen auswählen.

6. Backdoors
6.1.1. Der Datenimporteur bestätigt, dass:
Er nicht absichtlich Backdoors oder ähnliche Programmierungen für Regierungsbehörden geschaffen hat, die verwendet werden könnten, um auf die Systeme des Datenimporteurs oder auf personenbezogene Kundendaten zuzugreifen, die den EU 2021 SCCs unterliegen.
6.1.2. Er seine Geschäftsprozesse nicht absichtlich in einer Weise geschaffen oder geändert hat, die den staatlichen Zugriff auf personenbezogene Kundendaten oder Systeme erleichtert.
6.1.3. Nationale Gesetze oder Regierungsrichtlinien verpflichten den Datenimporteur nicht, Backdoors zu schaffen oder zu unterhalten oder den Zugriff zu personenbezogenen Kundendaten oder Systemen zu erleichtern.
6.2. Der Datenexporteur ist berechtigt, den Vertrag mit einer Frist von 30 Tagen schriftlich gegenüber dem Datenimporteur zu kündigen, wenn der Datenimporteur das Vorhandensein einer Backdoor oder ähnlicher Programmierungen oder manipulierter Geschäftsprozesse oder die Notwendigkeit, diese zu implementieren, nicht offenlegt oder den Datenexporteur nicht unverzüglich informiert, sobald er von deren Existenz Kenntnis erlangt.

7. Informationen über gesetzliche Verbote
7.1. Der Datenimporteur informiert den Datenexporteur über die gesetzlichen Verbote, die dem Datenimporteur die Erteilung von Informationen nach diesem Anhang untersagen. Der Datenimporteur kann die Mittel zur Bereitstellung dieser Informationen auswählen.

8. Zusätzliche Maßnahmen zur Verhinderung des Zugriffs von Behörden auf personenbezogene Kundendaten
8.1. Ungeachtet der Anwendung der in diesem AVV festgelegten Sicherheitsmaßnahmen wird der Datenimporteur die folgenden technischen, organisatorischen, administrativen und physischen Maßnahmen ergreifen, um die übermittelten personenbezogenen Kundendaten zu schützen:
8.1.1. Verschlüsselung der übertragenen personenbezogenen Kundendaten während der Übertragung mit dem Transport Layer Security (TLS) Protokoll Version 1.2 oder aktueller mit einer Mindestverschlüsselung von 128 Bit;
8.1.2. Verschlüsselung im Ruhezustand innerhalb der vom Datenimporteur verwendeten Softwareanwendungen mit mindestens AES-256;
8.1.3. Aktive Überwachung und Protokollierung von Netzwerk- und Datenbankaktivitäten auf potenzielle Sicherheitsereignisse, einschließlich Eindringen;
Regelmäßiges Scannen und Überwachen aller nicht autorisierten Softwareanwendungen und IT-Systeme auf Schwachstellen des Datenimporteurs;
8.1.5. Beschränkung des physischen und logischen Zugriffs auf IT-Systeme, die personenbezogene Kundendaten verarbeiten, für die offiziell befugten Personen, die nachweislich einen solchen Zugriff benötigen;
8.1.6. Firewall-Schutz der externen Verbindungspunkte in der Netzarchitektur des Datenimporteurs;
8.1.7. Beschleunigte Behebung bekannter vulnerabler Schwachstellen in den vom Datenimporteur verwendeten Softwareanwendungen und IT-Systemen; sowie
8.1.8. Interne Richtlinien, die folgendes festlegen:
8.1.8.1. dass es dem Datenimporteur gesetzlich untersagt ist, den Datenexporteur oder die betroffene Person über eine Anfrage oder eine Anordnung einer Behörde in Bezug auf übermittelte personenbezogene Kundendaten zu unterrichten, so berücksichtigt der Datenimporteur die Gesetze anderer Rechtsordnungen und bemüht sich nach besten Kräften, die Aufhebung etwaiger Vertraulichkeitsanforderungen zu beantragen, damit er die zuständigen Aufsichtsbehörden unterrichten kann;
8.1.8.2. der Datenimporteur muss ein offizielles, unterzeichnetes Dokument verlangen, das gemäß den geltenden Gesetzen der anfragenden Drittpartei ausgestellt wurde, bevor er einen Antrag auf Zugriff zu den übermittelten personenbezogenen Kundendaten prüft; 
8.1.8.3. der Datenimporteur prüft jede Anfrage auf ihre Rechtsgültigkeit und lehnt im Rahmen dieses Verfahrens jede Anfrage ab, die er für ungültig hält; 
8.1.8.4. wenn der Datenimporteur rechtlich verpflichtet ist, einer Anordnung nachzukommen, wird er so genau wie möglich auf die spezifische Anfrage reagieren; und
8.1.8.5. Erhält der Datenimporteur eine Anfrage von Behörden um freiwillige Zusammenarbeit, dürfen personenbezogene Kundendaten, die im Klartext übermittelt werden, nur mit ausdrücklicher Zustimmung des Datenexporteurs an Behörden weitergegeben werden.

9. Unfähigkeit, diesen Anhang und die EU 2021 SCCs zu erfüllen
9.1. Stellt der Datenimporteur fest, dass er nicht mehr in der Lage ist, seinen vertraglichen Verpflichtungen gemäß diesem Anhang nachzukommen, kann der Datenexporteur die Übermittlung der personenbezogenen Kundendaten unverzüglich aussetzen und/oder den Hauptvertrag unter Einhaltung einer Frist von 30 Tagen schriftlich kündigen. 
9.2. Stellt der Datenimporteur fest, dass er nicht mehr in der Lage ist, die EU 2021 SCCs oder diesen Anhang einzuhalten, gibt der Datenimporteur die personenbezogenen Kundendaten, die er im Einklang mit den EU 2021 SCCs erhalten hat, zurück oder löscht sie. Ist die Rückgabe oder Löschung der erhaltenen personenbezogenen Kundendaten nicht möglich, muss der Datenimporteur die Daten sicher verschlüsseln, ohne unbedingt die Anweisungen des Datenexporteurs abzuwarten.
9.3. Der Datenimporteur muss dem Datenexporteur ausreichende Angaben machen, damit dieser seine Pflicht zur Aussetzung oder Beendigung der Übermittlung personenbezogener Kundendaten und/oder zur Beendigung des Vertrags mit einer Frist von 30 Tagen schriftlich mitteilen kann.

10. Kündigung
Dieser Anhang endet automatisch in Bezug auf die Verarbeitung personenbezogener Kundendaten, die unter Berufung auf die EU 2021 SCCs übermittelt werden, wenn die Europäische Kommission oder eine zuständige Aufsichtsbehörde einen anderen Übermittlungsmechanismus genehmigt, der auf die von den EU 2021 SCCs abgedeckten beschränkten internationalen Übermittlungen anwendbar wäre (und wenn ein solcher Mechanismus nur auf einige der Datenübermittlungen anwendbar ist, endet dieser Anhang nur in Bezug auf diese Übermittlungen) und der nicht die in diesem Anhang dargelegten zusätzlichen Garantien erfordert.

Anhang 2 Zu Anlage 3: ASEAN MCCS

Modul 1: Vertragliche Bestimmungen für Übertragungen zwischen Verantwortlichen und Auftragsverarbeitern
1. Definitionen 
1.1. "AMS-Gesetz": Alle schriftlichen Gesetze eines ASEAN-Mitgliedstaates, die sich auf den Datenschutz beziehen (oder zumindest für die Übermittlung personenbezogener Daten relevant sind) und denen der Datenexporteur oder der Datenimporteur (oder beide) unterliegt. 
1.2. "Datenschutzverletzung": Jeder Verlust oder jede unbefugte Nutzung, Vervielfältigung, Änderung, Offenlegung oder Vernichtung von bzw. jeder Zugriff auf personenbezogene Daten, die im Rahmen dieses Vertrags übermittelt werden. 
1.3. "Datenexporteur": Die Partei, die im Rahmen dieses Vertrags personenbezogene Daten an den Datenimporteur übermittelt. 
1.4. "Datenimporteur": Die Partei, die personenbezogene Daten vom Datenimporteur zur Verarbeitung im Rahmen dieses Vertrags erhält. 
1.5. "Unterauftragsverarbeiter von Daten": Jede natürliche oder juristische Person, die vom Datenimporteur beauftragt werden kann, den Datenexporteur bei der Verarbeitung personenbezogener Daten im Namen des Datenexporteurs zu unterstützen. 
1.6. "Durchsetzungsbehörde": Jede öffentliche Behörde, die durch das anwendbare AMS-Gesetz ermächtigt ist, das anwendbare AMS-Gesetz umzusetzen und durchzusetzen. 
1.7. "Personenbezogene Daten": Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("Betroffene Person") beziehen und im Rahmen dieses Vertrags übermittelt werden. 
1.8. "Verarbeitung": Jeder Vorgang oder jede Reihe von Vorgängen, die mit personenbezogenen Daten oder einer Reihe von personenbezogenen Daten durchgeführt werden, unabhängig davon, ob dies mit automatisierten Mitteln geschieht oder nicht, einschließlich beispielsweise der Erhebung, Verwendung und Weitergabe personenbezogener Daten. 

2. Pflichten des Datenexporteurs 
Der Datenexporteur garantiert, sichert zu und verpflichtet sich, dass: 
2.1. Die personenbezogenen Daten im Rahmen dieses Vertrags in Übereinstimmung mit dem geltenden AMS-Gesetz erhoben, verwendet, offengelegt und an den Datenimporteur übermittelt wurden. In Ermangelung eines solchen Gesetzes wurde die betroffene Person, soweit dies vernünftig und praktikabel ist, über den Zweck / die Zwecke der Erhebung, Verwendung, Offenlegung und / oder Übermittlung ihrer personenbezogenen Daten informiert und hat ihre Zustimmung dazu erteilt. 
2.2. Alle personenbezogenen Daten, die im Rahmen dieses Vertrags übermittelt wurden, sind in dem Maße richtig und vollständig, wie es für die vom Datenexporteur angegebenen Zwecke erforderlich ist, um die Bestimmungen von Klausel 2.1 zu erfüllen. 
2.3. Der Datenexporteur trifft angemessene technische und betriebliche Maßnahmen, um die Sicherheit der personenbezogenen Daten während der Übermittlung an den Datenimporteur zu gewährleisten. 
2.4. Der Datenexporteur antwortet auf Anfragen von Betroffenen oder Vollstreckungsbehörden bezüglich der Verarbeitung personenbezogener Daten durch den Datenimporteur, wie es das anwendbare AMS-Gesetz verlangt, einschließlich Anfragen auf Zugriff oder Berichtigung personenbezogener Daten, es sei denn, die Parteien haben schriftlich vereinbart, dass der Datenimporteur darauf antwortet, und eine solche Delegation ist nach dem anwendbaren AMS-Recht zulässig. Die Beantwortung solcher Anfragen hat innerhalb eines angemessenen Zeitrahmens oder innerhalb des Zeitrahmens und in der Art und Weise zu erfolgen, wie dies gegebenenfalls nach dem geltenden AMS-Gesetz vorgeschrieben ist. 

3. Pflichten des Datenimporteurs 
Der Datenimporteur garantiert, sichert zu und verpflichtet sich, dass: 
3.1. Der Datenimporteur die personenbezogenen Daten nur gemäß den Anweisungen des Datenexporteurs und für die in Anlage 1 des AVVs beschriebenen Zwecke verarbeiten darf. 
3.2. Der Datenimporteur die personenbezogenen Daten, die er vom Datenexporteur erhält, nicht an eine andere Person, eine Vollstreckungsbehörde oder eine juristische Person, auch nicht an Unterauftragsverarbeiter von Daten, weitergeben oder übermitteln darf, es sei denn, er hat den Datenexporteur schriftlich von einer solchen Weitergabe oder Übermittlung in Kenntnis gesetzt und dem Datenexporteur in angemessener Weise Gelegenheit gegeben, dem zu widersprechen. 
3.3. Der Datenimporteur sich damit einverstanden erklärt, dass der Datenimporteur vor jeder Offenlegung oder Übermittlung personenbezogener Daten an Drittparteien, einschließlich Unterauftragsverarbeitern, sicherstellt, dass die Drittpartei den Verpflichtungen des Datenimporteurs gegenüber dem Datenexporteur unterliegt und an diese gebunden ist. 
3.4. Der Datenimporteur dem Datenexporteur unverzüglich alle Betroffenenanfragen in Bezug auf die vom Datenexporteur übermittelten personenbezogenen Daten mitteilt und sie an ihn weiterleitet, einschließlich Anfragen auf Zugriff oder Berichtigung der personenbezogenen Daten. 
3.5. Nach Beendigung dieses Vertrages oder nach Abschluss der im Rahmen dieses Vertrages erforderlichen Verarbeitung, gibt der Datenimporteur nach Wahl des Datenexporteurs entweder die gemäß diesem Vertrag in seinem Besitz befindlichen personenbezogenen Daten an den Datenexporteur zurück oder stellt die Aufbewahrung dieser personenbezogenen Daten in der vom Datenexporteur genehmigten Weise ein. Der Datenimporteur erklärt sich bereit, dies dem Datenexporteur schriftlich zu bestätigen, sobald Maßnahmen ergriffen wurden, um die Aufbewahrung dieser personenbezogenen Daten einzustellen. 
3.6. Der Datenimporteur ergreift angemessene und geeignete technische, administrative, betriebliche und physische Maßnahmen, die mit den geltenden AMS-Gesetzen im Einklang stehen, um die Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten zu schützen, insbesondere gegen das Risiko von Datenschutzverletzungen. 
3.7. Stellt der Datenimporteur fest, dass eine Datenschutzverletzung vorliegt, die personenbezogene Daten in seinem Besitz oder unter seiner Kontrolle oder im Besitz oder unter der Kontrolle eines Importeurs einer Weitergabe oder Übermittlung personenbezogener Daten betrifft, so benachrichtigt er den Datenexporteur ohne unangemessene Verzögerung.
3.8. Der Datenimporteur benachrichtigt und konsultiert den Datenexporteur unverzüglich im Hinblick auf jede Untersuchung bezüglich der Erhebung, Verwendung, Weitergabe, Offenlegung, Sicherheit oder Entsorgung der im Rahmen dieses Vertrags übermittelten personenbezogenen Daten, sofern dies nicht gesetzlich verboten ist. 
3.9. Der Datenimporteur unterstützt den Datenexporteur auf Anfrage unverzüglich im Sinne von Klausel 2.4 und, sofern der Datenimporteur schriftlich zugestimmt hat, reagiert er auf Anfragen von Betroffenen oder Vollzugsbehörden bezüglich seiner Verarbeitung personenbezogener Daten, wenn er vom Datenexporteur darüber informiert wird. 

Kommerzielle Bestandteile

4. Rechtswahl; Streitfälle: 
4.1. Dieser Vertrag ist nach dem Recht der Republik Singapur auszulegen. 
4.2. Im Falle eines Konflikts oder einer Unstimmigkeit zwischen Klauseln in diesem Vertrag und dem AMS-Gesetz ist das anwendbare AMS-Gesetz maßgebend. 

5. Aussetzung von Übertragungen 
5.1. Verstößt der Datenimporteur gegen seine Verpflichtungen aus diesem Vertrag oder gegen geltendes AMS-Recht, so kann der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur vorübergehend aussetzen, bis der Verstoß behoben oder die Verarbeitung im Rahmen dieses Vertrags beendet ist. 

Vertragskündigung 
6.1 Für den Fall, dass: 
6.1.1. die Übermittlung personenbezogener Daten an den Datenimporteur vom Datenexporteur vorübergehend für länger als 60 Tage gemäß Klausel 5.1 temporär ausgesetzt wurde; 
6.1.2. die Einhaltung dieses Vertrags durch den Datenimporteur einen Verstoß gegen seine Verpflichtungen nach dem Recht des Landes, in dem er die personenbezogenen Daten verarbeitet, darstellen würde; 
der Datenimporteur in erheblichem Maße gegen seine Verpflichtungen aus diesem Vertrag verstößt; 
6.1.3. der Datenimporteur seinen Betrieb freiwillig oder unfreiwillig einstellt, seine Absicht bekannt gibt, den Betrieb einzustellen, oder alle oder im Wesentlichen alle seine Vermögenswerte auf ein nicht verbundenes Unternehmen überträgt, 
so ist der Datenexporteur unbeschadet aller anderen Rechte, die er gegenüber dem Datenimporteur hat, berechtigt, diesen Vertrag zu kündigen. In den unter (6.1.1) oder (6.1.2) genannten Fällen kann auch der Datenimporteur diesen Vertrag kündigen. 
6.2. Für den Fall, dass: 
6.2.1. die Einhaltung dieses Vertrages durch den Datenexporteur einen Verstoß gegen seine gesetzlichen Verpflichtungen darstellen würde; 
6.2.2. der Datenexporteur in erheblichem Maße gegen seine Verpflichtungen aus diesem Vertrag verstößt; 
6.2.3. der Datenexporteur seinen Betrieb freiwillig oder unfreiwillig einstellt, seine Absicht bekannt gibt, den Betrieb einzustellen, oder sein gesamtes Vermögen oder einen wesentlichen Teil davon an ein nicht verbundenes Unternehmen überträgt, 
so ist der Datenimporteur unbeschadet aller anderen Rechte, die er gegenüber dem Datenexporteur hat, berechtigt, diesen Vertrag zu kündigen. In den unter (6.2.1) genannten Fällen kann auch der Datenexporteur diesen Vertrag kündigen. 
6.3. Die Parteien sind sich darüber einig, dass die Beendigung dieses Vertrags zu jedem Zeitpunkt, unter allen Umständen und aus welchem Grund auch immer, sie nicht von den Verpflichtungen dieses Vertrags hinsichtlich der Rückgabe oder Löschung der übermittelten personenbezogenen Daten entbindet. 

7. Abweichung 
7.1. Die Parteien können diesen Vertrag durch schriftliche Vereinbarung anpassen oder ändern, wenn dies mit den Grundsätzen des ASEAN-Rahmens für den Schutz personenbezogener Daten vereinbar ist oder wenn dies nach dem geltenden AMS-Recht erforderlich ist. Dies schließt nicht aus, dass die Vertragsparteien im Wege einer schriftlichen Vereinbarung Klauseln hinzufügen oder ändern, die ihren kommerziellen oder geschäftlichen Vereinbarungen entsprechen. 

8. Beschreibung zur Übermittlung 
8.1. Die Einzelheiten der Übermittlung und die betroffenen personenbezogenen Daten sind in Anhang 1 des AVVs aufgeführt. 

Zusätzliche Bedingungen Für Einzelne Rechtsmittel

Dieser Abschnitt enthält die zusätzlichen Bestimmungen und ist als Teil des beigefügten Vertrags zwischen den Parteien zu betrachten. Wörter und Ausdrücke, die in diesen zusätzlichen Bedingungen eine bestimmte Bedeutung haben, haben die gleiche Bedeutung im Vertrag. Im Falle von Widersprüchen zwischen diesen zusätzlichen Bedingungen und dem Vertrag haben diese zusätzlichen Bedingungen Vorrang. 

Einzelne Rechtsmittel: 
1.1. Die Vertragsparteien erkennen an, dass das Recht der Republik Singapur den Betroffenen das Recht einräumt, die Datenschutzgarantien und -verpflichtungen dieses Vertrags als Drittbegünstigte durchzusetzen. Die Parteien vereinbaren, dass dieser Vertrag die Rechte der betroffenen Personen nach dem Recht der Republik Singapur wahrt. 
1.2. Betroffene Personen können gegen den Datenexporteur (Klauseln 2.1 und 2.4) als Drittbegünstigte vorgehen. 
1.3. Betroffene Personen können gegen den Datenimporteur vorgehen (Klausel 3.4). 
1.4. Betroffene Personen  können gegen Unterauftragsverarbeiter vorgehen (Klauseln2.1, 2.4 und 3.4), wenn sowohl der Datenexporteur als auch der Datenimporteur ihren Betrieb eingestellt haben, rechtlich nicht mehr bestehen oder ihr gesamtes oder im Wesentlichen gesamtes Vermögen auf eine nicht verbundene Einheit übertragen haben, so dass die nicht verbundene Einheit die rechtlichen Verpflichtungen des Datenexporteurs vertraglich oder von Rechts wegen übernommen hat. 
1.5. Soweit dies nach dem anwendbaren AMS-Recht zulässig ist, können die betroffenen Personen für Verstöße gegen diesen Vertrag Schadenersatz entweder vom Datenimporteur und / oder vom Datenexporteur verlangen (wie im anwendbaren AMS-Recht vorgeschrieben oder, wenn dieses Recht keine Bestimmungen über die Aufteilung des Schadenersatzes enthält, zu gleichen Teilen vom Datenimporteur und vom Datenexporteur). 
1.6. Die Parteien haben keine Einwände dagegen, dass eine betroffene Person durch eine andere Stelle vertreten wird, wenn die betroffene Person dies ausdrücklich wünscht und eine solche Vertretung nach geltendem Recht zulässig ist. 

Zusätzliche Bedingungen Für Einzelne Rechtsmittel

Dieser Abschnitt enthält die zusätzlichen Bestimmungen und ist als Teil des beigefügten Vertrags zwischen den Parteien zu betrachten. Wörter und Ausdrücke, die in diesen zusätzlichen Bedingungen eine bestimmte Bedeutung haben, haben die gleiche Bedeutung im Vertrag. Im Falle von Widersprüchen zwischen diesen zusätzlichen Bedingungen und dem Vertrag haben diese zusätzlichen Bedingungen Vorrang. 

Einzelne Rechtsmittel:

1.1. - Die Vertragsparteien erkennen an, dass das Recht der Republik Singapur den Betroffenen das Recht einräumt, die Datenschutzgarantien und -verpflichtungen dieses Vertrags als Drittbegünstigte durchzusetzen. Die Parteien vereinbaren, dass dieser Vertrag die Rechte der betroffenen Personen nach dem Recht der Republik Singapur wahrt.  

1.2. - Betroffene Personen können gegen den Datenexporteur (Klauseln 2.1 und 2.4) als Drittbegünstigte vorgehen.  

1.3. - Betroffene Personen können gegen den Datenimporteur vorgehen (Klausel 3.4).  

1.4. - Betroffene Personen  können gegen Unterauftragsverarbeiter vorgehen (Klauseln2.1, 2.4 und 3.4), wenn sowohl der Datenexporteur als auch der Datenimporteur ihren Betrieb eingestellt haben, rechtlich nicht mehr bestehen oder ihr gesamtes oder im Wesentlichen gesamtes Vermögen auf eine nicht verbundene Einheit übertragen haben, so dass die nicht verbundene Einheit die rechtlichen Verpflichtungen des Datenexporteurs vertraglich oder von Rechts wegen übernommen hat.  

1.5. - Soweit dies nach dem anwendbaren AMS-Recht zulässig ist, können die betroffenen Personen für Verstöße gegen diesen Vertrag Schadenersatz entweder vom Datenimporteur und / oder vom Datenexporteur verlangen (wie im anwendbaren AMS-Recht vorgeschrieben oder, wenn dieses Recht keine Bestimmungen über die Aufteilung des Schadenersatzes enthält, zu gleichen Teilen vom Datenimporteur und vom Datenexporteur). 

1.6. - Die Parteien haben keine Einwände dagegen, dass eine betroffene Person durch eine andere Stelle vertreten wird, wenn die betroffene Person dies ausdrücklich wünscht und eine solche Vertretung nach geltendem Recht zulässig ist.