ANHANG 1

Zusatz zur Auftragsverarbeitung gemäß Art. 28, Abs. 3 DSGVO

Letzte Aktualisierung: 5. Juli 2018

Dieser ZUSATZ ZUR AUFTRAGSVERARBEITUNG (AV-VERTRAG) regelt die Übermittlung, Erhebung, Vernichtung und Verarbeitung PERSONENBEZOGENER DATEN zwischen SMART Technologies ULC (SMART) und:

  • jedem Kunden („KUNDE“), der SMART Hardware, Software oder Dienste („DIENST“) installiert oder nutzt.
  • einem Vertragspartner im Rahmen der SMART ENDBENUTZER-LIZENZVEREINBARUNG (EULA)
  • einem Vertragspartner im Rahmen einer anderen Vereinbarung als der EULA zur Bereitstellung von SMART Produkten oder Diensten (im Folgenden gemeinsam als der „VERTRAG" bezeichnet) für KUNDEN und NUTZER DES KUNDEN (sowohl SMART als auch der KUNDE werden im Folgenden jeweils als die „PARTEI“ und zusammen als die „PARTEIEN“ bezeichnet).

Die PARTEIEN erklären sich mit den nachstehenden Geschäftsbedingungen einverstanden, die in Kraft treten mit:

(i) dem WIRKSAMKEITSDATUM des VERTRAGS zwischen den PARTEIEN

ODER

(ii) dem Datum der ersten Übermittlung oder Weitergabe PERSONENBEZOGENER DATEN durch den KUNDEN oder durch NUTZER DES KUNDEN an SMART („WIRKSAMKEITSDATUM”).

Alle groß geschriebenen Begriffe, die hier nicht definiert sind, haben die ihnen im VERTRAG zugeschriebene Bedeutung.

1. BEGRIFFSERKLÄRUNGEN:

1.1. NUTZER DES KUNDEN sind alle natürlichen Personen, die im Auftrag des KUNDEN oder mit dessen Befugnis auf die DIENSTE zugreifen oder diese nutzen, einschließlich, aber nicht beschränkt auf: Mitarbeiter, Klienten, Endbenutzer, Vertragsnehmer, Schüler/Studenten und Lehrkräfte.

1.2. DATEN bezieht sich auf PERSONENBEZOGENE DATEN und NICHT-PERSONENBEZOGENE DATEN.

1.3. VERANTWORTLICHER hat dieselbe Bedeutung wie in der DSGVO definiert und ist in diesem Kontext der KUNDE.

1.4. AUFTRAGSVERARBEITER hat dieselbe Bedeutung wie in der DSGVO definiert und ist in diesem Kontext SMART.

1.5. DSGVO bezieht sich auf die VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 und hebt die RICHTLINIE 95/46/EG (DATENSCHUTZRICHTLINIE) auf.

1.6. NICHT-PERSONENBEZOGENE DATEN sind alle Arten von Daten oder Informationen, die im Zusammenhang mit einem KUNDEN oder einem NUTZER DES KUNDEN stehen und bei denen es sich nicht um PERSONENBEZOGENE DATEN handelt.

1.7. PERSONENBEZOGENE DATEN, VERARBEITUNG und BESONDERE KATEGORIEN PERSONENBEZOGENER DATEN haben dieselbe Bedeutung wie in der DSGVO definiert.

1.8. DIENSTE bezieht sich auf die Bereitstellung von Produkten und Diensten, die SMART einem KUNDEN gemäß einem VERTRAG bereitstellt.

1.9. UNTERAUFTRAGSVERARBEITER bezeichnet jeden AUFTRAGSVERARBEITER, den SMART mit der Durchführung bestimmter Aktivitäten in Verbindung mit der VERARBEITUNG PERSONENBEZOGENER DATEN im Auftrag des KUNDEN beauftragt.

1.10. EU bezeichnet die Europäische Union, EWR bezeichnet den Europäischen Wirtschaftsraum.

2. GEGENSTAND DIESES ZUSATZES ZUR AUFTRAGSVERARBEITUNG (AV-VERTRAG) IST DIE VERARBEITUNG PERSONENBEZOGENER DATEN DURCH SMART IM AUFTRAG DES KUNDEN. IN DIESEM KONTEXT AGIERT SMART ALS AUFTRAGSVERARBEITER DES KUNDEN UND DER KUNDE ALS VERANTWORTLICHER, D. H. ALS DIE FÜR DIE VERARBEITUNG VON KUNDENDATEN (DATEN DES KUNDEN UND DATEN VON NUTZERN DES KUNDEN) VERANTWORTLICHE STELLE.

Dieser AV-VERTRAG gilt für KUNDENDATEN, die durch SMART verarbeitet werden. In diesem Kontext agiert SMART als AUFTRAGSVERARBEITER des KUNDEN und der KUNDE als VERANTWORTLICHER, d. h. als die für die Verarbeitung von KUNDENDATEN (Daten des KUNDEN und Daten von NUTZERN DES KUNDEN) verantwortliche Stelle.

2.1. Die PARTEIEN vereinbaren und gewährleisten, dass PERSONENBEZOGENE DATEN auf rechtmäßige, faire und transparente Weise verarbeitet werden und dass folgende Bedingungen erfüllt werden:

  • Die Erhebung PERSONENBEZOGENER DATEN erfolgt ausschließlich zu festgelegten, eindeutigen und rechtmäßigen Zwecken.
  • Die erhobenen PERSONENBEZOGENEN DATEN sind angemessen, relevant und auf das für den Zweck beabsichtigte erforderliche Maß beschränkt.
  • Die PERSONENBEZOGENEN DATEN sind korrekt und werden erforderlichenfalls auf dem aktuellen Stand gehalten.
  • Die PERSONENBEZOGENEN DATEN werden nur so lange gespeichert, wie es für die angegebenen Verarbeitungszwecke notwendig ist.

2.2. Bei der Erbringung von DIENSTEN für einen KUNDEN ist es möglicherweise gelegentlich erforderlich, dass der KUNDE bestimmte PERSONENBEZOGENE DATEN, die den KUNDEN selbst oder NUTZER DES KUNDEN betreffen, an SMART weitergibt.

2.3. PERSONENBEZOGENE DATEN werden vom KUNDEN ausschließlich in Übereinstimmung mit den hier festgelegten Geschäftsbedingungen und anwendbarem Recht hochgeladen, übermittelt, verarbeitet oder weitergegeben. Der KUNDE setzt SMART davon in Kenntnis, sollte er der Ansicht sein, dass ein Hochladen, eine VERARBEITUNG, eine Übermittlung oder eine Weitergabe PERSONENBEZOGENER DATEN nicht gemäß den hier genannten Bestimmungen erfolgt.

2.4. SMART verarbeitet die PERSONENBEZOGENEN DATEN von NUTZERN DES KUNDEN. Dabei ist es von der Art der Organisation des KUNDEN abhängig, wer diese Nutzer sind. Wenn es sich bei dem KUNDEN beispielsweise um ein Unternehmen handelt, sind die betroffenen Personen die Mitarbeiter des Unternehmens.

2.5. SMART verarbeitet die folgenden Kategorien personenbezogener Daten:

  • Nutzerdaten für Software, darunter Prüfungsergebnisse, von Nutzern erstellte Inhalte, Klassenzugehörigkeit, Absturz-Daten, Bezirks-ID und Bezirksname, IP-Adresse (sofern nicht durch den Nutzer anonymisiert), Schulname, selbst gewählte Klassen- oder Meeting-Bezeichnungen, Benutzernamen, Schülergerätetyp, Betriebssystem, E-Mail von Schülern, Schülernamen, E-Mail-Adressen von Lehrkräften/Administratoren, Lehrernamen;
  • Nutzerdaten für Hardware, darunter Modellnummer, Art und Version des Betriebssystems, Details zum Anwendungsbuild, Marke (SMART), verwendeter Browser, Informationen basiered auf IP-Adresse (Ort, Land, Region, Bildschirm-DPI, Bildschirmhöhe und -breite, Zeitstempel.

2.6. SMART verarbeitet PERSONENBEZOGENE DATEN zu folgenden Zwecken:

  • Zum Bereitstellen von DIENSTEN für die NUTZER DES KUNDEN wie im VERTRAG beschrieben, einschließlich Aktualisierungen und Wartungsdiensten.
  • Zum Kontaktieren der NUTZER DES KUNDEN im Zusammenhang mit den DIENSTEN
  • Zur Authentifizierung von NUTZERN DES KUNDEN
  • Zur Sicherheit und zum Schutz der Integrität von DIENSTEN sowie zum Treffen von Vorkehrungen, um sich vor Haftungsansprüchen zu schützen
  • Zur Vertragserfüllung und zur Wahrnehmung und Ausübung der darin festgelegten Rechte und Pflichten von SMART, sofern eine derartige VERARBEITUNG nach anwendbarem Recht zulässig ist

2.7. Vom KUNDEN werden keine PERSONENBEZOGENEN DATEN, die zu BESONDEREN KATEGORIEN PERSONENBEZOGENER DATEN zählen, für SMART hochgeladen oder an SMART übermittelt, weitergegeben bzw. anderweitig zur Verfügung gestellt.

2.8. Vorbehaltlich gesetzlicher und steuerlicher Bestimmungen werden alle im Auftrag des KUNDEN VERARBEITETEN PERSONENBEZOGENEN DATEN auf Anfrage oder innerhalb eines betriebswirtschaftlich angemessenen Zeitrahmens nach Kündigung oder Ablauf des VERTRAGS oder der DIENSTE von SMART und seinen UNTERAUFTRAGSVERARBEITERN gelöscht oder zurückgegeben.

2.9. SMART bewahrt PERSONENBEZOGENE DATEN solange auf, wie dies für folgende Zwecke notwendig ist:

  1. zum Erfüllen der hier genannten VERARBEITUNGSZWECKE und
  2. zum Einhalten gesetzlicher Vorgaben.

2.10. Der KUNDE weist SMART hiermit an, die durch den KUNDEN oder die NUTZER DES KUNDEN im Zusammenhang mit den DIENSTEN an SMART übermittelten oder weitergegebenen PERSONENBEZOGENE DATEN im Auftrag des Kunden zu VERARBEITEN.

2.11. SMART nutzt Cookies oder vergleichbare Technologien zum Erfassen von DATEN. Der KUNDE erteilt SMART hiermit die ausdrücklich Berechtigung, Cookies und vergleichbare Technologien in Verbindung mit der Bereitstellung der DIENSTE zu nutzen.

2.12. Der KUNDE kann SMART jederzeit anweisen, die VERARBEITUNG seiner PERSONENBEZOGENEN DATEN zu beenden. Für DIENSTE, die als Folge einer derartigen Beendigung der VERARBEITUNG PERSONENBEZOGENER DATEN nicht länger bereitgestellt werden können, wird keine Rückerstattung geleistet.

2.13. SMART verarbeitet PERSONENBEZOGENE DATEN nur gemäß schriftlich dokumentierter Anweisungen vom KUNDEN. Die in diesem AV-VERTRAG, den GESCHÄFTSBEDINGUNGEN, dem VERTRAG und auf andere Weise getroffenen Vereinbarungen zwischen den PARTEIEN bilden die dokumentierten Anweisungen des KUNDEN für SMART gemäß Artikel 28 der DSGVO.

3. Unterauftragsverarbeitung

3.1. Sofern die jeweiligen UNTERAUFTRAGSVERARBEITER die Vorgaben der DSGVO erfüllen, erteilt der KUNDE SMART hiermit die ausdrückliche Genehmigung, UNTERAUFTRAGSVERARBEITER zur Bereitstellung von DIENSTEN in Anspruch zu ziehen. SMART informiert den KUNDEN rechtzeitig vor der Ermächtigung eines neuen UNTERAUFTRAGSVERARBEITERS und der KUNDE hat das Recht, einer derartigen Ermächtigung aus gutem Grund zu widersprechen. Eine aktuelle Liste mit UNTERAUFTRAGSVERARBEITERN, die derzeit von SMART mit der Ausübung bestimmter Verarbeitungsaktivitäten beauftragt sind, ist in Anlage 1 aufgeführt. Der KUNDE erteilt seine ausdrückliche Genehmigung für die Inanspruchnahme der in Anhang 1 aufgeführte UNTERAUFTRAGSVERARBEITER.

3.2. SMART ermächtigt einen UNTERAUFTRAGSVERARBEITER ausschließlich unter Einhaltung folgender Bedingungen:

  • SMART beschränkt den Zugriff des UNTERAUFTRAGSVERARBEITERS auf KUNDENDATEN auf das notwendige Maß, das zum Erbringen der angebotenen Dienstleistungen oder zum Bereitstellen der DIENSTE für den KUNDEN und die NUTZER DES KUNDEN erforderlich ist. SMART stellt sicher, dass der UNTERAUFTRAGSVERARBEITER ausschließlich zu den genannten und keinen anderen Zwecken auf KUNDENDATEN zugreift.
  • SMART schließt einen Vertrag mit dem UNTERAUFTRAGSVERARBEITER, in dem der UNTERAUFTRAGSVERARBEITER schriftlich an dieselben Datenschutzauflagen wie die in diesem AV-VERTRAG festgelegten Auflagen gebunden wird, insbesondere die Implementierung geeigneter technischer und organisatorischer Maßnahmen, um die Einhaltung der in der DSGVO genannten Vorgaben sicherzustellen.
  • SMART bleibt verantwortlich für die Einhaltung der in diesem AV-VERTRAG genannten Verpflichtungen und für jede Handlung oder Unterlassung des UNTERAUFTRAGSVERARBEITERS, die zur Folge hat, dass SMART seine Verpflichtungen aus diesem AV-VERTRAG verletzt.

4. INTERNATIONALE ÜBERMITTLUNG VON DATEN

4.1. Der KUNDE bestätigt, dass SMART ein internationales Unternehmen ist und dass PERSONENBEZOGENE DATEN innerhalb der Region gespeichert werden, die der Heimatrechtsordnung des KUNDEN entspricht, sowie nach Kanada und in die USA übermittelt werden. Die Europäische Kommission erkennt Kanada als Land mit angemessenem Datenschutzniveau an. Darüber hinaus werden Organisationen innerhalb der USA, die gemäß dem EU-US-Privacy Shield zertifiziert sind, als Organisationen mit einem angemessenen Datenschutzniveau anerkannt und dürfen daher an sie übermittelte PERSONENBEZOGENE DATEN ohne weitere Sicherheitsmaßnahmen empfangen.

4.2. Bei Übermittlung PERSONENBEZOGENER DATEN an ein Drittland außerhalb der EU oder des EWR trifft SMART geeignete Sicherheitsmaßnahmen, um ein angemessenes Schutzniveau zu bieten, das unbeabsichtigte oder unrechtmäßige Sicherheitsverstöße wie Vernichtung, Verlust, Änderung und unbefugte Offenlegung von übermittelten PERSONENBEZOGENEN DATEN sowie den unberechtigten Zugriff darauf verhindert und das dem Datenschutzniveau innerhalb der EU/des EWR entspricht. Dies beinhaltet den Abschluss von EU-Standardvertragsklauseln.

4.3. Der KUNDE ist allein dafür verantwortlich, alle notwendigen Einwilligungen von den NUTZERN DES KUNDEN zur Übermittlung ihrer PERSONENBEZOGENEN DATEN einzuholen.

5. RECHTE BETROFFENER PERSONEN

5.1. SMART unterstützt den KUNDEN darin, dem Ersuchen einer BETROFFENEN PERSON gemäß Kapitel 3 der DSGVO nachzukommen: Sobald der KUNDE sich mit einer entsprechenden Anfrage per Telefon unter der Nummer +1 (888) 427-6278 an SMART gewandt hat, stellt SMART dem KUNDEN die erforderliche Unterstützung bereit. Damit wird es dem KUNDEN ermöglicht, seine von SMART gespeicherten PERSONENBEZOGENEN DATEN binnen 30 Tagen nach Erhalt eines derartigen Ersuchens zu prüfen sowie zu korrigieren (falls erforderlich), zu löschen, zu empfangen und zu sperren. Sofern sich herausstellt, dass PERSONENBEZOGENE DATEN falsch oder nicht mehr aktuell sind, kann der KUNDE die betreffenden Daten korrigieren und aktualisieren, indem er SMART die entsprechenden Informationen bereitstellt.

5.2. Sofern auf den KUNDEN und die DIENSTE anwendbar, hat der KUNDE das Recht die Übertragbarkeit seiner PERSONENBEZOGENEN DATEN zu erwirken.

5.3. Der KUNDE übernimmt die alleinige Haftung für die Einhaltung der Verpflichtungen im Hinblick auf die Grundrechte und Freiheiten von NUTZERN DES KUNDEN gemäß Kapitel 3 der DSGVO oder anderem anwendbarem Recht. SMART unterstützt den KUNDEN wie unter Punkt 5.1 beschrieben.

5.4. Die PARTEIEN vereinbaren, dass SMART nicht verpflichtet ist, auf Anfragen und Anweisungen von NUTZERN DES KUNDEN zu reagieren bzw. diesen nachzukommen. Wenn SMART eine direkte Anfrage von einem NUTZER DES KUNDEN oder einer anderen betroffenen Person erhält, ist SMART ausschließlich dazu verpflichtet, den KUNDEN über derartige Anfragen oder Anweisungen zu informieren, der dann formal eine entsprechende Anfrage an SMART, wie unter Punkt 5.1 beschrieben, richten kann.

5.5. SMART unternimmt wirtschaftlich angemessene und vertretbare Anstrengungen, um den KUNDEN nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei zu unterstützen, seiner Pflicht zur Beantwortung von Anfragen von NUTZERN DES KUNDEN auf Wahrnehmung ihrer Rechte gemäß anwendbarem Recht nachzukommen.

6. NICHT-PERSONENBEZOGENE DATEN

6.1. SMART erhebt ausschließlich PERSONENBEZOGENE DATEN zu den NUTZERN DES KUNDEN, die der KUNDE für SMART im Rahmen der vertraglich vereinbarten und durch SMART zu erbringenden DIENSTE bereitgestellt hat.

6.2. Hinsichtlich NICHT-PERSONENBEZOGENER DATEN und anonymisierten Daten erklärt der KUNDE, dass SMART uneingeschränkte Rechte an derartigen Informationen besitzt und dass SMART diese Informationen ohne Einschränkungen nutzen darf.

6.3. NICHT-PERSONENBEZOGENE DATEN werden hauptsächlich zur Durchführung von Marketing-Anaysen und zur kontinuierlichen Verbesserung und Wartung der DIENSTE erhoben, einschließlich, aber nicht beschränkt auf Wahrung der technischen Funktionalität der SMART DIENSTE, Vermeidung einer betrügerischen Nutzung der DIENSTE und Entwicklung neuer Dienste und Produkte.

7. MELDUNGEN

7.1. Wenn SMART eine Verletzung des Schutzes PERSONENBEZOGENER DATEN feststellt, wird SMART den betroffenen KUNDEN unverzüglich und nicht später als 72 Stunden nach Bekanntwerden des Vorfalls in Kenntnis setzen, es sei denn, die Verletzung des Schutzes PERSONENBEZOGENER DATEN wird voraussichtlich nicht zu einem Risiko der Grundrechte und Grundfreiheiten natürlicher Personen führen. Darüber hinaus wird Smart geeignete Abhilfemaßnahmen ergreifen, um die Auswirkungen zu beheben und jeglichen Schaden zu minimieren, der sich aus einer Verletzung des Schutzes PERSONENBEZOGENER DATEN ergibt.

7.2. SMART wird eine derartige Verletzung des Schutzes PERSONENBEZOGENER DATEN in deutlicher und verständlicher Sprache kommunizieren. Eine derartige Mitteilung enthält mindestens die folgenden Angaben:

  • Kontaktdaten des DATENCHUTZBEAUFTRAGTEN oder eines sonstigen Ansprechpartners,
  • eine Beschreibung der Art der Verletzung des Schutzes PERSONENBEZOGENER DATEN,
  • eine Beschreibung der voraussichtlichen Folgen der Verletzung des Schutzes PERSONENBEZOGENER DATEN,
  • Ratschläge zu möglichen Schritten, die die betroffene Person zu ihrem eigenen Schutz unternehmen kann, und
  • eine Beschreibung der von SMART ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes PERSONENBEZOGENER DATEN.

7.3. SMART kann Daten an Vollzugs- oder Aufsichtsbehörden sowie an andere Behörden oder Dritte weitergeben, wenn SMART in gutem Glauben davon überzeugt ist, dass dies im Rahmen eines Rechtsverfahrens oder einer gerichtlichen Anordnung notwendig ist, jedoch mit der Maßgabe, dass SMART den KUNDEN schriftlich über alle rechtlich bindenden Aufforderungen einer Vollstreckungsbehörde zur Weitergabe PERSONENBEZOGENER DATEN informiert, es sei denn, dies wäre anderweitig untersagt, beispielsweise durch ein strafrechtliches Verbot zur Wahrung des Untersuchungsgeheimnisses bei strafrechtlichen Ermittlungen.

8. ZUSICHERUNGEN UND VERPFLICHTUNGEN DER PARTEIEN

8.1. Im Zusammenhang mit der Übermittlung, Verarbeitung oder Weitergabe PERSONENBEZOGENER DATEN durch den KUNDEN und die NUTZER DES KUNDEN und jeglicher VERARBEITUNG derartiger PERSONENBEZOGENEN DATEN durch SMART vereinbaren die PARTEIEN hiermit, dass:

  • Der KUNDE im Rahmen dieses VERTRAGS als VERANTWORTLICHER für alle derartigen PERSONENBEZOGENEN DATEN fungiert und allein und vollständig alle Verantwortlichkeiten, Verpflichtungen und Haftungsverbindlichkeiten übernimmt, die ihm in seiner Rolle als VERANTWORTLICHER für PERSONENBEZOGENE DATEN gemäß DSGVO auferlegt werden.
  • SMART als AUFTRAGSVERARBEITER derartiger PERSONENBEZOGENER DATEN fungiert und allein und vollständig alle Verantwortlichkeiten, Verpflichtungen und Haftungsverbindlichkeiten übernimmt, die SMART gemäß DSGVO als AUFTRAGSVERARBEITER von PERSONENBEZOGENEN DATEN auferlegt werden.

8.2. Als VERANTWORTLICHER erklärt der KUNDE, dass es in seiner Verantwortung liegt, die NUTZER DES KUNDEN verständlich und ausdrücklich über die VERARBEITUNG ihrer PERSONENBEZOGENEN DATEN zu informieren, einschließlich der VERARBEITUNG durch SMART, gemäß und in Übereinstimmung mit der durch den KUNDEN erfolgten Beauftragung von SMART. Der KUNDE erklärt darüber hinaus, dass er über alle erforderlichen Berechtigungen und Genehmigungen verfügt, um PERSONENBEZOGENE DATEN an SMART gemäß diesem AV-VERTRAG und dem VERTRAG weiterzugeben.

8.3. Jede PARTEI implementiert geeignete technische und organisatorische Maßnahmen gemäß Art. 32 der DSGVO, um ein angemessenes Schutzniveau zur Vermeidung von Risiken sicherzustellen, die mit der VERARBEITUNG verbunden sind, insbesondere Vernichtung, Verlust und Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung bzw. unbefugter Zugang zu PERSONENBEZOGENEN DATEN.

8.4. SMART stellt dem KUNDEN alle erforderlichen Informationen zur Verfügung, um Compliance mit den in Art. 28 der DSGVO dargelegten Verpflichtungen nachzuweisen, und ermöglicht sowie trägt zu Überprüfungen bei, einschließlich Inspektionen, die vom KUNDEN oder einem anderen von diesem beauftragten Prüfer auf Kosten des KUNDEN durchgeführt werden. Erforderliche Informationen zum Nachweis der Compliance können in Form von Zertifizierungen durch unabhängige Dritte bereitgestellt werden. SMART kann, nach eigenem Ermessen, anstelle einer Inspektion die erforderlichen Informationen zum Nachweis der Compliance durch die Bereitstellung geeigneter, von unabhängigen Stellen (z. B. beauftragte Wirtschaftsprüfer, Datenschutzprüfer, IT-Sicherheitsprüfer) ausgestellten Dokumente und Zertifizierungen erbringen. Wünscht der Kunde, selbst eine Inspektion durchzuführen oder diese durch einen Prüfer durchführen zu lassen,

  1. müssen der KUNDE und SMART ein bestimmtes Datum für die Inspektion vereinbaren,
  2. sind sämtliche Kosten und Aufwendungen, die bei SMART durch die Inspektion entstehen, vom KUNDEN zu tragen, und
  3. sind der KUNDE oder der von ihm beauftragte Prüfer an die Wahrung absoluter Vertraulichkeit im Hinblick auf Informationen gebunden, die für die Geschäftsinteressen von SMART relevant sind.

8.5. SMART unterhält ein Informationssicherheitsprogramm (einschließlich Einführung und Durchsetzung interner Richtlinien und Verfahren) zu folgenden Zwecken:

  1. DSGVO-Anforderungen erfüllen
  2. Vernünftigerweise vorhersehbare und interne Sicherheitsrisiken und unberechtigten Zugriff auf das SMART Netzwerk erkennen
  3. Sicherheitsrisiken minimieren, einschließlich durch Risikobewertung und regelmäßige Prüfungen

SMART ernennt einen oder mehrere Mitarbeiter, die für die Informationssicherheit bei SMART verantwortlich sind und damit verbundene Maßnahmen koordinieren. SMART prüft regelmäßig die Netzwerksicherheit des Unternehmens sowie die Zulänglichkeit des Informationssicherheitsprogramms, indem branchenspezifische Sicherheitsstandards mit unternehmenseigenen Richtlinien und Verfahren verglichen werden. SMART prüft kontinuierlich die Sicherheit seines Netzwerks und seiner Dienste und bestimmt, ob zusätzliche oder andere Sicherheitsmaßnahmen erforderlich sind, um auf neue Sicherheitsrisiken oder auf Prüfergebnisse zu reagieren.

8.6. SMART erklärt und gewährleistet, dass Mitarbeiter, Auftragnehmer, Agenten oder UNTERAUFTRAGSVERARBEITER von SMART, denen SMART die Genehmigung zur Verarbeitung PERSONENBEZOGENER DATEN im Auftrag des KUNDEN erteilt hat, geeigneten vertraglichen Verpflichtungen unterliegen.

8.7. SMART stellt sicher, dass Mitarbeiter und andere zur Verarbeitung PERSONENBEZOGENER DATEN berechtigte Personen sich vertraglich zur Vertraulichkeit verpflichtet haben oder durch entsprechende gesetzliche Auflagen zur Vertraulichkeit verpflichtet sind.

8.8. Unter Berücksichtigung der Rolle des AUFTRAGSVERARBEITERS, die SMART im Rahmen dieses VERTRAGS ausübt, unterstützt SMART den KUNDEN dabei, Compliance mit den Verpflichtungen gemäß Art. 32–36 der DSGVO sicherzustellen.

8.9. SMART verarbeitet Personenbezogene Daten ausschließlich im Auftrag des KUNDEN und gemäß den hier festgelegten Anweisungen, in Übereinstimmung mit dem VERTRAG oder anderweitig zwischen den Parteien vereinbarten Bestimmungen. SMART informiert den VERANTWORTLICHEN unverzüglich, wenn SMART der Ansicht ist, dass eine Anweisung gegen die Bestimmungen der DSGVO oder andere Datenschutzbestimmungen der EU oder eines EU-Mitgliedsstaats verstößt.

8.10. Die PARTEIEN verarbeiten PERSONENBEZOGENE DATEN ausschließlich rechtmäßig in Übereinstimmung mit anwendbarem Recht, einschließlich der Bestimmungen der DSGVO.

8.11. Der KUNDE nutzt die DIENSTE ausschließlich gemäß geltenden gesetzlichen Bestimmungen.

9. GÜLTIGKEIT UND LAUFZEIT

9.1. Dieser AV-VERTRAG tritt mit dem WIRKSAMKEITSDATUM in Kraft und behält seine Gültigkeit bis zur Kündigung oder bis zum Ablauf des zutreffenden VERTRAGS.

10. ALLGEMEINE BEDINGUNGEN

10.1. Bei Widersprüchen zwischen den Bestimmungen dieses AV-VERTRAGS und den Bestimmungen des VERTRAGS, gehen die Bestimmungen dieses AV-VERTRAGS bezüglich der Datenschutz- und Vertraulichkeitsverpflichtungen der PARTEIEN vor.

10.2. SMART erklärt sich bereit, ein Exemplar dieses AV-VERTRAGS bei der zuständigen Aufsichtsbehörde zu hinterlegen, wenn diese ein derartiges Exemplar anfordert oder wenn anwendbares Datenschutzrecht die Hinterlegung eines Exemplars erfordert.

10.3. Die PARTEIEN bestätigen, dass zuständige Aufsichtsbehörden berechtigt sind, eine Prüfung der PARTEIEN vorzunehmen.

10.4. Sollte eine Bestimmung dieses AV-VERTRAGS durch ein zuständiges Gericht als undurchführbar oder unwirksam erklärt werden, wird diese Bestimmung lediglich im unbedingt nötigen Umfang beschränkt oder gestrichen, sodass die übrigen Bestimmungen dieses AV-VERTRAGS davon unberührt und voll wirksam bleiben.

10.5. Dieser AV-VERTRAG unterliegt demselben Recht wie der VERTRAG und wird gemäß diesem Recht ausgelegt. Für jede Klage in Verbindung mit diesem AV-VERTRAG sind ausschließlich die im Vertrag angegebenen Gerichte zuständig.