GoDaddy

ZUSATZ DATENVERABEITUNG (KUNDEN)

Dieser Zusatz über die Datenverarbeitung („Zusatz“) gilt zwischen GoDaddy.com, LLC, a Delaware limited liability company und seinen verbundenen Unternehmen („GoDaddy“) und Ihnen („Kunde“) und ergänzt unsere Universellen Nutzungsbedingungen, Datenschutzbestimmungen und sämtliche Verträge der einschlägigen Dienste (“Nutzungsbedingungen“).  Sofern nicht anderweitig in diesem Zusatz definiert, haben alle nicht in diesem Zusatz definierten großgeschriebenen Begriffe die Bedeutung, die in den Nutzungsbedingungen definiert ist.

1. Definitionen

Verbundenes Unternehmen“ bezieht sich auf Firmen, die durch GoDaddy kontrolliert werden, es kontrollieren oder mit ihm gemeinsam unter Kontrolle stehen.

Einschlägige Dienste“ bezieht sich auf gehostete Dienste, die wir Ihnen anbieten und welche die Verarbeitung personenbezogener Daten mit sich bringen könnten.

Kundendaten“ bezieht sich auf personenbezogene Daten Betroffener, die GoDaddy im GoDaddy-Netzwerk im Auftrag des Kunden gemäß oder in Verbindung mit den Nutzungsbedingungen verarbeitet werden.

Datenverantwortlicher“ bezieht sich auf den Kunden als die Rechtspersönlichkeit, welche die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten bestimmt.

Datenverarbeiter“ bezieht sich auf GoDaddy als Firma, welche personenbezogene Daten im Auftrag des Datenverantwortlichen verarbeitet.

Datenschutzgesetze“ bezieht sich auf sämtliche Gesetze und Bestimmungen (darunter Gesetze und Bestimmungen der Europäischen Union) die im Rahmen des Vertrages Anwendung auf die Verarbeitung personenbezogener Daten finden.

Betroffene/r“ bezieht sich auf die Person, mit welcher die personenbezogenen Daten in Bezug bestehen.

EWR“ bezieht sich auf den Europäischen Wirtschaftsraum.

GoDaddyNetzwerk“ bezieht sich auf Rechenzentren, Server, Netzwerkausrüstungen und Host-Softwaresysteme (beispielsweise virtuelle Firewalls) von GoDaddy und unter der Kontrolle von GoDaddy, die zur Bereitstellung der einschlägigen Dienste verwendet werden.

Personenbezogene Daten“ bezieht sich auf sämtliche Daten mit Bezug auf identifizierte oder identifizierbare Personen.

Verarbeitung“ bezieht sich auf die Bearbeitung oder Verarbeitung personenbezogener Daten (automatisch oder auf andere Weise) wie Erfassung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Übernahme oder Änderung, Abruf, Abfrage, Offenlegung durch Übertragung, Verbreitung oder sonstige Verfügbarmachung, Anpassung oder Kombination, Einschränkung, Löschung oder Vernichtung. Die Begriffe „verarbeiten“ und „verarbeitet“ sind entsprechend zu interpretieren. Details der Verarbeitung werden in „Anhang 1“ dargelegt.

Sicherheitsrelevantes Ereignis“ bezieht sich auf (a) eine Verletzung der GoDaddy-Sicherheitsstandards, die zu Vernichtung, Verlust, Veränderung, unberechtigter Offenlegung oder Zugriff auf oder von Kundendaten durch Zu- oder Unfall oder ungesetzliche Handlung führt; oder (b) unberechtigten Zugriff auf Ausrüstungen oder Einrichtungen von GoDaddy, der zu Vernichtung, Verlust, unberechtigter Offenlegung oder Änderung von Kundendaten führt.

Sicherheitsstandards“ bezieht sich auf die Sicherheitsstandards, die diesem Zusatz als „Anhang 2“ angefügt sind.

Standard-Vertragsklauseln“ („SCC“) bezieht sich auf „Anhang 3“ der diesem Zusatz angehängt und ein Teil des Zusatzes ist. Dies geschieht gemäß Entscheidung der Europäischen Kommission vom 5. Februar 2010 über Standard-Vertragsklauseln für die Übertragung personenbezogener Daten an Verarbeiter, die gemäß Richtlinie in Drittländern ansässig sind. 

Weiterverarbeiter“ bezieht sich auf Datenverarbeiter, die vom Verarbeiter zum Zweck der Verarbeitung von Daten im Auftrag des Datenverantwortlichen beauftragt werden.                                                               

2. Datenverarbeitung

2.1 Umfang und Rollen. Dieser Zusatz findet Anwendung, wenn Kundendaten GoDaddy verarbeitet werden.  In diesem Kontext agiert GoDaddy im Auftrag des Kunden (als für die Verarbeitung Verantwortlicher) als Datenverarbeiter bezüglich der Kundendaten.

2.2 Details der Datenverarbeitung. Gegenstand der Verarbeitung von Kundendaten durch GoDaddy ist die Durchführung der einschlägigen Dienste gemäß den Nutzungsbedingungen und produktspezifischen Verträgen. GoDaddy verarbeitet Kundendaten ausschließlich im Auftrag des und gemäß den dokumentierten Anweisungen des Kunden für folgende Zwecke: (i) Verarbeitung gemäß Nutzungsbedingungen oder einschlägigen produktspezifischen Verträgen; (ii) Verarbeitung, die durch Endnutzer in ihrer Nutzung der einschlägigen Dienste initiiert wird; (iii) Verarbeitung, um sonstigen dokumentierten, sinnvollen Anweisungen von Kunden (beispielsweise per E-Mail) nachzukommen, wenn solche Anweisungen den Bedingungen des Vertrages entsprechen. GoDaddy unterliegt keiner Verpflichtung, Anweisungen von Kunden zu beachten oder diesen nachzukommen, wenn solche Anweisungen zu Verletzungen der DSGVO oder weiterer geltender Datenschutzgesetze führen. Die Dauer der Verarbeitung, die Natur und der Zweck der Verarbeitung, die Arten personenbezogener Daten und Kategorien Betroffener, die im Rahmen dieses Zusatzes verarbeitet werden, sind in Anhang 1 dieses Zusatzes weiter dargelegt („Details der Verarbeitung“).

3. Vertraulichkeit der Kundendaten

GoDaddy wird Kundendaten nicht gegenüber Behörden oder Drittparteien offen legen, wenn dies nicht zur Erfüllung gesetzlicher Anforderungen oder einer gültigen und bindenden Anordnung des Gesetzesvollzuges (darunter Vorladungen und gerichtliche Verfügungen) notwendig ist.  Sendet eine Vollstreckungsbehörde GoDaddy eine Anforderung für Kundendaten, wird GoDaddy versuchen, die Vollstreckungsbehörde dazu zu bewegen, diese Daten direkt vom Kunden anzufordern. Im Zuge dieser Bemühungen kann GoDaddy der Vollstreckungsbehörde grundlegende Kontaktdaten von Kunden übermitteln. Ist GoDaddy gezwungen, einer Vollstreckungsbehörde Kundendaten offenzulegen, wird dem Kunden angemessene Nachricht davon gegeben, damit der Kunde eine Schutzanordnung oder andere Abhilfe ersuchen kann, wenn es GoDaddy nicht rechtlich untersagt ist, dies zu tun.

4. Sicherheit

4.1 GoDaddy hat technische und organisatorische Maßnahmen für das GoDaddy-Netzwerk gemäß diesem Abschnitt und wie weiter in „Anhang 2“ dieses Zusatzes (Sicherheitsstandards) dargelegt, implementiert und wird diese umsetzen. Speziell hat GoDaddy folgende technische und organisatorische Maßnahmen implementiert und wird diese umsetzen, welche folgende Aspekte betreffen: (i) Sicherheit des Netzwerks von GoDaddy; (ii) physische Sicherheit der Einrichtungen; (iii) Kontrollen des Zugriffs für Mitarbeiter und Auftragnehmer auf (i) und (ii); sowie (iv) Verfahren für Tests, Einstufungen und Bewertungen der Effektivität technischer und organisatorischer Maßnahmen, die von GoDaddy implementiert wurden. Sollten wir nicht in der Lage sein, die hierin dargelegten Pflichten zu erfüllen, so zeigen wir dies (über unsere Website und per E-Mail) schriftlich an, sobald dies praktisch durchführbar ist.

4.2 GoDaddy macht eine Reihe von Sicherheitsfunktionen und -einrichtungen verfügbar, welche der Kunde für die einschlägigen Dienste nutzen kann. Der Kunde ist verantwortlich dafür: (a) die einschlägigen Dienste angemessen zu konfigurieren, (b) die in Verbindung mit den einschlägigen Diensten verfügbaren Steuerungen zu nutzen (darunter Steuerung der Sicherheit), um die fortgesetzte Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und Dienste zu gewährleisten, (c) die in Verbindung mit den einschlägigen Diensten verfügbaren Steuerungen zu nutzen (darunter Steuerung der Sicherheit), die dem Kunden ermöglichen, rechtzeitig Verfügbarkeit von und Zugriff auf Kundendaten wiederherzustellen, wenn ein physischer oder technischer Zwischenfall eintritt (beispielsweise Backups und regelmäßige Archivierung von Kundendaten), sowie (d) Schritte zu unternehmen, welche der Kunde als angemessen erachtet, um die angemessene Sicherheit, den Schutz und die Löschung von Kundendaten zu pflegen, darunter Nutzung von Verschlüsselungstechnik zum Schutz von Kundendaten vor unberechtigtem Zugriff sowie Maßnahmen zur Steuerung der Berechtigung zum Zugriff auf Kundendaten.

5. Betroffenenrecht

In Anbetracht der Natur der einschlägigen Dienste bietet GoDaddy dem Kunden bestimmte Möglichkeiten der Steuerung und Kontrolle, die im Abschnitt „Sicherheit“ dieses Zusatzes dargelegt sind. Der Kunde kann diese nutzen, um Kundendaten abzurufen, zu korrigieren, zu löschen und deren Nutzung und Weitergabe zu beschränken, wie dies in den einschlägigen Diensten dargelegt ist. Der Kunde kann diese Steuerungsmöglichkeiten als technische und organisatorische Maßnahmen in Verbindung mit seinen Verpflichtungen im Rahmen geltender Datenschutzgesetze nutzen. Dazu gehören Verpflichtungen der Reaktion auf Anfragen von Betroffenen. GoDaddy benachrichtigt den Kunden umgehend (wenn dies wirtschaftlich machbar und gesetzlich gestattet oder gefordert ist), wenn GoDaddy eine direkte Anfrage eines Betroffenen bezüglich der Ausübung solcher Rechte im Rahmen geltender Datenschutzgesetze erhält („Anfrage von Betroffenen“). Zudem kann GoDaddy, wenn die Nutzung der einschlägigen Dienste durch den Kunden dessen Möglichkeiten der Reaktion auf die Anfrage von Betroffenen beschränkt, auf die spezifische Anfrage des Kunden (und wenn rechtlich gestattet und angemessen) wirtschaftlich machbare Hilfestellung bei der Beantwortung dieser Anfrage bereitstellen. Dies geschieht ggf. auf Kosten des Kunden.

6. Weiterverarbeiter

6.1 Autorisierte Weiterverarbeiter. Der Kunde stimmt zu, dass GoDaddy zur Erfüllung seiner vertraglichen Verpflichtungen im Rahmen der Nutzungsbedingungen und dieses Zusatzes Weiterverarbeiter heranziehen kann, sowie um bestimmte Dienste in seinem Auftrag bereitzustellen, beispielsweise Supportdienste. Der Kunde stimmt hiermit zu, dass GoDaddy Weiterverarbeiter wie in diesem Abschnitt dargelegt nutzen kann. Außer, wie in diesem Abschnitt dargelegt oder wenn von Ihnen explizit gestattet, wird GoDaddy keine sonstigen Aktivitäten der Weiterverarbeitung gestatten.

6.2 Verpflichtungen des Weiterverarbeiters. Wenn GoDaddy autorisierte Weiterverarbeiter nutzt, wie in Abschnitt 6.1 dargelegt:

(i) GoDaddy wird den Zugriff von Weiterverarbeitern auf Kundendaten auf das Notwendige für Pflege oder Bereitstellung der einschlägigen Dienste für die Kunden und Endbenutzer gemäß den einschlägigen Diensten beschränken. GoDaddy wird dem Weiterverarbeiter den Zugriff auf Kundendaten für andere Zwecke untersagen;

(ii) GoDaddy geht einen schriftlichen Vertrag mit dem Weiterverarbeiter ein und GoDaddy wird, in dem Maß, in dem der Weiterverarbeiter dieselben Dienste der Datenverarbeitung durchführt, die im Rahmen dieses Zusatzes von GoDaddy bereitgestellt werden, dem Weiterverarbeiter dieselben vertraglichen Verpflichtungen auferlegen, die GoDaddy unter dem Zusatz auferlegt sind; und

(iii) GoDaddy bleibt verantwortlich für die Einhaltung der Verpflichtungen dieses Zusatzes und für sämtliche Handlungen und Unterlassungen des Weiterverarbeiters, welche dazu führen, dass GoDaddy Verpflichtungen von GoDaddy im Rahmen dieses Zusatzes verletzt.

6.3 Neue Weiterverarbeiter.  Gelegentlich können wir neue Weiterverarbeiter im Rahmen und gemäß den Bedingungen dieses Zusatzes beauftragen.  In einem solchen Fall informieren wir Sie hierüber (auf unserer Website und per E-Mail) mit sechzig (60) Tagen Frist, bevor ein neuer Weiterverarbeiter Zugriff auf Kundendaten erhält. Ist Ihr Kunde mit einem neuen Weiterverarbeiter nicht einverstanden, so hat der Kunde das Recht, jegliche abgedeckte Services ohne Sanktionen zu kündigen. Die Kündigung bedarf der Schriftform und muss innerhalb von zehn (10) Tagen ab Erhalt unserer Mitteilung bei uns eingehen. Im Kündigungsschreiben sind die Gründe für die Ablehnung anzugeben. Sind die abgedeckten Services Teil eines Pakets oder eines Paketkaufs, so gilt die Kündigung für das gesamte Paket.

7. Benachrichtigung über Verletzung der Sicherheit

7.1 Sicherheitsvorfälle. Wird GoDaddy auf ein sicherheitsrelevantes Ereignis aufmerksam, wird GoDaddy unverzüglich (a) den Kunden über den Zwischenfall benachrichtigen und (b) angemessene Schritte unternehmen, um die Auswirkungen des Sicherheitsvorfalls zu beschränken und daraus resultierende Schäden zu minimieren. 

7.2 GoDaddyHilfestellung.  Um den Kunden bei Benachrichtigungen bezüglich Verletzungen personenbezogener Daten zu unterstützen, die der Kunde im Rahmen geltender Datenschutzgesetze vornehmen muss, nimmt GoDaddy in die Benachrichtigung gemäß Abschnitt 8.1 Informationen über das sicherheitsrelevante Ereignis auf, die GoDaddy dem Kunden gegenüber billigerweise offenlegen kann. Dabei werden die Art der einschlägigen Dienste, die GoDaddy verfügbaren Informationen und Einschränkungen für die Offenlegung der Daten (beispielsweise Vertraulichkeit) berücksichtigt.  

7.3 Nichtige sicherheitsrelevante Ereignisse. Der Kunde stimmt Folgendem zu:

(i)Ein nichtiges sicherheitsrelevantes Ereignis unterliegt nicht den Bedingungen dieses Zusatzes. Ein nichtiges sicherheitsrelevantes Ereignis ist ein solches, das nicht zu unberechtigtem Zugriff auf Kundendaten oder das Netzwerk, Ausrüstungen oder Einrichtungen von GoDaddy führt, die Kundendaten speichern. Dazu gehören Pings und weitere Übertragungsattacken auf Firewalls oder Edge-Server, Port-Scans, fehlgeschlagene Anmeldeversuche, Denial-of-Service-Attacken, Packet Sniffing (und weiterer unberechtigter Zugriff auf Trafficdaten, der nicht zu Zugriff über Kopfzeilen hinaus führt) und Ähnliches.

(ii) Die Verpflichtung von GoDaddy, ein sicherheitsrelevantes Ereignis gemäß dieses Abschnittes zu melden oder darauf zu reagieren, bildet kein Eingeständnis eines Versagens oder der Haftbarkeit auf Seiten von GoDaddy bezüglich des sicherheitsrelevanten Ereignisses bei GoDaddy.  

7.4 Kommunikation. Benachrichtigungen bezüglich sicherheitsrelevanter Ereignisse werden an Administrator(en) des Kunden über die von GoDaddy gewählten Kanäle zugestellt, darunter E-Mail. Es liegt in der alleinigen Verantwortung des Kunden, dass die Administratoren des Kunden in der GoDaddy-Verwaltungskonsole richtige und vollständige Kontaktdaten pflegen und deren Übertragung jederzeit schützen.

8. Kundenrechte

8.1 Unabhängige Feststellung. Der Kunde ist dafür verantwortlich, die Daten, die durch GoDaddy bezüglich der Datensicherheit und dessen Sicherheitsstandards zur Verfügung gestellt werden, zu prüfen und unabhängig festzustellen, ob die einschlägigen Dienste den Anforderungen und rechtlichen Verpflichtungen des Kunden und den Verpflichtungen des Kunden im Rahmen dieses Zusatzes entsprechen. Die verfügbar gemachten Daten dienen dazu, Kunden dabei zu helfen, ihren Verpflichtungen im Rahmen geltender Datenschutzgesetze (darunter der DSGVO) nachzukommen, und zwar hinsichtlich Einschätzungen der Auswirkungen des Datenschutzes und voriger Beratung.

8.2 Audit-Rechte der Kunden. Der Kunde besitzt das Recht der Bestätigung der Konformität von GoDaddy mit diesem Zusatz in Hinsicht der einschlägigen Dienste, darunter der Konformität von GoDaddy mit seinen Sicherheitsstandards. Dies geschieht durch Ausübung angemessener Rechte zur Durchführung von Audits oder Inspektionen, darunter gemäß den Standard-Vertragsklauseln (wenn diese gelten) durch Stellen einer spezifischen schriftlichen Anfrage an GoDaddy an die in diesen Nutzungsbedingungen angegebene Anschrift. Lehnt GoDaddy ab, Anweisungen des Kunden bezüglich eines ordnungsgemäß angeforderten und definierten Audits oder einer Inspektion nachzukommen, hat der Kunde das Recht, diesen Zusatz und die Nutzungsbedingungen zu kündigen. Finden die Standard-Vertragsklauseln Anwendung, ändert oder modifiziert nichts in diesem Abschnitt diese Standard-Vertragsklauseln und hat keine Auswirkungen auf die Rechte von Aufsichtsbehörden oder Betroffenen im Rahmen der Standard-Vertragsklauseln. Dieser Bereich findet zudem insofern Anwendung, als GoDaddy die Kontrolle von Weiterverarbeitern im Auftrag des Kunden durchführt.

9. Übertragung personenbezogener Daten

9.1 Verarbeitung in den USA. Wenn nicht in den Nutzungsbedingungen gesondert angegeben, werden Kundendaten außerhalb des EWR übertragen und in den USA verarbeitet.  

9.2 Anwendung der Standard-Vertragsklauseln. Die Standard-Vertragsklauseln finden für Kundendaten Anwendung, welche außerhalb des EWR übertragen werden. Dies kann direkt oder durch Weiterübertragung geschehen, und gilt für sämtliche Länder, denen durch die Europäische Kommission kein angemessenes Niveau des Schutzes personenbezogener Daten (gemäß DSGVO) zuerkannt wird. Die Standardvertragsklauseln finden keine Anwendung für Kundendaten, welche nicht (weder durch direkte Übertragung noch auf Umwegen) in Länder außerhalb des EWR übertragen werden.  Ungeachtet des Vorangehenden finden die Standardvertragsklauseln keine Anwendung, wenn die Daten in Übereinstimmung mit einem anerkannten Konformitätsstandard für die rechtmäßige Übertragung personenbezogener Daten (gemäß der Definition in der DSGVO) außerhalb des EWR übertragen werden. Beispiele sind die Privacy Shield Frameworks EU-USA und Schweiz-USA.  

10. Kündigung des Zusatzes

Dieser Zusatz bleibt bis zur Kündigung unserer Verarbeitung in Übereinstimmung mit den Nutzungsbedingungen („Kündigungsdatum“) in Kraft.

11. Rückgabe oder Löschung von Kundendaten

Wie in den einschlägigen Diensten dargelegt, können Kunden Steuerungsmöglichkeiten gegeben werden, die sie dazu nutzen können, Kundendaten abzurufen oder zu löschen. Die Löschung von Kundendaten wird von den Bestimmungen der jeweiligen einschlägigen Dienste geregelt.

12. Haftungsbeschränkungen

Die Haftbarkeit der Parteien im Rahmen dieses Zusatzes unterliegt den Ausschlüssen und Haftungsbeschränkungen, welche in den Nutzungsbedingungen festgelegt sind. Der Kunde stimmt zu, dass gesetzliche Strafzahlungen, die GoDaddy in Verbindung mit Kundendaten entstehen oder im Ergebnis oder in Verbindung mit dem Versäumnis des Kunden anfallen, seinen Verpflichtungen im Rahmen dieses Zusatzes und geltender Datenschutzgesetze nachzukommen, auf die Haftbarkeit von GoDaddy gemäß den Nutzungsbedingungen angerechnet werden (bzw. diese reduzieren), als handele es sich um Haftbarkeit gegenüber dem Kunden gemäß den Nutzungsbedingungen.

13. Gesamte Nutzungsbedingungen; Konflikt

Dieser Zusatz tritt bezüglich des Gegenstandes des Zusatzes an Stelle sämtlicher voriger oder gleichzeitiger Zusicherungen, Einverständnisse, Verträge und Kommunikationen zwischen dem Kunden und GoDaddy, seien diese schriftlich oder mündlich, darunter sämtliche Zusätze bezüglich der Datenverarbeitung, die von GoDaddy und dem Kunden bezüglich der Verarbeitung personenbezogener Daten und der freien Übertragung solcher Daten eingegangen wurden.  Die Nutzungsbedingungen bleiben vollständig in Kraft, außer wenn durch diesen Zusatz ergänzt.  Treten Konflikte bei Verträgen zwischen den Parteien einschließlich der Nutzungsbedingungen und dieses Zusatzes auf, gelten die Regelungen dieses Zusatzes.

** ************************************************

Anhang 1

 DETAILS DER VERARBEITUNG

 1. Natur und Zweck der Verarbeitung.GoDaddy wird personenbezogene Daten in dem Maß verarbeiten, das zur Ausübung der einschlägigen Dienste gemäß der Nutzungsbedingungen, produktspezifischer Verträge und gemäß weiterer Anweisungen des Kunden im Verlauf seiner Nutzung der einschlägigen Dienste erforderlich ist.

 2. Dauer der Verarbeitung. Gemäß Abschnitt 10 dieses Zusatzes wird GoDaddy während des Zeitraums der Gültigkeit der Nutzungsbedingungen personenbezogene Daten verarbeiten. Wenn nicht schriftlich anders vereinbart, werden über diese Laufzeit hinaus die Bedingungen des Zusatzes eingehalten, wenn die Verarbeitung diesen Zeitraum überschreitet.

3. Kategorien der Betroffenen. Der Kunde kann bei seiner Nutzung der einschlägigen Dienste personenbezogene Daten hochladen, deren Umfang im alleinigen Ermessen des Kunden liegt. Zu diesen können folgende Kategorien personenbezogener Daten Betroffener gehören:

  • Potenzielle Kunden, Kunden, Geschäftspartner und Anbieter des Kunden (natürliche Personen)
  • Mitarbeiter und Kontaktpersonen potenzieller Kunden des Kunden, Kunden, Geschäftspartner und Anbieter
  • Mitarbeiter, Agenten, Berater und freiberuflich Tätige des Kunden (natürliche Personen)
  • Nutzer des Kunden, welche der Kunde zur Verwendung der einschlägigen Dienste autorisiert

 4. Arten von personenbezogenen Daten Der Kunde kann bei seiner Nutzung der einschlägigen Dienste personenbezogene Daten hochladen, deren Art und Umfang im alleinigen Ermessen des Kunden liegen. Zu diesen können folgende Kategorien personenbezogener Daten Betroffener gehören: 

  • Name
  • Anschrift
  • Telefonnummer
  • Geburtsdatum
  • E-Mail-Adresse
  • Weitere erfasste Daten, welche sie direkt oder indirekt identifizieren könnten.

** ************************************************

Anhang 2

Sicherheitstandards

I. Technische und organisatorische Maßnahmen  

Wir nehmen den Schutz der Daten unserer Kunden ernst.  Unter Berücksichtigung der Best Practices, der Implementierungskosten sowie Art, Umfang, Umstände und Zweck der Verarbeitung sowie der Eintrittswahrscheinlichkeit und des Ausmaßes Risikos auf die Rechte und Grundfreiheiten natürlicher Personen ergreifen wir die folgenden technischen und organisatorischen Maßnahmen.  Bei der Auswahl der Maßnahmen berücksichtigen wir die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme. Eine schnelle Wiederherstellung nach einem physischen oder technischen Zwischenfall ist garantiert. 

II.  Datenschutzprogramm  

Unser Datenschutzprogramm dient der Pflege einer weltweiten Struktur für die Daten-Governance und sichere Daten im gesamten Zyklus. Dieses Programm wird vom Büro des Datenschutzbeauftragten gesteuert, der die Implementierung der Datenschutzpraktiken und Sicherheitsmaßnahmen beaufsichtigt. Die Effektivität des Datenschutzprogramms und der Sicherheitsstandards wird von uns regelmäßig geprüft, bewertet und ausgewertet.   

1. Vertraulichkeit. „Vertraulichkeit bezieht sich auf den Schutz personenbezogener Daten vor unberechtigter Offenlegung.“  

Wir nutzen eine Reihe physischer und digitaler Maßnahmen, um die Vertraulichkeit der personenbezogenen Daten unserer Kunden zu schützen. Zu diesen Maßnahmen gehören:   

  Physische Sicherheit  

  • Systeme für die Kontrolle des Zugangs sind vorhanden (Zugangskontrolle über Ausweise, Überwachung von Zwischenfällen bei der Sicherheit usw.) 
  • Überwachungssysteme mit Alarm und Videoüberwachung (wenn angemessen)
  • Clean-Desk-Richtlinien (keine Unterlagen auf Schreibtisch liegenlassen) und Kontrollen sind vorhanden (Verschluss unbeaufsichtigter Computer, von Schränken usw.)  
  •  Verwaltung des Zugriffes für Besucher 
  • Vernichten von Daten auf physischen Speichermedien und Dokumenten (schreddern, entmagnetisieren usw.) 

  Zugangskontrolle und Vorbeugung vor unberechtigtem Zugriff 

  • Beschränkung des Zugriffs für Benutzer und Zugriffsberechtigungen auf Basis von Rollen werden auf Grundlage des Prinzips der Aufgabentrennung vergeben/geprüft
  • Wirksame Methoden der Authentifizierung und Autorisierung (mehrstufige Authentifizierung, Autorisierung über Zertifikate, automatische Deaktivierung oder Abmeldung usw.) 
  • Zentrale Verwaltung von Passwörtern und Richtlinien für starke/komplexe Passwörter (minimale Länge, Komplexität der Zeichen, Ablauf von Passwörtern usw.)   
  • Kontrolle des Zugriffs auf E-Mails und Internet
  • Antiviren-Management
  • Schutz vor Eindringlingen

Verschlüsselung   

  • Verschlüsselung interner und externer Kommunikationen mittels starker kryptographischer Protokolle
  • Verschlüsselung gespeicherter PII/SPII Daten (Datenbanken, geteilte Verzeichnisse usw.)   
  • Vollständige Verschlüsselung der Datenträger von Firmen-PCs und -Laptops
  • Verschlüsselung von Speichermedien
  • Remote-Verbindungen mit den Netzwerken des Unternehmens sind per VPN verschlüsselt
  • Schutz von Chiffrierschlüsseln in der gesamten Laufzeit

 Datenminimierung    

  • PII/SPI-Minimierung bei Anwendung, Debugging und Sicherheitsprotokollen
  • Anonymisierung personenbezogener Daten zur Verhinderung direkter Identifizierung natürlicher Personen
  • Trennung gespeicherter Daten nach Funktion (Test, Staging, Live) 
  • Logische Abtrennung von Daten durch Zugriffsrechte auf Basis von Rollen 
  • Festgelegte Zeiträume für die Aufbewahrung personenbezogener Daten

Sicherheitstests     

  • Eindring-Tests für die wichtigsten Plattformen und Netzwerke des Unternehmens, die personenbezogene Daten hosten 
  • Regelmäßige Scans des Netzwerkes und auf Prüfung der Netzwerkanfälligkeit 

2. Integrität. „Integrität bezieht sich auf die Gewährleistung der Richtigkeit (Intaktheit) von Daten und der korrekten Funktion von Systemen. Wird der Begriff „Integrität“ in Verbindung mit dem Begriff „Daten“ genutzt, bringt er zum Ausdruck, dass die Daten vollständig und unverändert sind.“  

Angemessene Änderungs- und Protokollverwaltungskontrollen sind vorhanden, neben Zugriffskontrollen, um die Integrität personenbezogener Daten zu wahren, wie:    

Verwaltung von Änderungen und Freigaben    

  • Verwaltungsverfahren für Änderungen und Freigaben (Analyse von Auswirkungen, Genehmigungen, Tests, Sicherheitsprüfungen, Staging, Monitoring usw.)  
  • Rollen-/Funktionsbasierter (Aufgabentrennung) Zugang in der Produktion

Protokolle und Monitoring

  • Protokolle des Zugriffs auf und der Änderung von Daten
  • Zentrale Audit- und Sicherheitsprotokolle
  • Überwachung der Vollständigkeit und Richtigkeit der Datenübertragung (vollständige Prüfung)

3. Verfügbarkeit. „Die Verfügbarkeit von Diensten und IT-Systemen, IT-Anwendungen und IT-Netzwerkfunktionen sowie von Daten ist garantiert, wenn die Nutzer jederzeit in der Lage sind, sie wie vorgesehen zu nutzen.“    

Wir implementieren angemessene Maßnahmen gegen Unterbrechungen und für den Schutz, um die Verfügbarkeit der Dienste und der Daten in diesen Diensten zu gewährleisten:    

  • Regelmäßige Failover-Tests (Ausfallsicherung) für geschäftskritische Dienste
  • Umfassende Überwachung und Berichte der Leistung und Verfügbarkeit entscheidender Systeme
  • Maßnahmen bei Sicherheitsvorfällen  
  • Wichtige Daten werden entweder dupliziert oder erhalten ein Backup (Cloud-Backups/Festplatten/Datenbank-Duplizierung usw.) 
  • Planmäßige Wartung von Software, Infrastruktur und Sicherheit ist vorhanden (Software-Aktualisierungen, Sicherheits-Patches usw.)   
  • Redundante und widerstandsfähige Systeme (Servercluster, gespiegelte DBs, Setups mit hoher Verfügbarkeit usw.) an Orten außerhalb des Betriebs oder geografisch entfernten Orten
  • Nutzung unterbrechungsfreier Stromzufuhr, ausfallsicherer Hardware und Netzwerksysteme  
  • Vorhandene Alarm- und Sicherheitssysteme  
  • Physische Schutzmaßnahmen für wichtige Standorte (Schutz vor Überspannung, Doppelböden, Kühlsysteme, Sensoren für Feuer und Rauch, Löschsysteme usw.) 
  • DDOS-Schutz zur Aufrechterhaltung der Verfügbarkeit
  • Belastungs- und Stress-Tests  

4Anweisungen zur Datenverarbeitung. „Anweisungen zur Datenverarbeitung“ bezieht sich auf die Gewährleistung, dass personenbezogene Daten ausschließlich gemäß den Anweisungen des Datenverantwortlichen und einschlägigen Maßnahmen des Unternehmens verarbeitet werden.“  

Wir haben interne Richtlinien und Verträge für den Datenschutz eingeführt und schulen unsere Mitarbeiter regelmäßig bezüglich des Datenschutzes, um zu gewährleisten, dass personenbezogene Daten in Übereinstimmung mit den Einstellungen und Einweisungen der Kunden verarbeitet werden.   

  • Klauseln bezüglich Datenschutz und Vertraulichkeit in Arbeitsverträgen
  • Regelmäßige Schulungen der Mitarbeiter über Datenschutz und Sicherheit 
  • Angemessene vertragliche Bestimmungen in den Verträgen mit Auftragnehmern zur Aufrechterhaltung der Anweisungsrechte
  • Regelmäßige Schulungen der Mitarbeiter über Datenschutz und Sicherheit 
  • Kunde hat volle Kontrolle über seine Einstellungen in Bezug auf die Datenverarbeitung 
  • Regelmäßige Sicherheitsüberprüfungen 

**********************************************

Anhang 3

Siehe Abschnitt 9.2 des Zusatzes bezüglich Anwendbarkeit dieser Standard-Vertragsklauseln (SCC)

Standard-Vertragsklauseln (Verarbeiter)

Für Zwecke von Artikel 26(2) der Richtlinie 95/46/EC über die Übertragung personenbezogener Daten an Verarbeiter, die in Drittländern ansässig sind, in denen kein adäquates Niveau des Datenschutzes gewährleistet ist.

Die Rechtspersönlichkeit, die im Zusatz als „Kunde“
(der „Datenexporteur“) definiert wird,

und

GoDaddy.com, LLC

 (der „Datenimporteur“),

jeweils „Partei“, gemeinsam „Parteien“,

haben sich auf folgende Vertragsklauseln (Klauseln) geeinigt, um angemessene Sicherheitseinrichtungen bezüglich des Datenschutzes und grundlegender Rechte und Freiheiten natürlicher Personen für die Übertragung personenbezogener Daten vom Datenexporteur zum Datenimporteur gemäß Anhang 1 zu erbringen.

Klausel 1

Begriffsbestimmungen

Für den Zweck der Klauseln:

(a) „Personenbezogene Daten“, „spezielle Datenkategorien“, „verarbeiten/Verarbeitung“, „Datenverantwortlicher“, „Verarbeiter“, „Betroffene/r“ sowie „Aufsichtsbehörde“ haben die Bedeutung gemäß RICHTLINIE 95/46/EG DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr;

(b) „Datenexporteur“ bedeutet der Verantwortliche, welcher die personenbezogenen Daten überträgt.

(c) „Datenimporteur“ bedeutet der Auftragsverarbeiter, der vereinbart, personenbezogene Daten vom Datenexporteur zu beziehen, die nach der Übermittlung zur Verarbeitung für dessen Rechnung und gemäß seinen Anweisungen und den Bedingungen der Klauseln bestimmt sind, und der nicht an das System eines Drittlandes zur Gewährleistung eines angemessenen Schutzes der Daten im Sinne von Art. 25 Abs. 1 der Richtlinie 95/46/EG gebunden ist.

(d) „Weiterverarbeiter“ bezieht sich auf Verarbeiter, die der Datenimporteur oder ein Weiterverarbeiter des Datenimporteurs beauftragt, und die zustimmen, vom Datenimporteur oder einem Weiterverarbeiter personenbezogene Daten ausschließlich für den Zweck von Verarbeitungsaktivitäten im Auftrag des Datenexporteurs zu erhalten. Dies geschieht nach der Übertragung und in Übereinstimmung mit dessen Anweisungen, den Klauseln und Bedingungen des schriftlichen Untervertrages;

(e) „Geltendes Datenschutzrecht“ bezieht sich auf die Gesetzgebung, welche die grundlegenden Rechte und Freiheiten von Einzelpersonen und speziell den Datenschutz bei der Verarbeitung personenbezogener Daten gewährleistet, welche für Verantwortliche in dem Mitgliedsstaat gilt, in dem der Datenexporteur ansässig ist.

(f) „Technische und organisatorische Sicherheitsmaßnahmen“ bezieht sich auf Maßnahmen zum Schutz personenbezogener Daten vor zufälliger oder ungesetzlicher Vernichtung oder zufälligem Verlust, der Änderung, unberechtigten Offenlegung oder des Zugriffs. Es gilt speziell, wenn die Verarbeitung die Übertragung von Daten über ein Netzwerk einbezieht, und für sämtliche weiteren unrechtmäßigen Formen der Verarbeitung.

Klausel 2

Details der Übertragung

Die Details der Übertragung und ggf. im Besonderen die besonderen Kategorien personenbezogener Daten sind in Anhang 1 dargelegt, der wesentlicher Bestandteil der Klauseln ist.

Klausel 3

Drittbegünstigtenklausel

1.  Betroffene Personen können diese Klausel, Klausel 4(b) bis (i), Klausel 5(a) bis (e) und (g) bis (j), Klausel 6(1) und (2), Klausel 7, Klausel 8(2) und Klauseln 9 bis 12 als Drittbegünstigte gegen den Datenexporteur durchsetzen.

2.  Betroffene Personen können diese Klausel, Klausel 5(a) bis (e) und (g), Klausel 6, Klausel 7, Klausel 8(2) sowie die Klauseln 9 bis 12 in Fällen gegen den Datenimporteur durchsetzen, in denen der Datenexporteur faktisch verschwunden oder gesetzlich erloschen oder in Insolvenz ist, wenn kein Rechtssubjekt als Nachfolger die gesamten rechtlichen Obliegenheiten des Datenexporteurs per Vertrag kraft Gesetzes übernommen hat und im Ergebnis dessen in die Rechte und Verpflichtungen des Datenexporteurs eingetreten ist. In diesem Fall kann die betroffene Person besagte Klauseln gegenüber diesem Rechtssubjekt durchsetzen.

3.  Betroffene können diese Klausel, Klausel 5(a) bis (e) und (g), Klausel 6, Klausel 7, Klausel 8(2) sowie die Klauseln 9 bis 12 gegen den Weiterverarbeiter in Fällen durchsetzen, in denen Datenexporteur und Datenimporteur faktisch verschwunden oder gesetzlich erloschen oder in Insolvenz sind, wenn nicht eine rechtliche Einheit als Nachfolger die gesamten rechtlichen Obliegenheiten des Datenexporteurs durch Vertrag oder betriebliche Tätigkeit Kraft Gesetzes übernommen hat und im Ergebnis dessen die Rechte und Verpflichtungen des Datenexporteurs übernimmt. In diesem Fall kann der Betroffene diese gegenüber einer solchen Einheit durchsetzen. Solche Haftbarkeit des Weiterverarbeiters als Drittpartei wird auf dessen eigene Verarbeitungstätigkeiten im Rahmen der Klauseln beschränkt.

4.  Die Parteien erheben keine Einwände dagegen, dass betroffene Personen durch eine Organisation oder sonstige Körperschaft vertreten werden, wenn diese betroffenen Personen dies ausdrücklich wünschen und dies im Rahmen des nationalen Rechts zulässig ist.

Klausel 4

Pflichten des Datenexporteurs

Der Datenexporteur verpflichtet sich und gewährleistet:

(a) Die Verarbeitung, darunter die Übertragung der personenbezogenen Daten, wurde und wird weiterhin in Übereinstimmung mit den einschlägigen geltenden datenschutzrechtlichen Vorschriften durchgeführt und verstößt nicht gegen die einschlägigen Bestimmungen des jeweiligen Einzelstaats. Gegebenenfalls wurden die einschlägigen Behörden des Mitgliedstaates informiert, in dem der Datenexporteur ansässig ist;

(b) dass der Datenimporteur angewiesen wurde und während der Dauer der Dienste der Verarbeitung der personenbezogenen Daten angewiesen bleibt, die übertragenen personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit den geltenden Datenschutzgesetzen und Klauseln zu verarbeiten;

(c) Der Datenimporteur wird ausreichende Garantien bezüglich der technischen und organisatorischen Sicherheitsmaßnahmen geben, die in Anhang 2 dieses Vertrages dargelegt sind;

(d) Nach einer Bewertung der geltenden datenschutzrechtlichen Bestimmungen sind die Sicherheitsmaßnahmen angemessen, um personenbezogene Daten vor fahrlässiger oder vorsätzlicher Vernichtung oder fahrlässigem Verlust, Änderung, unbefugter Offenlegung oder unbefugtem Zugriff zu schützen. Dies gilt speziell, wenn die Verarbeitung die Übertragung von Daten über ein Netzwerk einbezieht, und für sämtliche weiteren rechtswidrigen Formen der Verarbeitung. Diese Maßnahmen müssen ein Sicherheitsniveau gewährleisten, welches den Risiken der Verarbeitung und der Art der zu schützenden Daten entspricht. Dabei sind der Stand der Technik und die Kosten der Umsetzung zu berücksichtigen;

(e) Konformität mit den Sicherheitsmaßnahmen wird gewährleistet;

(f) Beinhaltet die Übertragung spezielle Kategorien von Daten, wurde oder wird die betroffene Person vor der Übertragung informiert (oder danach so schnell wie möglich), dass seine Daten in ein Drittland übermittelt werden könnten, welches im Sinne der Richtlinie 95/46/EC keinen ausreichenden Schutz gewährleistet;

(g) Benachrichtigungen von Datenimporteur oder Weiterverarbeitern gemäß Klausel 5(b) und Klausel 8(3) werden an die Datenschutz-Aufsichtsbehörde weitergeleitet, wenn der Datenexporteur sich dafür entscheidet, die Übertragung fortzusetzen oder die Aufhebung rückgängig zu machen;

(h) Betroffene erhalten auf Anfrage eine Kopie der Klauseln (mit Ausnahme von Anhang 2) sowie eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen und eine Kopie des Vertrages über Dienste der Weiterverarbeitung, die gemäß der Klauseln erfolgen muss, außer wenn Klauseln oder Vertrag geschäftliche Informationen enthalten – solche geschäftlichen Informationen dürfen entfernt werden;

(i) dass die Verarbeitung im Falle der Weiterverarbeitung gemäß Klausel 11 durch einen Weiterverarbeiter geschieht, der mindestens dieselbe Stufe des Schutzes der personenbezogenen Daten und der Rechte der Betroffenen wie der Datenimporteur im Rahmen der Klauseln bereitstellt; und

(j) Konformität mit den Klauseln 4(a) bis (i) wird gewährleistet.

Klausel 51.

Verpflichtungen des Datenimporteurs

Der Datenimporteur sichert zu:

(a) Verarbeitung der personenbezogenen Daten nur im Auftrag des Datenexporteurs und konform mit dessen Anweisungen und den Klauseln. Kann solche Konformität aus beliebigem Grund nicht bereitgestellt werden, wird der Datenexporteur umgehend darüber informiert. In diesem Fall besitzt der Datenexporteur das Recht, die Übertragung der Daten auszusetzen und den Vertrag zu stornieren;

(b) dass er keinen Grund zu der Annahme hat, dass die für ihn geltenden Gesetze ihn daran hindern, die vom Datenexporteur empfangenen Anweisungen und seine Pflichten gemäß dem Vertrag zu erfüllen, und dass er im Falle einer Änderung dieser Gesetze in einer Weise, die wahrscheinlich wesentliche negative Auswirkungen auf die Gewährleistungen und Pflichten in den Klauseln hat, diese Änderung unverzüglich nach Kenntnisnahme beim Datenexporteur melden wird. In diesem Fall hat der Datenexporteur das Recht, die Übermittlung von Daten auszusetzen und/oder den Vertrag zu kündigen;

(c) Vor Verarbeitung der übertragenen personenbezogenen Daten wurden die technischen und organisatorischen Sicherheitsmaßnahmen gemäß Anhang 2 umgesetzt;

(d) Der Datenexporteur erhält umgehend Mitteilung über:

(i) rechtlich bindende Anfragen zur Offenlegung der personenbezogenen Daten durch eine Vollstreckungsbehörde, wenn dies nicht anderweitig untersagt ist, beispielsweise durch Verbot zwecks Wahrung der Geheimhaltung strafrechtlicher Ermittlungen;

(ii) unabsichtlicher und unberechtigter Zugriff, sowie

(iii) sämtliche direkten Anfragen von Betroffenen, ohne auf diese Anfrage zu antworten, wenn nicht anderweitig dazu autorisiert;

(e) dass er unverzüglich und angemessen auf sämtliche Anfragen des Datenexporteurs bezüglich der Verarbeitung der übertragenen personenbezogenen Daten reagieren wird sowie die Mitteilungen der Aufsichtsbehörde bezüglich der Verarbeitung der übertragenen Daten befolgen wird;

(f) dass er seine Datenverarbeitungseinrichtungen auf Anfrage des Datenexporteurs Audits der Verarbeitungsaktivitäten gemäß den Klauseln unterzieht. Diese sind vom Datenexporteur oder einem vom Datenexporteur ggf. in Absprache mit der Aufsichtsbehörde ausgewählten zur Geheimhaltung verpflichteten Prüfungsorgan aus unabhängigen Prüfern mit den notwendigen Fachqualifikationen;

(g) Betroffenen auf Anfrage eine Kopie der Klauseln oder anderer vorhandener Verträge für die Weiterverarbeitung verfügbar zu machen, wenn die Klauseln oder Verträge nicht geschäftliche Informationen enthalten. In diesem Fall können solche geschäftlichen Informationen (mit Ausnahme von Anhang 2) entfernt werden und werden durch eine Zusammenfassung der Sicherheitsmaßnahmen ersetzt, wenn Betroffene nicht in der Lage sind, vom Datenexporteur eine Kopie zu erhalten;

(h) dass der Datenexporteur im Fall der Weiterverarbeitung zuvor informiert und dessen schriftliche Einwilligung eingeholt wurde;

(i) die Verarbeitungsdienste des Weiterverarbeiters werden gemäß Klausel 11 ausgeführt;

(j) umgehend einen Durchschlag eines mit einem Weiterverarbeiter im Rahmen der Klauseln abgeschlossenen Vertrages an den Datenexporteur zu senden.

Klausel 6

Haftbarkeit

1.  Die Parteien kommen überein, dass Betroffene, die durch Verletzung der Verpflichtungen gemäß Klausel 3 oder Klausel 11 durch eine der Parteien oder einen Weiterverarbeiter Schäden erlitten haben, das Recht besitzen, vom Datenexporteur Entschädigung für den erlittenen Schaden zu erhalten.

2.  Ist ein Betroffener nicht in der Lage, gemäß Abschnitt 1 eine Entschädigungsforderung gegen den Datenexporteur vorzubringen, die auf einer Verletzung der Verpflichtungen gemäß Klausel 3 oder Klausel 11 des Datenimporteurs oder seines Weiterverarbeiters beruht, da der Datenexporteur faktisch verschwunden oder gesetzlich erloschen oder in Insolvenz ist, stimmt der Datenimporteur zu, dass der Betroffene den Anspruch gegen den Datenimporteur vorbringen kann, als wäre dieser der Datenexporteur, wenn nicht eine rechtliche Einheit als Nachfolger die gesamten rechtlichen Obliegenheiten des Datenexporteurs durch Vertrag oder betriebliche Tätigkeit Kraft Gesetzes übernommen hat. In diesem Fall kann der Betroffene diese gegenüber einer solchen Einheit durchsetzen. Der Datenimporteur kann keine Verletzung der Verpflichtungen des Weiterverarbeiters geltend machen, um eigener Haftbarkeit zu entgehen.

3.  Ist ein Betroffener nicht in der Lage, gemäß Abschnitt 1 und 2 eine Entschädigungsforderung gegen den Datenimporteur oder Datenexporteur vorzubringen, die auf einer Verletzung der Verpflichtungen gemäß Klausel 3 oder 11 des Weiterverarbeiters beruht, da der Datenexporteur und Datenimporteur faktisch verschwunden oder gesetzlich erloschen oder in Insolvenz sind, stimmt der Weiterverarbeiter zu, dass der Betroffene den Anspruch gegen den Weiterverarbeiter bezüglich dessen Verarbeitung vorbringen kann, als wäre dieser der Datenexporteur oder Datenimporteur, wenn nicht eine rechtliche Einheit als Nachfolger die gesamten rechtlichen Obliegenheiten des Datenexporteurs oder Datenimporteurs durch Vertrag oder betriebliche Tätigkeit Kraft Gesetzes übernommen hat. In diesem Fall kann der Betroffene diese gegenüber einer solchen Einheit durchsetzen. Die Haftbarkeit des Weiterverarbeiters wird auf dessen eigene Verarbeitungstätigkeiten im Rahmen der Klauseln beschränkt.

Klausel 7

Gerichtsstand und Schlichtung

1.  Der Datenimporteur verpflichtet sich, im Falle, dass die betroffene Person ihm gegenüber Drittbegünstigtenrechte und/oder Schadenersatzansprüche gemäß den Klauseln geltend macht, die Entscheidung der betroffenen Person zu akzeptieren:

(a) die Streitigkeit an die Schlichtung durch eine unabhängige Drittpartei oder ggf. die Aufsichtsbehörde zu verweisen;

(b) die Streitigkeit an die Gerichte des Mitgliedstaates, in dem der Datenexporteur ansässig ist, zu verweisen.

2.  Die Parteien kommen überein, dass die Wahl des Betroffenen keinen Nachteil der Rechte (weder materielle noch Verfahrensrechte) bezüglich Entschädigungen gemäß weiterer Bestimmungen nationaler oder internationaler Rechte bedeutet.

Klausel 8

Zusammenarbeit mit Aufsichtsbehörden

1.  Der Datenexporteur stimmt zu, auf Verlangen oder wenn im Rahmen des geltenden Datenschutzrechts erforderlich, eine Ausfertigung dieses Vertrages bei der Aufsichtsbehörde zu hinterlegen.

2.  Die Parteien kommen überein, dass die Aufsichtsbehörde das Recht besitzt, ein Audit von Datenimporteur und Weiterverarbeitern durchzuführen, welches denselben Umfang besitzt und denselben Bedingungen unterliegt, welche gemäß geltender Datenschutzgesetze für ein Audit des Datenexporteurs Anwendung fänden.

3.  Der Datenimporteur benachrichtigt den Datenexporteur umgehend von der Existenz von Gesetzgebung, die für ihn oder Weiterverarbeiter gilt, welche die Durchführung von Audits des Datenimporteurs oder von Weiterverarbeitern gemäß Abschnitt 2 verhindert. In einem solchen Fall hat der Datenexporteur das Recht, Maßnahmen gemäß Klausel 5 (b) zu ergreifen.

Klausel 9

Maßgebendes Recht

Die Klauseln werden von den Gesetzen des Mitgliedsstaates bestimmt, in dem der Datenexporteur ansässig ist. In Zweifelsfällen, oder wenn mehrere Datenexporteure vorhanden sind, gelten die Gesetze von England und Wales. 

Klausel 10

Veränderung des Vertrages

Die Parteien werden die Klauseln weder abändern noch modifizieren. Dies schließt nicht aus, dass die Parteien Klauseln für geschäftliche Fragen hinzufügen können, wenn notwendig, wenn dies nicht der Klausel widerspricht.

Klausel 11

Weiterverarbeitung

1.  Der Datenimporteur darf ohne vorherige schriftliche Einwilligung des Datenexporteurs keine Verarbeitung im Auftrag des Datenexporteurs im Rahmen der Klauseln im Unterauftrag vergeben. Vergibt der Datenimporteur seine Verpflichtungen im Rahmen der Klauseln und mit Einwilligung des Datenexporteurs in Unterauftrag, muss dies durch schriftlichen Vertrag mit dem Weiterverarbeiter geschehen, welcher dem Weiterverarbeiter dieselben Verpflichtungen auferlegt, die dem Datenimporteur gemäß der Klauseln auferlegt sind. Kommt der Weiterverarbeiter seinen Datenschutzverpflichtungen im Rahmen dieses schriftlichen Vertrages nicht nach, bleibt der Datenimporteur dem Datenexporteur gegenüber vollständig haftbar für die Erfüllung der Verpflichtungen des Weiterverarbeiters im Rahmen des Vertrages.

2.  Der vorangehende schriftliche Vertrag zwischen Datenimporteur und Weiterverarbeiter enthält zudem eine Klausel über Drittbegünstigte gemäß Klausel 3 für Fälle, in denen Betroffene nicht in der Lage sind, Ansprüche auf Entschädigung gemäß Abschnitt 1 von Klausel 6 gegen den Datenexporteur oder den Datenimporteur vorzubringen, da diese faktisch verschwunden oder gesetzlich erloschen oder in Insolvenz sind und keine rechtliche Einheit als Nachfolger die gesamten rechtlichen Obliegenheiten des Datenexporteurs oder Datenimporteurs durch Vertrag oder betriebliche Tätigkeit Kraft Gesetzes übernommen hat. Solche Haftbarkeit des Weiterverarbeiters als Drittpartei wird auf dessen eigene Verarbeitungstätigkeiten im Rahmen der Klauseln beschränkt.

3.  Die Bestimmungen des Vertrages bezüglich der Datenschutzaspekte für die Weiterverarbeitung, auf die in Abschnitt 1 Bezug genommen wird, unterliegen den Gesetzen des Mitgliedsstaates, in dem der Datenexporteur ansässig ist.

4.  Der Datenexporteur hält eine Liste der Verträge über die Weiterverarbeitung vor, die im Rahmen der Klauseln abgeschlossen wurden und von denen der Datenimporteur gemäß Klausel 5 (j) benachrichtigt wurde. Diese Liste wird mindestens einmal jährlich aktualisiert. Diese Liste hat der Aufsichtsbehörde für den Datenschutz des Datenexporteurs verfügbar zu sein.

Klausel 12

Verpflichtung nach Beendigung der Verarbeitungsdienste personenbezogener Daten

1.  Die Parteien kommen überein, dass Datenimporteur und Weiterverarbeiter mit Beendigung der Bereitstellung von Diensten der Datenverarbeitung nach Entscheidung des Datenexporteurs sämtliche übertragenen personenbezogenen Daten und deren Kopien an den Datenexporteur zurückgeben oder die personenbezogenen Daten vernichten und gegenüber dem Datenexporteur zertifizieren, dass dies geschehen ist – wenn der Datenimporteur nicht durch gesetzliche Verpflichtungen davon abgehalten wird, die gesamten übertragenen personenbezogenen Daten (oder Teile davon) zurückzugeben oder zu vernichten. In diesem Fall sichert der Datenimporteur zu, die Geheimhaltung der übertragenen personenbezogenen Daten zu gewährleisten und die übertragenen personenbezogenen Daten nicht mehr aktiv zu verarbeiten.

2.  Datenimporteur und Weiterverarbeiter sagen zu, dass ihre Einrichtungen für die Datenverarbeitung auf Anfrage des Datenexporteurs oder der Aufsichtsbehörde einem Audit bezüglich der Maßnahmen gemäß Abschnitt 1 unterzogen werden können.

**********************************************

Anhang 1 zu den Standardvertragsklauseln

Datenexporteur:

Der Datenexporteur ist die Rechtspersönlichkeit, die im Zusatz als „Kunde“ identifiziert wird

Datenimporteur:

Der Datenimporteur ist GoDaddy.com, LLC , Anbieter gehosteter Dienste.

Betroffene

Die Schritte der Verarbeitung sind in Abschnitt 1.3 und Anhang 1 des Zusatzes definiert.

Datenkategorien

Die Schritte der Verarbeitung sind in Abschnitt 1.3 und Anhang 1 des Zusatzes definiert.

Verarbeitungsschritte

Die Schritte der Verarbeitung sind in Abschnitt 1.3 und Anhang 1 des Zusatzes definiert.

Anhang 2 zu den Standardvertragsklauseln

Dieser Anhang ist Teil der Klauseln.  Durch Erwerb einschlägiger Dienste von GoDaddy gelten der Zusatz und dieser Anhang 2 als angenommen und durch die und zwischen den Parteien vollzogen.

Darlegung der technischen und organisatorischen Sicherheitsmaßnahmen, die vom Datenimporteur gemäß Klauseln 4(d) und 5(c) (oder angehängter Dokumente/Vorschriften) implementiert wurden:

Die vom Datenimporteur implementierten technischen und organisatorischen Sicherheitsmaßnahmen sind wie im Zusatz (speziell in Anhang 2) dargelegt, der aufgenommen und angehängt ist.


1              Verbindliche Anforderungen der für den Datenimporteur geltenden nationalen Gesetzgebungen, die nicht überschreiten, was in einer demokratischen Gesellschaft auf Grundlage der Interessen, die in Artikel 13(1) der Richtlinie 95/46/EC aufgeführt sind, notwendig ist. Dies bedeutet, wenn sie eine notwendige Maßnahme zum Schutz der nationalen Sicherheit, Verteidigung, öffentlichen Sicherheit, Vorbeugung, Ermittlung, Auffindung und Verfolgung von Kriminalität oder Ethikverletzungen für regulierte Berufe, ein wichtiges wirtschaftliches oder finanzielles Interesse des Staates oder den Schutz der Betroffenen oder der Rechte und Freiheiten anderer darstellen, stehen sie nicht im Widerspruch mit den Standard-Vertragsklauseln. Beispiele solcher obligatorischen Verpflichtungen, welche die Notwendigkeiten einer demokratischen Gesellschaft nicht überschreiten, wären: international anerkannte Sanktionen, steuerliche Obliegenheiten oder Dokumentation im Zusammenhang mit Geldwäsche.

Fassung vom: 29.01.2019
Copyright © 2019 GoDaddy.com, LLC. Alle Rechte vorbehalten.