Datenverarbeitungsvereinbarung

Diese Datenverarbeitungsvereinbarung („DPA“), die zwischen dem Kunden von Mimeo, der in der jeweiligen Dienstleistungsvereinbarung von Mimeo angegeben ist („Kunde“) und dem Unternehmen, der Tochtergesellschaft oder dem verbundenen Unternehmen von Mimeo, das in der Dienstleistungsvereinbarung von Mimeo angegeben ist („Mimeo“) abgeschlossen wird, regelt die Verarbeitung von personenbezogenen Daten, die der Kunde hochlädt oder Mimeo auf andere Weise in Verbindung mit den Diensten zur Verfügung stellt, sowie die Verarbeitung von personenbezogenen Daten, die Mimeo hochlädt oder dem Kunden auf andere Weise in Verbindung mit den Diensten zur Verfügung stellt. Die Parteien verpflichten sich, die folgenden Bestimmungen bezüglich personenbezogener Daten einzuhalten, wobei jede Partei angemessen und in gutem Glauben handeln muss.

Diese DPA ist Bestandteil der entsprechenden, zuvor vom Kunden abgeschlossenen Dienstleistungsvereinbarung von Mimeo, die in dieser DPA allgemein als der „Vertrag von Mimeo“ bezeichnet wird. Die DPA (einschließlich der Standardvertragsklauseln (SCC), wie in dieser Vereinbarung definiert), der Vertrag von Mimeo und alle anwendbaren Formulare von Mimeo werden in dieser DPA gemeinsam als die „Vereinbarung“ bezeichnet. Im Falle einer Widersprüchlichkeit oder eines Konflikts zwischen den Bestimmungen der Vereinbarung sind die Bestimmungen der folgenden Dokumente (in der angegebenen Rangfolge) maßgebend: (a) die SCC; (b) diese DPA; (c) der Vertrag von Mimeo. Sofern nicht ausdrücklich in dieser DPA geändert, bleiben der Vertrag von Mimeo und, falls zutreffend, alle Formulare von Mimeo unverändert und in vollem Umfang gültig und wirksam. Diese DPA ersetzt keine vergleichbaren oder zusätzlichen Rechte in Bezug auf die Verarbeitung von Kundendaten, die im Vertrag von Mimeo (einschließlich eines eventuell bestehenden Zusatzes bezüglich der Datenverarbeitung zum Vertrag von Mimeo) enthalten sind.

1 BEGRIFFSBESTIMMUNGEN

Verantwortlicher“ bezeichnet den Kunden.

Auftragsverarbeiter“ bezeichnet Mimeo.

Geschäftszweck“ bezeichnet die in der jeweiligen Dienstleistungsvereinbarung von Mimeo beschriebenen Dienstleistungen.

CCPA“ bezeichnet den California Consumer Privacy Act, kalifornisches Bürgerliches Gesetzbuch § 1798.100 ff, und seine Durchführungsbestimmungen.

Verantwortlicher an Verantwortlicher SCC“ bezeichnet die Standardvertragsklauseln (Übermittlungen von Verantwortlichem zu Verantwortlichem – Satz II) im Anhang zum Beschluss der Europäischen Kommission vom 27. Dezember 2004, wie sie von Zeit zu Zeit von der Europäischen Kommission geändert oder ersetzt werden können.

Verantwortlicher an Auftragsverarbeiter SCC“ bezeichnet die Standardvertragsklauseln (Auftragsverarbeiter) im Anhang zum Beschluss der Europäischen Kommission vom 5. Februar 2010, wie sie von Zeit zu Zeit von der Europäischen Kommission geändert oder ersetzt werden können.

Personenbezogene Daten des Kunden“ bezeichnet personenbezogene Daten, (i) die der Kunde hochlädt oder Mimeo anderweitig in Verbindung mit seiner Nutzung der Dienste von Mimeo zur Verfügung stellt oder (ii) für die der Kunde anderweitig ein Verantwortlicher ist.

Datenschutzanforderungen“ bezeichnet die Richtlinie, die Datenschutz-Grundverordnung, lokale Datenschutzgesetze, alle untergeordneten Gesetze und Verordnungen zur Umsetzung der Datenschutz-Grundverordnung sowie alle Datenschutzgesetze.

Betroffene Person“ eine Person, die Gegenstand von personenbezogenen Daten ist.

Richtlinie“ bezeichnet die EU-Richtlinie 95/46/EG zum Schutz personenbezogener Daten (in der jeweils gültigen Fassung).

Europäische personenbezogene Daten“ bezeichnet personenbezogene Daten, deren Weitergabe gemäß dieser Vereinbarung durch die Richtlinie, die Datenschutz-Grundverordnung und lokale Datenschutzgesetze geregelt ist.

Datenschutz-Grundverordnung oder DSGVO“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), einschließlich der nach dem Recht des Vereinigten Königreichs umgesetzten oder angenommenen Fassung.

Lokale Datenschutzgesetze“ bezeichnet alle untergeordneten Gesetze und Verordnungen, einschließlich der Gesetze und Verordnungen der Europäischen Union, des Europäischen Wirtschaftsraums und ihrer Mitgliedsstaaten, der Schweiz, des Vereinigten Königreichs und der Vereinigten Staaten von Amerika und deren Einzelstaaten, die auf die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung in ihrer jeweils gültigen Fassung anwendbar sind.

Personenbezogene Daten“ bezeichnet Informationen über eine Person, die (a) dazu verwendet werden können, eine bestimmte Person zu identifizieren, zu kontaktieren oder ausfindig zu machen, einschließlich Daten, die der Kunde Mimeo über die Dienste zur Verfügung stellt; (b) mit anderen Informationen kombiniert werden können, um eine bestimmte Person zu identifizieren, zu kontaktieren oder ausfindig zu machen oder (c) gemäß den geltenden Gesetzen oder Vorschriften über die Erfassung, Verwendung, Speicherung oder Weitergabe von Informationen einer identifizierbaren Person als „personenbezogene Daten“ oder „persönliche Informationen“ definiert sind.

Verletzung des Schutzes personenbezogener Daten“ bezeichnet jede versehentliche oder unrechtmäßige Zerstörung, jeden Verlust, jede Änderung, jede unbefugte Weitergabe oder jeden unbefugten Zugriff auf die personenbezogenen Daten des Kunden.

Datenschutzgesetze“ bezeichnet alle geltenden Gesetze, Verordnungen und sonstigen rechtlichen Bestimmungen in Bezug auf (a) Datenschutz, Datensicherheit, Verbraucherschutz, Marketing, Werbung und Textnachrichten, E-Mail- und sonstige Kommunikation sowie (b) die Verwendung, Erfassung, Aufbewahrung, Speicherung, Sicherung, Weitergabe, Übermittlung, Entsorgung und sonstige Verarbeitung von personenbezogenen Daten.

Verarbeitung, verarbeitet und verarbeiten“ bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten oder einer Reihe personenbezogener Daten wie z. B. Erhebung, Erfassung, Organisation, Strukturierung, Speicherung, Anpassung oder Veränderung, Abruf, Abfrage, Nutzung, Weitergabe durch Übermittlung, Verbreitung oder sonstige Bereitstellung, Abgleich oder Kombination, Einschränkung, Löschung oder Vernichtung.

Standardvertragsklauseln (SCC)“ bezeichnet alle Verantwortlicher an Auftragsverarbeiter SCC und Verantwortlicher an Verantwortlicher SCC, die zwischen den Parteien im Rahmen der Vereinbarung abgeschlossen werden, sofern anwendbar, oder die Standardvertragsklauseln der Europäischen Kommission für die Übermittlung von personenbezogenen Daten gemäß dem Beschluss der Europäischen Kommission (C92010)593) vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter mit Sitz in Drittländern, die kein angemessenes Schutzniveau für Daten gewährleisten.

Unterauftragsverarbeiter“ bezeichnet jedes Unternehmen, gegenüber dem Mimeo Verarbeitungsdienstleistungen erbringt, um die Verarbeitung durch Mimeo im Auftrag des Kunden zu fördern.

Aufsichtsbehörde“ bezeichnet eine unabhängige öffentliche Behörde, die von einem Mitgliedstaat der Europäischen Union gemäß der Datenschutz-Grundverordnung eingerichtet wurde, oder, für das Vereinigte Königreich, das Information Commissioner’s Office („ICO“).

2 ART DER DATENVERARBEITUNG

Jede Partei erklärt sich damit einverstanden, die im Rahmen der Vereinbarung erhaltenen personenbezogenen Daten nur für die in der Vereinbarung festgelegten Zwecke zu verarbeiten. Anlage A beschreibt die allgemeinen Kategorien der personenbezogenen Daten, die Mimeo zur Erfüllung der Geschäftszwecke der Vereinbarung verarbeiten darf, und die Arten der betroffenen Personen.

3 EINHALTUNG VON GESETZEN

Die Parteien sind verpflichtet, ihren jeweiligen Verpflichtungen aus allen geltenden datenrechtlichen Vorschriften nachzukommen.

4 VERPLICHTUNGEN DES KUNDEN

Der Kunde erklärt sich mit Folgendem einverstanden:

4.1  Der Kunde erteilt Mimeo Anweisungen und bestimmt den Zweck und die allgemeinen Mittel der Verarbeitung der personenbezogenen Daten des Kunden durch Mimeo gemäß der Vereinbarung.

4.2  Der Kunde ist verpflichtet, seine Verpflichtungen in Bezug auf den Schutz, die Sicherheit und andere Verpflichtungen in Bezug auf die personenbezogenen Daten des Kunden einzuhalten, die in den Datenschutzanforderungen für Verantwortliche vorgeschrieben sind, indem er: (a) ein Verfahren zur Ausübung der Rechte der Personen, deren personenbezogene Kundendaten im Auftrag des Kunden verarbeitet werden, einrichtet und aufrechterhält; (b) nur Daten verarbeitet, die rechtmäßig und zulässig erhoben wurden, und sicherstellt, dass diese Daten für die jeweiligen Verwendungszwecke relevant und verhältnismäßig sind, und (c) die Einhaltung der Bestimmungen dieser Vereinbarung durch seine Mitarbeiter oder durch Dritte, die in seinem Auftrag auf personenbezogene Kundendaten zugreifen oder diese verwenden, sicherstellt. Der Kunde erkennt ausdrücklich an, dass seine Inanspruchnahme der Dienste nicht die Rechte einer betroffenen Person verletzt, die sich gegen einen Verkauf oder eine sonstige Weitergabe von personenbezogenen Daten entschieden hat, soweit dies gemäß dem CCPA anwendbar ist.

5 VERPFLICHTUNGEN VON MIMEO

5.1 Anforderungen an die Verarbeitung. Mimeo verpflichtet sich zu Folgendem:

5.1.1 Verarbeitung der personenbezogenen Daten des Kunden (i) nur zum Zweck der Bereitstellung, Unterstützung und Verbesserung der Dienste von Mimeo (einschließlich der Bereitstellung von Erkenntnissen und anderen Berichten) unter Verwendung angemessener technischer und organisatorischer Sicherheitsmaßnahmen und (ii) in Übereinstimmung mit den vom Kunden erteilten Anweisungen. Mimeo wird die personenbezogenen Daten des Kunden nicht für andere Zwecke verwenden oder verarbeiten. Mimeo wird den Kunden unverzüglich schriftlich informieren, wenn Mimeo die Anforderungen gemäß den Abschnitten 5 bis 8 dieser DPA nicht erfüllen kann, wobei der Kunde in diesem Fall berechtigt ist, die Vereinbarung zu kündigen oder jede andere angemessene Maßnahme zu ergreifen, einschließlich der Einstellung der Datenverarbeitung.

5.1.2 Mimeo wird den Kunden unverzüglich informieren, wenn nach Ansicht von Mimeo eine Anweisung des Kunden gegen geltende Datenschutzanforderungen verstößt.

5.1.3 Wenn Mimeo im Auftrag des Kunden personenbezogene Daten von natürlichen Personen erhebt, befolgt Mimeo die Anweisungen des Kunden in Bezug auf die Erhebung dieser personenbezogenen Daten des Kunden (einschließlich in Bezug auf die Bereitstellung von Benachrichtigungen und die Ausübung der Wahlmöglichkeit).

5.1.4 Mimeo ergreift wirtschaftlich angemessene Maßnahmen, um sicherzustellen, dass (i) die von Mimeo beschäftigten Personen und (ii) andere Personen, die im Auftrag von Mimeo tätig sind, die Bedingungen der Vereinbarung einhalten.

5.1.5 Mimeo stellt sicher, dass seine Mitarbeiter, Bevollmächtigten und alle Unterauftragsverarbeiter die Vertraulichkeit der personenbezogenen Daten des Kunden wahren und respektieren, auch nach Beendigung ihres jeweiligen Beschäftigungsverhältnisses, Vertrags oder Auftrags.

5.1.6 Wenn Mimeo beabsichtigt, Unterauftragsverarbeiter zu beauftragen, damit diese Mimeo bei der Erfüllung seiner Verpflichtungen gemäß dieser DPA unterstützen, oder alle oder einen Teil der Verarbeitungstätigkeiten an solche Unterauftragsverarbeiter zu delegieren, (i) muss Mimeo, mit Ausnahme der Liste der Unterauftragsverarbeiter, die Mimeo führt, die vorherige schriftliche Zustimmung des Kunden zu einer solchen Unterbeauftragung einholen, wobei diese Zustimmung nicht unangemessen verweigert werden darf; (ii) haftet Mimeo gegenüber dem Kunden weiterhin für die Handlungen und Unterlassungen der Unterauftragsverarbeiter in Bezug auf den Datenschutz, wenn diese Unterauftragsverarbeiter auf Anweisung von Mimeo handeln und (iii) trifft Mimeo mit diesen Unterauftragsverarbeitern vertragliche Vereinbarungen, die sie dazu verpflichten, dasselbe Datenschutz- und Informationssicherheitsniveau zu gewährleisten, wie es in dieser Vereinbarung vorgesehen ist.

5.1.7 Mimeo wird dem Kunden auf dessen schriftliche Aufforderung hin eine Zusammenfassung der Datenschutz- und Sicherheitsrichtlinien von Mimeo zur Verfügung stellen.

5.2 Benachrichtigung des Kunden. Mimeo wird den Kunden über Folgendes informieren, sobald Mimeo davon Kenntnis erlangt:

5.2.1 Jegliche Nichteinhaltung der Abschnitte 5 bis 8 dieser DPA oder der Datenschutzanforderungen in Bezug auf den Schutz der gemäß dieser DPA verarbeiteten personenbezogenen Daten des Kunden durch Mimeo oder seine Mitarbeiter.

5.2.2 Jegliche rechtsverbindliche Aufforderung zur Offenlegung der personenbezogenen Daten des Kunden durch eine Strafverfolgungsbehörde, es sei denn, es ist Mimeo anderweitig gesetzlich untersagt, den Kunden zu informieren, z. B. zur Wahrung der Vertraulichkeit einer Untersuchung durch Strafverfolgungsbehörden.

5.2.3 Jegliche Mitteilung, Anfrage oder Untersuchung durch eine Aufsichtsbehörde in Bezug auf die personenbezogenen Daten des Kunden.

5.2.4 Jegliche Beschwerden oder Anfragen (insbesondere Anfragen nach Auskunft, Berichtigung oder Sperrung der personenbezogenen Daten des Kunden), die direkt von den betroffenen Personen des Kunden eingehen. Mimeo wird ohne vorherige schriftliche Genehmigung des Kunden nicht auf eine solche Anfrage reagieren.

5.3 Unterstützung des Kunden. Mimeo wird den Kunden in angemessener Weise bei Folgendem unterstützen:

5.3.1 Bei allen Anfragen von betroffenen Personen des Kunden in Bezug auf Auskunft oder Berichtigung, Entfernung, Einschränkung, Übertragbarkeit, Sperrung oder Löschung von personenbezogenen Daten des Kunden, die Mimeo für den Kunden verarbeitet. Für den Fall, dass eine betroffene Person eine solche Anfrage direkt an Mimeo übermittelt, wird Mimeo diese Anfrage unverzüglich an den Kunden weiterleiten.

5.3.2 Bei der Untersuchung von Verletzungen des Schutzes personenbezogener Daten und der Benachrichtigung der Aufsichtsbehörde und der betroffenen Personen des Kunden hinsichtlich solcher Verletzungen des Schutzes personenbezogener Daten.

5.3.3 Bei Bedarf bei der Erstellung von Datenschutz-Folgenabschätzungen und, falls erforderlich, bei der Abstimmung mit einer Aufsichtsbehörde.

5.3.4 Erforderliche Verarbeitung. Wenn Mimeo aufgrund von Datenschutzanforderungen verpflichtet ist, personenbezogene Daten des Kunden aus einem anderen Grund als der Bereitstellung der in der Vereinbarung beschriebenen Dienste zu verarbeiten, wird Mimeo den Kunden vor der Verarbeitung über diese Anforderung informieren, es sei denn, es ist Mimeo gesetzlich untersagt, den Kunden über eine solche Verarbeitung zu informieren (z. B. aufgrund von Geheimhaltungsanforderungen, die nach den geltenden Gesetzen der EU-Mitgliedstaaten bestehen können).

5.4 Mimeo verpflichtet sich zu Folgendem:

5.4.1 Mimeo ergreift angemessene organisatorische und technische Sicherheitsmaßnahmen (u. a. in Bezug auf Personal, Einrichtungen, Hard- und Software, Speicher und Netzwerke, Zugangskontrollen, Überwachung und Protokollierung, Erkennung von Schwachstellen und Sicherheitsverstößen, Reaktion auf Vorfälle, Verschlüsselung personenbezogener Daten des Kunden während der Übermittlung und bei Nichtgebrauch) zum Schutz vor unbefugtem oder versehentlichem Zugriff, Verlust, Änderung, Weitergabe oder Zerstörung der personenbezogenen Daten des Kunden.

5.4.2 Mimeo ist verantwortlich für die Angemessenheit der Sicherheits-, Datenschutz- und Vertraulichkeitsmaßnahmen des gesamten Personals von Mimeo in Bezug auf die personenbezogenen Daten des Kunden und haftet für jedes Versäumnis dieses Personals von Mimeo, die Bedingungen dieser DPA einzuhalten.

5.4.3 Mimeo ergreift angemessene Maßnahmen, um sich zu vergewissern, dass alle Mitarbeiter von Mimeo die Sicherheit, den Schutz und die Vertraulichkeit der personenbezogenen Daten des Kunden gemäß den Anforderungen dieser DPA wahren.

5.4.4 Mimeo benachrichtigt den Kunden über jede Verletzung des Schutzes personenbezogener Daten durch Mimeo, seine Unterauftragsverarbeiter oder andere Dritte, die im Namen von Mimeo handeln, ohne unangemessene Verzögerung und in jedem Fall innerhalb von 48 Stunden, nachdem Mimeo von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt hat.

6 AUDIT, ZERTIFIZIERUNG

6.1 Audit durch Aufsichtsbehörden. Wenn eine Aufsichtsbehörde eine Prüfung der Datenverarbeitungsanlagen, mit denen Mimeo personenbezogene Daten des Kunden verarbeitet, verlangt, um die Einhaltung der Datenschutzanforderungen durch den Kunden festzustellen oder zu überwachen, wird Mimeo bei einer solchen Prüfung kooperieren. Der Kunde ist für alle Kosten und Gebühren im Zusammenhang mit einer solchen Prüfung verantwortlich, einschließlich aller angemessenen Kosten und Gebühren für die Zeit, die Mimeo für eine solche Prüfung aufwendet, zusätzlich zu den Sätzen für die von Mimeo erbrachten Dienstleistungen.

6.2 Mimeo muss auf schriftliche Anfrage des Kunden (nicht mehr als eine Anfrage pro Kalenderjahr) per E-Mail an GDPR@Mimeo.com die Einhaltung der Abschnitte 5 bis 8 dieser DPA schriftlich bestätigen. Mimeo wird dem Kunden jedes Jahr einen Prüfbericht zur Verfügung stellen, der von einer zugelassenen, dritten Wirtschaftsprüfungsgesellschaft nach den für die Dienstleistungen unter der Vereinbarung geltenden Standards erstellt wird („Bericht“). Wenn ein Bericht nach vernünftigem Ermessen des Kunden keine ausreichenden Informationen bereitstellt, um die Einhaltung der Bedingungen dieser DPA durch Mimeo zu bestätigen, kann der Kunde oder eine zugelassene externe Wirtschaftsprüfungsgesellschaft, der sowohl der Kunde als auch Mimeo zugestimmt haben, die Einhaltung der Bedingungen dieser DPA durch Mimeo während der regulären Geschäftszeiten mit angemessener Vorankündigung an Mimeo (nicht weniger als 10 Werktage) und unter Einhaltung angemessener Vertraulichkeitsverfahren prüfen. Der Kunde ist für alle Kosten und Gebühren im Zusammenhang mit einer solchen Prüfung verantwortlich, einschließlich aller angemessenen Kosten und Gebühren für die Zeit, die Mimeo für eine solche Prüfung aufwendet, zusätzlich zu den Sätzen für die von Mimeo erbrachten Dienstleistungen. Vor Beginn eines solchen Audits vereinbaren der Kunde und Mimeo einvernehmlich den Umfang, den Zeitpunkt und die Dauer des Audits. Der Kunde ist verpflichtet, Mimeo unverzüglich über alle Verstöße zu informieren, die im Rahmen eines Audits festgestellt werden. Der Kunde darf Mimeo nicht mehr als einmal jährlich auditieren. Auf schriftliche Anfrage des Kunden in angemessenen Abständen und vorbehaltlich der in der Vereinbarung festgelegten Vertraulichkeitsverpflichtungen stellt Mimeo dem Kunden eine Kopie der jeweils letzten Audits oder Zertifizierungen durch Dritte zur Verfügung, soweit zutreffend.

6.3 Datenschutz-Folgenabschätzung. Auf schriftliche Anfrage des Kunden wird Mimeo dem Kunden die angemessene Zusammenarbeit und Unterstützung gewähren, die erforderlich ist, um die Verpflichtung des Kunden gemäß allen anwendbaren Datenschutzgesetzen und -vorschriften zur Durchführung einer Datenschutz-Folgenabschätzung in Bezug auf die Nutzung der Dienste von Mimeo durch den Kunden zu erfüllen, soweit der Kunde nicht anderweitig Zugang zu den relevanten Informationen hat und soweit diese Informationen für Mimeo verfügbar sind.

7 DATENÜBERMITTLUNG

7.1 Standorte von Rechenzentren. Vorbehaltlich des Abschnitts 7.2 erkennt der Kunde an, dass Mimeo Kundendaten in die Vereinigten Staaten von Amerika und an jeden anderen Ort der Welt, an dem Mimeo, seine verbundenen Unternehmen oder Tochtergesellschaften oder seine Unterauftragsverarbeiter Datenverarbeitungsaktivitäten durchführen, übermitteln und dort verarbeiten darf. Mimeo muss zu jeder Zeit sicherstellen, dass solche Übermittlungen in Übereinstimmung mit den Anforderungen der Datenschutzanforderungen und dieser DPA erfolgen.

7.2 Australische Daten. Soweit Mimeo ein Empfänger von Kundendaten ist, die durch das australische Datenschutzgesetz geschützt sind, erkennen die Parteien an und vereinbaren, dass Mimeo solche Kundendaten außerhalb Australiens übermitteln darf, wie es die von den Parteien vereinbarten Bedingungen erlauben und vorbehaltlich der Einhaltung dieser DPA und des australischen Datenschutzgesetzes durch Mimeo.

7.3 Europäische Datenübermittlung.  Bei Übermittlungen von europäischen personenbezogenen Daten an Mimeo zur Verarbeitung durch Mimeo in einem Land außerhalb der EU, des EWR, der Schweiz und des Vereinigten Königreichs in Länder, die kein angemessenes Schutzniveau für Daten im Sinne der Datenschutzanforderungen in den vorgenannten Gebieten gewährleisten, sofern solche Übermittlungen der Verwendung des Formulars der Verantwortlicher an Auftragsverarbeiter SCC unterliegen. Wenn sich Datenübermittlungen gemäß Abschnitt 7 dieser DPA auf Verantwortlicher an Auftragsverarbeiter SCC stützen, um die rechtmäßige Übermittlung von europäischen personenbezogenen Daten zu ermöglichen, wie im vorhergehenden Satz dargelegt, vereinbaren die Parteien, dass betroffene Personen, für die eine Einheit von Mimeo europäische personenbezogene Daten verarbeitet, Drittbegünstigte gemäß den Verantwortlicher an Auftragsverarbeiter SCC sind.

7.4 DSGVO.  Mimeo wird personenbezogene Daten in Übereinstimmung mit den Anforderungen der DSGVO verarbeiten, die direkt auf die Bereitstellung der Dienste von Mimeo anwendbar sind.

7.5 Datenschutz-Folgenabschätzung.  Mimeo unterstützt den Kunden in angemessener Weise bei der Zusammenarbeit oder vorherigen Absprache mit der Aufsichtsbehörde bei der Erfüllung seiner Aufgaben, die gemäß der DSGVO erforderlich sind.

8 RÜCKGABE UND LÖSCHUNG VON DATEN

Die Parteien vereinbaren, dass Mimeo nach angemessener schriftlicher Aufforderung durch den Kunden alle personenbezogenen Daten des Kunden und Kopien dieser Daten an den Kunden zurückgibt oder sie sicher vernichtet und zur Zufriedenheit des Kunden nachweist, dass Mimeo diese Maßnahmen ergriffen hat, es sei denn, die Datenschutzanforderungen hindern Mimeo daran, alle oder einen Teil der übermittelten personenbezogenen Daten des Kunden zurückzugeben oder zu vernichten. In diesem Fall verpflichtet sich Mimeo, die Vertraulichkeit der von Mimeo aufbewahrten personenbezogenen Daten des Kunden zu wahren und diese personenbezogenen Daten des Kunden nach diesem Zeitpunkt nur noch aktiv zu verarbeiten, um die geltenden Gesetze einzuhalten.

9 DRITTE AUFTRAGSVERARBEITER

Der Kunde erkennt an, dass Mimeo bei der Bereitstellung einiger Dienste auf Anweisung des Kunden personenbezogene Daten des Kunden an dritte Auftragsverarbeiter übermitteln und anderweitig mit diesen zusammenarbeiten kann. Der Kunde erklärt sich damit einverstanden, dass, wenn und soweit solche Übermittlungen stattfinden, der Kunde dafür verantwortlich ist, separate vertragliche Vereinbarungen mit solchen dritten Auftragsverarbeitern zu treffen, die diese zur Einhaltung der Verpflichtungen gemäß den Datenschutzanforderungen verpflichten. Um Zweifel auszuschließen, gelten solche Auftragsverarbeiter nicht als Unterauftragsverarbeiter.

10 LAUFZEIT

Diese DPA behält ihre Gültigkeit, solange Mimeo personenbezogene Daten im Auftrag des Kunden verarbeitet oder bis zur Beendigung des Vertrags von Mimeo (und bis alle personenbezogenen Daten gemäß des vorstehenden Abschnitts 8 zurückgegeben oder gelöscht wurden).

11. GELTENDES RECHT, GERICHTSBARKEIT UND GERICHTSSTAND

Jegliche Streitigkeiten oder Ansprüche, die sich aus oder im Zusammenhang mit dieser DPA, ihrem Gegenstand oder ihrem Zustandekommen ergeben (einschließlich außervertraglicher Streitigkeiten oder Ansprüche), unterliegen deutschem Recht und sind nach diesem auszulegen.

ANHANG A

ANHANG B – BESCHREIBUNG DER ÜBERMITTLUNG

  1. Betroffene Personen. Die übermittelten personenbezogenen Daten, deren Umfang vom Datenexporteur nach eigenem Ermessen bestimmt und kontrolliert wird und die folgende Kategorien von betroffenen Personen betreffen können, aber nicht darauf beschränkt sind:

Abhängig von den vom Datenexporteur in Anspruch genommenen Diensten:

  • Potenzielle und tatsächliche Mitarbeiter des Datenexporteurs
  • Dritte, die eine Geschäftsbeziehung mit dem Datenexporteur unterhalten oder unterhalten könnten (z. B. Werbekunden, Kunden, Auftragnehmer usw.)
  • Vom Datenexporteur autorisierte Benutzer zur Inanspruchnahme der Dienste von Mimeo

2. Zwecke der Übermittlung. Die Übermittlung erfolgt zu den folgenden Zwecken:

Die Übermittlung soll den Datenexporteur in die Lage versetzen, die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten zu bestimmen, die durch die Mimeo-Marken des Datenimporteurs für Druck- und digitale Inhaltsvertriebsdienste oder andere Geschäftspraktiken des Datenexporteurs erhalten wurden.

3. Datenkategorien. Die übermittelten personenbezogenen Daten betreffen die folgenden Datenkategorien:

Bei den übermittelten Daten handelt es sich um die personenbezogenen Daten, die der Datenexporteur dem Datenimporteur im Zusammenhang mit seiner Inanspruchnahme der Dienste „Print on Demand“, „Mimeo Marketplace“, „Mimeo Digital“, „Lagerhaltung und Fulfillment“ und „Dokumentenverteilung“ von Mimeo zur Verfügung gestellt hat und die im Vertrag von Mimeo als personenbezogene Kundendaten bezeichnet werden. Zu diesen personenbezogenen Daten können Vorname, Nachname, E-Mail-Adresse, Kontaktdaten und eventuelle Anmerkungen des Datenexporteurs zu den vorgenannten Daten gehören.

4. Empfänger. Die übermittelten personenbezogenen Daten dürfen nur an die folgenden Empfänger oder Kategorien von Empfängern weitergegeben werden:

Mitarbeiter und andere Vertreter des Datenimporteurs, die einen berechtigten Geschäftszweck für die Verarbeitung dieser personenbezogenen Daten haben.

5. Sensible Daten (falls zutreffend). Die übermittelten personenbezogenen Daten betreffen die folgenden Kategorien sensibler Daten:

Keine

6. Informationen zur datenschutzrechtlichen Registrierung des Datenexporteurs (falls zutreffend).

Keine

7. Zusätzliche nützliche Informationen (Aufbewahrungsgrenzen und andere relevante Informationen).

Die zwischen den Parteien übermittelten personenbezogenen Daten dürfen nur für den gemäß der Vereinbarung zulässigen Zeitraum aufbewahrt werden. Die Parteien vereinbaren, dass jede Partei in dem Umfang, in dem sie zusammen mit der jeweils anderen Partei als Verantwortlicher in Bezug auf personenbezogene Daten fungiert, in angemessener Weise mit der jeweils anderen Partei zusammenarbeiten wird, um die Ausübung der Datenschutzrechte gemäß den Datenschutzanforderungen zu ermöglichen.

8. Kontaktdaten. Kontaktstellen für datenschutzrechtliche Anfragen:

Datenimporteur: DPO@mimeo.com

Datenexporteur: Unterzeichner der zwischen den Parteien getroffenen Vereinbarung

Mimeo – vertraulich und urheberrechtlich geschützt

Stand: Februar 2021